Visão geral da exclusão reversível do HSM gerenciado
Importante
A exclusão reversível não pode ser desativada para os recursos do HSM gerenciado.
Importante
Os recursos do HSM gerenciado excluídos de maneira reversível continuarão sendo cobrados com base na taxa por hora completa até que sejam limpos.
O recurso de exclusão reversível do HSM gerenciado permite a recuperação de chaves e HSMs excluídos. Especificamente, esse recurso fornece as seguintes proteções:
- Depois que uma chave ou um HSM é excluído(a), ele(a) permanecerá recuperável por um período configurável de 7 a 90 dias do calendário. Você pode definir o período de retenção ao criar um HSM. Se você não especificar um valor, o período de retenção padrão de 90 dias será usado. Esse período dá aos usuários tempo suficiente para perceber uma exclusão de HSM ou chave acidental e responder.
- Para excluir permanentemente uma chave, os usuários precisam executar duas ações. Primeiro, eles precisam excluir a chave, o que a coloca no estado de exclusão reversível. Em segundo lugar, precisam limpar a chave que está no estado de excluída de maneira reversível. A operação de limpeza requer a função de Responsável pela Criptografia do HSM gerenciado. Essas proteções adicionais reduzem o risco de um usuário excluir acidental ou maliciosamente uma chave ou um HSM.
Comportamento de exclusão reversível
A exclusão reversível não pode ser desativada para os recursos do HSM gerenciado.
Os recursos marcados como excluídos são mantidos por um período especificado. Também há um mecanismo para recuperar HSMs ou chaves excluídas, para que você possa desfazer exclusões.
O período de retenção padrão é de 90 dias. Ao criar um recurso de HSM, você pode definir o intervalo da política de retenção como um valor de 7 a 90 dias. A política de retenção de proteção de limpeza usa o mesmo intervalo. Depois de definir a política de retenção, você não poderá alterá-la.
Não é possível reutilizar o nome de um recurso de HSM que foi excluído de maneira reversível até que o período de retenção tenha decorrido e o recurso de HSM seja limpo (excluído de forma permanente).
Proteção contra limpeza
A proteção contra limpeza é um comportamento opcional. Ela não vem habilitada por padrão. É possível habilitá-la usando a CLI do Azure ou o PowerShell.
Quando a proteção contra limpeza está ativada, uma chave ou um HSM no estado excluído não pode ser limpo até que o período de retenção termine. As chaves e os HSMs excluídos de maneira reversível ainda podem ser recuperados, o que garante que a política de retenção estará em vigor.
O período de retenção padrão é de 90 dias. Após a criação de um HSM, você pode definir o intervalo da política de retenção como um valor de 7 a 90 dias. O intervalo da política de retenção só pode ser definido quando você cria um HSM. Ela não pode ser alterada posteriormente.
Confira Como usar a exclusão reversível do HSM gerenciado com a CLI ou Como usar a exclusão reversível do HSM gerenciado com o PowerShell.
Recuperação de um HSM gerenciado
Quando você exclui um HSM, o serviço cria um recurso de proxy na assinatura, adicionando metadados suficientes para habilitar a recuperação. O recurso de proxy é um objeto armazenado. Ele está disponível no mesmo local que o HSM excluído.
Recuperação de chave
Após a exclusão de uma chave, o serviço a colocará em um estado excluído, tornando-a inacessível para qualquer operação. Enquanto estiverem nesse estado, as chaves poderão ser listadas, recuperadas ou limpas. Para ver os objetos, use o comando az keyvault key list-deleted da CLI do Azure (descrito em Exclusão reversível e proteção de limpeza do HSM gerenciado com a CLI) ou o parâmetro -InRemovedState do Azure PowerShell (descrito em Exclusão reversível e proteção de limpeza do HSM gerenciado com o PowerShell).
Quando você exclui a chave, o HSM gerenciado agendará que ocorra a exclusão dos dados subjacentes correspondentes à chave ou ao HSM excluído após um intervalo de retenção predeterminado. O registro DNS correspondente ao HSM também é mantido durante o intervalo de retenção.
Período de retenção da exclusão reversível
Os recursos excluídos de maneira reversível são mantidos por um período definido: 90 dias. Durante o intervalo de retenção da exclusão reversível, as seguintes condições se aplicam:
- Você pode listar todos os HSMs e chaves no estado de exclusão reversível para a sua assinatura. Você também pode acessar informações de exclusão e recuperação sobre eles.
- Somente os usuários com a função Colaborador do HSM Gerenciado podem listar os HSMs excluídos. Recomendamos que você crie uma função personalizada com essas permissões para a manipulação dos cofres excluídos.
- Os nomes de HSM Gerenciado devem ser exclusivos em um determinado local. Ao criar uma chave, você não poderá usar um nome se o HSM contiver uma chave com esse nome em um estado excluído.
- Somente os usuários com a função de Colaborador do HSM Gerenciado podem listar, ver, recuperar e limpar os HSMs gerenciados.
- Somente os usuários com a função de Responsável pela Criptografia do HSM gerenciado podem listar, ver, recuperar e limpar as chaves.
A menos que uma chave ou um HSM gerenciado seja recuperado, no final do intervalo de retenção, o serviço executa uma limpeza da chave ou do HSM excluído de maneira reversível. Não é possível reagendar a exclusão de recursos.
Implicações de cobrança
O HSM gerenciado é um serviço de locatário único. Quando você cria um HSM gerenciado, o serviço reserva os recursos subjacentes alocados ao seu HSM. Esses recursos permanecem alocados mesmo quando o HSM está no estado excluído. Você será cobrado pelo HSM enquanto ele estiver no estado excluído.
Próximas etapas
Estes artigos descrevem os principais cenários para usar a exclusão reversível: