Compartilhar via


Gerenciamento da recuperação do Azure Key Vault com exclusão reversível e proteção contra limpeza

Este artigo aborda dois recursos de recuperação do Azure Key Vault, exclusão reversível e proteção contra limpeza. Este documento fornece uma visão geral desses recursos e mostra como gerenciá-los por meio do portal do Azure, CLI do Azure e Azure PowerShell.

Importante

Se um cofre de chaves não tiver a proteção de exclusão reversível habilitada, excluir uma chave a excluirá permanentemente. Os clientes são incentivados a ativar a imposição de exclusão reversível para seus cofres por meio do Azure Policy.

Para obter mais informações sobre o Key Vault, cosulte

Pré-requisitos

  • Uma assinatura do Azure – crie uma gratuitamente

  • Azure PowerShell.

  • CLI do Azure

  • Um Key Vault – crie um usando o portal do Azure, a CLI do Azure ou o Azure PowerShell

  • O usuário precisa das seguintes permissões (no nível da assinatura) para executar operações em cofres com exclusão reversível:

    Permissão Descrição
    Microsoft.KeyVault/locations/deletedVaults/read Exibir as propriedades de um cofre de chaves com exclusão reversível
    Microsoft.KeyVault/locations/deletedVaults/purge/action Limpar um cofre de chaves com exclusão reversível
    Microsoft.KeyVault/locations/operationResults/read Para verificar o estado de limpeza do cofre
    Colaborador do Key Vault Para recuperar um cofre temporário excluído

O que são a exclusão reversível e a proteção contra limpeza

A exclusão reversível e a proteção contra limpeza são dois recursos diferentes de recuperação do cofre de chaves.

A exclusão reversível foi projetada para impedir a exclusão acidental do cofre de chaves e chaves, segredos e certificados armazenados no cofre de chaves. Pense na exclusão reversível como uma lixeira. Quando um cofre de chaves ou um objeto de cofre de chaves é excluído, ele permanece recuperável por um período de retenção configurável pelo usuário ou um padrão de 90 dias. Os cofres de chaves no estado de exclusão reversível também podem ser limpos (excluídos permanentemente), permitindo recriar cofres de chaves e objetos de cofre de chaves com o mesmo nome. A recuperação e a exclusão de cofres de chaves e objetos exigem permissões elevadas da política de acesso. Depois que a exclusão reversível for habilitada, ela não poderá ser desabilitada.

É importante observar que os nomes do cofre de chaves são globalmente exclusivos, portanto, não é possível criar um cofre de chaves com o mesmo nome que um cofre de chaves no estado de exclusão reversível. Da mesma forma, os nomes de chaves, segredos e certificados são exclusivos em um cofre de chaves. Não é possível criar um segredo, chave ou certificado com o mesmo nome que outro no estado de exclusão reversível.

A proteção contra limpeza é projetada para impedir a exclusão de seu cofre de chaves, chaves, segredos e certificados por um insider mal-intencionado. Considere como uma lixeira com um bloqueio baseado em tempo. É possível recuperar itens em qualquer ponto durante o período de retenção configurável. Não será possível excluir ou limpar permanentemente um cofre de chaves até que o período de retenção tenha decorrido. Depois que o período de retenção expirar, o cofre de chaves ou o objeto do cofre de chaves é limpo automaticamente.

Observação

A Proteção contra limpeza é projetada para que nenhuma função de administrador ou permissão possa substituir, desabilitar ou burlar a proteção contra limpeza. Quando a proteção contra limpeza estiver habilitada, ela não poderá ser desabilitada ou substituída por ninguém, incluindo a Microsoft. Isso significa que deverá recuperar um cofre de chaves excluído ou aguardar até que o período de retenção decorra antes de reutilizar o nome do cofre de chaves.

Para obter mais informações, confira Visão geral da exclusão reversível do Azure Key Vault

Verifique se a exclusão reversível está disponível para um cofre de chaves e habilite a exclusão reversível

  1. Entre no portal do Azure.
  2. Selecione seu cofre de chaves.
  3. Selecione a folha “Propriedades”.
  4. Verifique se o botão de opção ao lado de exclusão reversível está definido como "Habilitar recuperação".
  5. Se a exclusão reversível não estiver habilitada no cofre de chaves, selecione o botão de opção para habilitar a exclusão reversível e selecione “Salvar”.

Em Propriedades, a exclusão reversível é realçada, assim como o valor para habilitá-la.

Conceder acesso a uma entidade de serviço para limpar e recuperar segredos excluídos

  1. Entre no portal do Azure.
  2. Selecione seu cofre de chaves.
  3. Selecione a folha “Política de Acesso”.
  4. Na tabela, localize a linha da entidade de segurança à qual deseja conceder acesso (ou adicione uma nova entidade de segurança).
  5. Selecione a lista suspensa para chaves, certificados e segredos.
  6. Role até a parte inferior da lista suspensa e selecione “Recuperar” e “Limpar”
  7. As entidades de segurança também precisam da funcionalidade “obter” e “listar” para executar a maioria das operações.

No painel de navegação à esquerda, as Políticas de acesso são realçadas. Em Políticas de acesso, a lista suspensa de Posições secretas é mostrada e quatro itens são selecionados: Obter, Listar, Recuperar e Limpar.

Listar, recuperar ou limpar um cofre de chaves com exclusão reversível

  1. Entre no portal do Azure.
  2. Selecione a barra de pesquisa na parte superior da página.
  3. Pesquise pelo serviço "Key Vault". Não selecione um cofre de chaves individual.
  4. Na parte superior da tela, selecione a opção para “Gerenciar cofres excluídos”
  5. Um painel de contexto é aberto no lado direito da tela.
  6. Selecione sua assinatura.
  7. Se o cofre de chaves foi excluído de forma reversível, ele será exibido no painel de contexto à direita.
  8. Se houver muitos cofres, será possível selecionar “Carregar mais” na parte inferior do painel de contexto ou usar a CLI ou o PowerShell para obter os resultados.
  9. Quando encontrar o cofre que deseja recuperar ou limpar, marque a caixa de seleção ao lado dele.
  10. Selecione a opção recuperar na parte inferior do painel de contexto se desejar recuperar o cofre de chaves.
  11. Selecione a opção limpar se desejar excluir permanentemente o cofre de chaves.

Em Cofres de chaves, a opção gerenciar cofres excluídos é realçada.

Em Gerenciar cofres de chaves excluídos, o único cofre de chaves listado é realçado e selecionado e o botão Recuperar é realçado.

Listar, recuperar ou limpar segredos, chaves e certificados com exclusão reversível

  1. Entre no portal do Azure.
  2. Selecione seu cofre de chaves.
  3. Selecione a folha correspondente ao tipo de segredo que deseja gerenciar (chaves, segredos ou certificados).
  4. Na parte superior da tela, selecione “Gerenciar excluídos (chaves, segredos ou certificados)
  5. Um painel de contexto é exibido no lado direito da tela.
  6. Se seu segredo, chave ou certificado não aparecer na lista, ele não estará no estado de exclusão reversível.
  7. Selecione o segredo, a chave ou o certificado que deseja gerenciar.
  8. Selecione a opção para recuperar ou limpar na parte inferior do painel de contexto.

Em chaves, a opção Gerenciar chaves excluídas é realçada.

Próximas etapas