Gerenciamento da recuperação do Azure Key Vault com exclusão reversível e proteção contra limpeza

Artigo
10/14/2024

Este artigo aborda dois recursos de recuperação do Azure Key Vault, exclusão reversível e proteção contra limpeza. Este documento fornece uma visão geral desses recursos e mostra como gerenciá-los por meio do portal do Azure, CLI do Azure e Azure PowerShell.

Importante

Se um cofre de chaves não tiver a proteção de exclusão reversível habilitada, excluir uma chave a excluirá permanentemente. Os clientes são incentivados a ativar a imposição de exclusão reversível para seus cofres por meio do Azure Policy.

Para obter mais informações sobre o Key Vault, cosulte

Pré-requisitos

Uma assinatura do Azure – crie uma gratuitamente
Azure PowerShell.
CLI do Azure
Um Key Vault – crie um usando o portal do Azure, a CLI do Azure ou o Azure PowerShell

O usuário precisa das seguintes permissões (no nível da assinatura) para executar operações em cofres com exclusão reversível:

Permissão	Descrição
Microsoft.KeyVault/locations/deletedVaults/read	Exibir as propriedades de um cofre de chaves com exclusão reversível
Microsoft.KeyVault/locations/deletedVaults/purge/action	Limpar um cofre de chaves com exclusão reversível
Microsoft.KeyVault/locations/operationResults/read	Para verificar o estado de limpeza do cofre
Colaborador do Key Vault	Para recuperar um cofre temporário excluído

O que são a exclusão reversível e a proteção contra limpeza

A exclusão reversível e a proteção contra limpeza são dois recursos diferentes de recuperação do cofre de chaves.

A exclusão reversível foi projetada para impedir a exclusão acidental do cofre de chaves e chaves, segredos e certificados armazenados no cofre de chaves. Pense na exclusão reversível como uma lixeira. Quando um cofre de chaves ou um objeto de cofre de chaves é excluído, ele permanece recuperável por um período de retenção configurável pelo usuário ou um padrão de 90 dias. Os cofres de chaves no estado de exclusão reversível também podem ser limpos (excluídos permanentemente), permitindo recriar cofres de chaves e objetos de cofre de chaves com o mesmo nome. A recuperação e a exclusão de cofres de chaves e objetos exigem permissões elevadas da política de acesso. Depois que a exclusão reversível for habilitada, ela não poderá ser desabilitada.

É importante observar que os nomes do cofre de chaves são globalmente exclusivos, portanto, não é possível criar um cofre de chaves com o mesmo nome que um cofre de chaves no estado de exclusão reversível. Da mesma forma, os nomes de chaves, segredos e certificados são exclusivos em um cofre de chaves. Não é possível criar um segredo, chave ou certificado com o mesmo nome que outro no estado de exclusão reversível.

A proteção contra limpeza é projetada para impedir a exclusão de seu cofre de chaves, chaves, segredos e certificados por um insider mal-intencionado. Considere como uma lixeira com um bloqueio baseado em tempo. É possível recuperar itens em qualquer ponto durante o período de retenção configurável. Não será possível excluir ou limpar permanentemente um cofre de chaves até que o período de retenção tenha decorrido. Depois que o período de retenção expirar, o cofre de chaves ou o objeto do cofre de chaves é limpo automaticamente.

Observação

A Proteção contra limpeza é projetada para que nenhuma função de administrador ou permissão possa substituir, desabilitar ou burlar a proteção contra limpeza. Quando a proteção contra limpeza estiver habilitada, ela não poderá ser desabilitada ou substituída por ninguém, incluindo a Microsoft. Isso significa que deverá recuperar um cofre de chaves excluído ou aguardar até que o período de retenção decorra antes de reutilizar o nome do cofre de chaves.

Para obter mais informações, confira Visão geral da exclusão reversível do Azure Key Vault

Verifique se a exclusão reversível está disponível para um cofre de chaves e habilite a exclusão reversível

Entre no portal do Azure.
Selecione seu cofre de chaves.
Selecione a folha “Propriedades”.
Verifique se o botão de opção ao lado de exclusão reversível está definido como "Habilitar recuperação".
Se a exclusão reversível não estiver habilitada no cofre de chaves, selecione o botão de opção para habilitar a exclusão reversível e selecione “Salvar”.

Em Propriedades, a exclusão reversível é realçada, assim como o valor para habilitá-la.

Conceder acesso a uma entidade de serviço para limpar e recuperar segredos excluídos

Entre no portal do Azure.
Selecione seu cofre de chaves.
Selecione a folha “Política de Acesso”.
Na tabela, localize a linha da entidade de segurança à qual deseja conceder acesso (ou adicione uma nova entidade de segurança).
Selecione a lista suspensa para chaves, certificados e segredos.
Role até a parte inferior da lista suspensa e selecione “Recuperar” e “Limpar”
As entidades de segurança também precisam da funcionalidade “obter” e “listar” para executar a maioria das operações.

