Visão geral de exclusão reversível do Azure Key Vault
Importante
Se um cofre de chaves não tiver a proteção de exclusão temporária habilitada, excluir uma chave a excluirá permanentemente. Os clientes são fortemente encorajados a ligar a imposição de exclusão temporária para seus cofres via Azure Policy.
Importante
Quando um Cofre de Chaves é excluído de forma reversível, os serviços integrados ao Cofre de Chaves serão excluídos. Por exemplo: as atribuições de funções da RBAC do Azure e assinaturas da Grade de Eventos. A recuperação de um Cofre de Chaves excluído de forma reversível não restaurará esses serviços. Eles precisarão ser criados novamente.
O recurso de exclusão reversível do Key Vault permite a recuperação dos cofres excluídos e dos objetos do cofre de chaves excluídos (por exemplo, chaves, segredos, certificados); isso é conhecido como exclusão reversível. Estamos nos referindo especificamente aos seguintes cenários: essa proteção oferece as seguintes proteções:
- Depois que um segredo, uma chave, um certificado ou um cofre de chaves for excluído, ele permanecerá recuperável por um período configurável de 7 a 90 dias corridos. Se nenhuma configuração for especificada, o período de recuperação padrão será definido como 90 dias para fornecer aos usuários tempo suficiente para observar uma exclusão acidental de segredo e responder.
- É necessário fazer duas operações para excluir permanentemente um segredo. Primeiro, um usuário deve excluir o objeto, colocando-o no estado excluído de maneira reversível. Em segundo lugar, o usuário deve limpar o objeto no estado excluído de maneira reversível. Essas proteções reduzem o risco de um usuário excluir acidentalmente ou maliciosamente um segredo ou um cofre de chaves.
- Para limpar um segredo, chave, certificado no estado de exclusão reversível, uma entidade de segurança deve receber permissão de operação de "limpeza" (com a função interna do Key Vault"Operador de Limpeza do Key Vault", por exemplo).
Interfaces de suporte
O recurso de exclusão reversível está disponível por meio das interfaces API REST, CLI do Azure, Azure PowerShell e .NET/C#, bem como modelos do ARM.
Cenários
Os Azure Key Vaults são recursos controlados, gerenciados pelo Azure Resource Manager. O Azure Resource Manager também especifica um comportamento bem definido para a exclusão, que exige que uma operação DELETE bem-sucedida faça com que esse recurso não esteja mais acessível. O recurso de exclusão reversível aborda a recuperação do objeto excluído, independentemente se a exclusão foi acidental ou intencional.
No cenário típico, um usuário exclui inadvertidamente um cofre de chaves ou um objeto de cofre de chaves, se esse cofre de chaves ou objeto de cofre de chaves for recuperável por um período predeterminado, o usuário poderá desfazer a exclusão e recuperar seus dados.
Em um cenário diferente, um usuário mal-intencionado pode tentar excluir um cofre de chaves ou um objeto do cofre de chaves, como uma chave dentro de um cofre, para causar uma interrupção dos negócios. A separação da exclusão do cofre de chaves ou do objeto do cofre de chaves da exclusão real dos dados subjacentes pode ser usada como uma medida de segurança, por exemplo, restringindo as permissões de exclusão de dados a outra função confiável. Essa abordagem efetivamente exige quorum para uma operação que, de outro modo, poderá resultar em uma perda de dados imediata.
Comportamento de exclusão reversível
Quando a exclusão reversível está habilitada, os recursos marcados como recursos excluídos são mantidos por um período especificado (90 dias por padrão). Além disso, o serviço fornece um mecanismo para recuperar o objeto excluído, basicamente, desfazendo a exclusão.
Ao criar um cofre de chaves, a exclusão reversível é ativada por padrão. Quando a exclusão reversível está habilitada em um cofre de chaves, ela não pode ser desabilitada.
O intervalo de política de retenção só pode ser configurado durante a criação do cofre de chaves e não pode ser alterado posteriormente. Você pode definir entre 7 e 90 dias, sendo 90 dias o padrão. O mesmo intervalo se aplica à exclusão temporária e à política de retenção de proteção contra limpeza.
Não é possível reutilizar o nome de um cofre de chaves que foi excluído de maneira reversível até que o período de retenção tenha expirado.
Proteção contra limpeza
A proteção contra limpeza é um comportamento opcional do Key Vault que não está habilitado por padrão. A proteção contra limpeza só poderá ser habilitada quando a exclusão reversível estiver habilitada. A proteção de limpeza é recomendada ao usar chaves para criptografia para evitar a perda de dados. A maioria dos serviços do Azure que se integram ao Azure Key Vault, como Armazenamento, exige proteção contra limpeza para evitar a perda de dados.
Quando a proteção contra limpeza está ativada, um cofre ou um objeto no estado deletado não poderá ser limpo até que o período de retenção passe. Cofres e objetos excluídos temporariamente ainda podem ser recuperados, garantindo que a política de retenção seja seguida.
