Exclusão reversível e proteção contra limpeza do HSM gerenciado

Artigo
02/20/2024

Este artigo descreve dois recursos de recuperação do HSM gerenciado: exclusão reversível e proteção contra limpeza. Este documento fornece uma visão geral desses recursos e mostra como gerenciá-los por meio da CLI do Azure e do Azure PowerShell.

Para obter mais informações, confira Visão geral do HSM gerenciado.

Pré-requisitos

Uma assinatura do Azure. Crie um gratuitamente.
O módulo PowerShell.
CLI do Azure 2.25.0 ou posterior. Execute az --version para determinar que versão você tem. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.
Um HSM gerenciado. Você pode criar um usando a CLI do Azure ou o Azure PowerShell.

Os usuários precisarão das seguintes permissões para executar operações em HSMs ou chaves com exclusão reversível:

Atribuição de função	Descrição
Colaborador do HSM gerenciado	Listar, recuperar e limpar HSMs com exclusão reversível
Usuário de Criptografia do HSM Gerenciado	Listar chaves com exclusão reversível
Responsável pela Criptografia do HSM Gerenciado	Limpar e recuperar chaves com exclusão reversível

O que são a exclusão reversível e a proteção contra limpeza?

A exclusão reversível e a proteção contra limpeza são recursos de recuperação.

A exclusão reversível foi projetada para impedir a exclusão acidental do HSM e das chaves. A exclusão reversível funciona como uma lixeira. Quando você excluí um HSM ou uma chave, eles permanecerão recuperáveis por um período de retenção configurável ou um prazo padrão de 90 dias. Os HSMs e as chaves no estado de exclusão reversível também podem ser limpos, o que significa que eles são excluídos permanentemente. A limpeza permite recriar HSMs e chaves com o mesmo nome que o item limpo. Tanto a recuperação quanto a exclusão de HSMs e chaves exigem atribuições de função específicas. A exclusão reversível não pode ser desabilitada.

Observação

Como os recursos subjacentes permanecem alocados ao seu HSM mesmo quando ele está em estado de exclusão, o recurso HSM continuará a acumular encargos por hora enquanto estiver nesse estado.

Os nomes dos HSM gerenciados são globalmente exclusivos em todos os ambientes de nuvem. Portanto, você não pode criar um HSM gerenciado com o mesmo nome de um que exista em estado de exclusão reversível. Da mesma forma, os nomes das chaves são exclusivos em um HSM. Você não pode criar uma chave com o mesmo nome de um que exista em estado de exclusão reversível.

Para obter mais informações, confira Visão geral da exclusão reversível do HSM gerenciado.

A proteção contra limpeza é projetada para impedir a exclusão de seus HSMs e chaves por um insider mal-intencionado. É como uma lixeira com um bloqueio baseado em tempo. É possível recuperar itens em qualquer ponto durante o período de retenção configurável. Não será possível excluir ou limpar permanentemente um HSM ou uma chave até que termine o período de retenção. Quando o período de retenção terminar, o HSM ou a chave serão limpos automaticamente.

Observação

Nenhuma função de administrador ou permissão pode substituir, desabilitar ou burlar a proteção contra limpeza. Se a proteção contra limpeza estiver habilitada, ela não poderá ser desabilitada nem substituída por ninguém, incluindo a Microsoft. Portanto, você deve recuperar um HSM excluído ou aguardar até que o período de retenção termine antes de poder reutilizar o nome do HSM.

HSMs gerenciados (CLI)

Para verificar o status da exclusão reversível e da proteção contra limpeza para um HSM gerenciado:
```
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Para excluir um HSM:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Esta ação é recuperável porque a exclusão reversível está ativada por padrão.

Para listar todos os HSMs com exclusão reversível:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Para recuperar uma chave com exclusão reversível:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Para limpar um HSM com exclusão reversível:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Aviso

Esta operação excluirá permanentemente o HSM.

Para habilitar a proteção contra limpeza em um HSM:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Chaves (CLI)

Para excluir uma chave:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para listar chaves excluídas:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Para recuperar uma chave excluída:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para limpar uma chave com exclusão reversível:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Aviso

Esta operação excluirá permanentemente sua chave.

HSMs gerenciados (PowerShell)

Para verificar o status da exclusão reversível e da proteção contra limpeza para um HSM gerenciado:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
Para excluir um HSM:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Esta ação é recuperável porque a exclusão reversível está ativada por padrão.

Chaves (PowerShell)