No painel de navegação à esquerda, as Políticas de acesso são realçadas. Em Políticas de acesso, a lista suspensa de Posições secretas é mostrada e quatro itens são selecionados: Obter, Listar, Recuperar e Limpar.

Listar, recuperar ou limpar um cofre de chaves com exclusão reversível

Entre no portal do Azure.
Selecione a barra de pesquisa na parte superior da página.
Pesquise pelo serviço "Key Vault". Não selecione um cofre de chaves individual.
Na parte superior da tela, selecione a opção para “Gerenciar cofres excluídos”
Um painel de contexto é aberto no lado direito da tela.
Selecione sua assinatura.
Se o cofre de chaves foi excluído de forma reversível, ele será exibido no painel de contexto à direita.
Se houver muitos cofres, será possível selecionar “Carregar mais” na parte inferior do painel de contexto ou usar a CLI ou o PowerShell para obter os resultados.
Quando encontrar o cofre que deseja recuperar ou limpar, marque a caixa de seleção ao lado dele.
Selecione a opção recuperar na parte inferior do painel de contexto se desejar recuperar o cofre de chaves.
Selecione a opção limpar se desejar excluir permanentemente o cofre de chaves.

Em Cofres de chaves, a opção gerenciar cofres excluídos é realçada.

Em Gerenciar cofres de chaves excluídos, o único cofre de chaves listado é realçado e selecionado e o botão Recuperar é realçado.

Listar, recuperar ou limpar segredos, chaves e certificados com exclusão reversível

Entre no portal do Azure.
Selecione seu cofre de chaves.
Selecione a folha correspondente ao tipo de segredo que deseja gerenciar (chaves, segredos ou certificados).
Na parte superior da tela, selecione “Gerenciar excluídos (chaves, segredos ou certificados)
Um painel de contexto é exibido no lado direito da tela.
Se seu segredo, chave ou certificado não aparecer na lista, ele não estará no estado de exclusão reversível.
Selecione o segredo, a chave ou o certificado que deseja gerenciar.
Selecione a opção para recuperar ou limpar na parte inferior do painel de contexto.

Em chaves, a opção Gerenciar chaves excluídas é realçada.

Key Vault (CLI)

Verifique se o cofre de chaves tem a exclusão reversível habilitada

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Habilitar exclusão reversível no cofre de chaves

Todos os novos cofres de chaves têm exclusão reversível habilitada por padrão. Caso tenha atualmente um cofre de chaves que não tenha a exclusão reversível habilitada, use o comando a seguir para habilitar a exclusão reversível.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```

Excluir cofre de chaves (recuperável se a exclusão reversível estiver habilitada)

az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Listar todos os cofres de chaves com exclusão reversível

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Recuperar um cofre de chaves com exclusão reversível

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Limpar cofre de chaves com exclusão reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE O COFRE DE CHAVES)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Habilitar a proteção contra limpeza no cofre de chaves

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certificados (CLI)

Conceder acesso para limpar e recuperar certificados

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Excluir Certificado

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Listar os certificados excluídos

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar certificado excluído

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Limpar certificado excluído de forma reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE O CERTIFICADO)

az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Chaves (CLI)

Conceder acesso para limpar e recuperar chaves

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Tecla Delete

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Listar chaves excluídas

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar chave excluída

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Limpar chave com exclusão reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE A CHAVE)

az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Segredos (CLI)

Conceder acesso para limpar e recuperar segredos

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Excluir segredo

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Listar os segredos excluídos

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar segredo excluído

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Limpar chave com exclusão reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE O SEGREDO)

az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Key Vault (PowerShell)

Verifique se o cofre de chaves tem a exclusão reversível habilitada
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Excluir o cofre de chaves

Remove-AzKeyVault -VaultName 'ContosoVault'

Listar todos os cofres de chaves com exclusão reversível
```
Get-AzKeyVault -InRemovedState
```

Recuperar um cofre de chaves com exclusão reversível

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Limpar cofre de chaves com exclusão reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE O COFRE DE CHAVES)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Habilitar a proteção contra limpeza no cofre de chaves

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certificados (PowerShell)

Conceder permissões para recuperar e limpar certificados

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Excluir um Certificado

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Listar todos os certificados excluídos em um cofre de chaves

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Recuperar um certificado no estado excluído

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Limpar um certificado com exclusão reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE O CERTIFICADO)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Chaves (PowerShell)

Conceder permissões para recuperar e limpar chaves

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Excluir uma chave

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Listar todas as chaves excluídas em um cofre de chaves

Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState

Para recuperar uma chave excluída

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Limpar uma chave com exclusão reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE A CHAVE)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Segredos (PowerShell)

Conceder permissões para recuperar e limpar segredos

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Excluir um segredo chamado SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Listar todos os segredos excluídos em um cofre de chaves

Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState

Recuperar um segredo no estado excluído

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Limpar um segredo com exclusão reversível (AVISO! ESTA OPERAÇÃO EXCLUIRÁ PERMANENTEMENTE O SEGREDO)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

Compartilhar via