O período de retenção padrão é de 90 dias, mas é possível definir o intervalo da política de retenção para um valor de 7 a 90 dias através do portal do Azure. Depois que o intervalo da política de retenção for definido e salvo, ele não poderá ser alterado para esse cofre.
A Proteção contra Limpeza pode ser ativada por meio da CLI, PowerShell ou Portal.
Limpeza permitida
A exclusão permanente, limpeza, de um cofre de chaves é possível por meio de uma operação POST no recurso de proxy e exige privilégios especiais. Em geral, somente o proprietário da assinatura ou um usuário com a função RBAC "Operador de Limpeza do Key Vault" pode limpar um cofre de chaves. A operação POST dispara a exclusão imediata e irrecuperável desse cofre.
As exceções são:
- Quando a assinatura do Azure é marcada como não excluível. Neste caso, apenas o serviço pode executar a exclusão real e ele o fará como um processo agendado.
- Quando o argumento
--enable-purge-protection
está habilitado no próprio cofre. Nesse caso, o Key Vault aguardará 7 a 90 dias desde quando o objeto secreto original foi marcado para exclusão para então excluí-lo permanentemente.
Para conhecer as etapas, confira Como usar a exclusão reversível do Key Vault com a CLI: limpando um cofre de chaves ou Como usar a exclusão reversível do Key Vault com o PowerShell: limpando um cofre de chaves.
Recuperação do Key Vault
Quando um cofre de chaves é excluído, o serviço cria um recurso de proxy na assinatura, adicionando metadados suficientes para recuperação. O recurso de proxy é um objeto armazenado, disponível na mesma localização do cofre de chaves excluído.
Recuperação de objetos do Key Vault
Quando um objeto do cofre de chaves, como uma chave, é excluído, o serviço coloca o objeto em um estado excluído, tornando-o inacessível a qualquer operação de recuperação. Nesse estado, o objeto do cofre de chaves só poderá ser listado, recuperado ou excluído permanentemente/de maneira forçada. Para exibir os objetos, use o comando az keyvault key list-deleted
da CLI do Azure (conforme documentado em Como usar a exclusão reversível do Key Vault com a CLI) ou o comando Get-AzKeyVault -InRemovedState
do Azure PowerShell (conforme descrito em Como usar a exclusão reversível do Key Vault com o PowerShell).
Ao mesmo tempo, o Key Vault agendará a exclusão dos dados subjacentes correspondentes ao cofre de chaves ou objeto do cofre de chaves excluído para execução após um intervalo de retenção predeterminado. O registro DNS correspondente ao cofre também é mantido durante o intervalo de retenção.
Período de retenção da exclusão reversível
Os recursos excluídos de maneira reversível são mantidos por um período definido de tempo: 90 dias. Durante o intervalo de retenção da exclusão reversível, o seguinte se aplica:
- É possível listar todos os cofres de chaves e objetos do cofre de chaves no estado de exclusão reversível de sua assinatura, bem como informações de exclusão e recuperação de acesso sobre eles.
- Somente usuários com permissões especiais podem listar os cofres excluídos. Recomendamos que nossos usuários criem uma função personalizada com essas permissões especiais para a manipulação dos cofres excluídos.
- Não é possível criar um cofre de chaves com o mesmo nome na mesma localização; do mesmo modo, não é possível criar um objeto do cofre de chaves em determinado cofre se esse cofre de chaves contém um objeto com o mesmo nome e que está no estado excluído.
- Somente um usuário com privilégios específicos pode restaurar um cofre de chaves ou objeto do cofre de chaves emitindo um comando de recuperação no recurso de proxy correspondente.
- O usuário, membro da função personalizada, que tem o privilégio para criar um cofre de chaves no grupo de recursos pode restaurar o cofre.
- Somente um usuário com privilégios específicos pode excluir por imposição um cofre de chaves ou objeto do cofre de chaves ao emitir um comando de exclusão no recurso de proxy correspondente.
A menos que um cofre de chaves ou objeto do cofre de chaves seja recuperado, ao final do intervalo de retenção, o serviço realizará uma limpeza do cofre de chaves ou do objeto do cofre de chaves de excluídos de maneira reversível e de seu conteúdo. A exclusão de recursos não pode ser reagendada.
Implicações de cobrança
Em geral, quando um objeto (um cofre de chaves ou uma chave ou um segredo) está no estado excluído, há apenas duas operações possíveis: “limpar” e “recuperar”. Todas as outras operações falharão. Portanto, mesmo que o objeto exista, nenhuma operação pode ser executada e, portanto, nenhum uso ocorrerá, portanto, não haverá cobrança. No entanto, há as exceções a seguir:
- Ações “limpar' e “recuperar” contarão até as operações do cofre de chaves normal e serão cobradas.
- Se o objeto for uma chave de HSM, o encargo”chave Protegida HSM” por versão de chave por encargo mensal será aplicada se uma versão de chave tiver sido usada nos últimos 30 dias. Depois disso, uma vez que o objeto está no estado excluído, nenhuma operação pode ser executada em relação a ela, portanto nenhum encargo será aplicado.
Próximas etapas
As três guias a seguir oferecem os cenários de uso primário para usar a exclusão reversível.