Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este documento mostra como fazer backup de segredos, chaves e certificados armazenados no cofre de chaves. Uma cópia de segurança destina-se a fornecer-lhe uma cópia offline de todos os seus segredos no caso improvável de perder o acesso ao seu cofre de chaves.
Visão geral
Azure Key Vault fornece várias opções para garantir a disponibilidade e a capacidade de recuperação dos dados do seu cofre:
- Redundância e failover automáticos: o Azure Key Vault replica dados automaticamente entre regiões e gere o failover durante falhas - consulte Disponibilidade e redundância do Azure Key Vault
- Exclusão suave e proteção contra purga: impede a exclusão acidental ou maliciosa do seu cofre ou dos objetos do cofre - consulte Gerenciamento de recuperação do Azure Key Vault com exclusão suave e proteção contra purga
- Backup e restauração manuais (abordados neste artigo): Para segredos individuais, chaves e certificados
Este artigo se concentra em operações manuais de backup e restauração para objetos individuais no Cofre da Chave.
Quando usar backups
O Azure Key Vault fornece automaticamente recursos para ajudá-lo a manter a disponibilidade e evitar a perda de dados. Faça backup de segredos somente se você tiver uma justificativa comercial crítica. Fazer backup de segredos no seu cofre de segredos pode criar desafios operacionais, como manter vários conjuntos de logs, permissões e backups quando os segredos expiram ou são rodados.
Considere o uso de backups nestes cenários:
- Você precisa mover objetos entre cofres de chaves ou regiões do Azure.
- Você deseja uma cópia offline de seus segredos por motivos regulatórios ou de conformidade
- Você está usando uma região que não oferece suporte à replicação automática entre regiões (Sul do Brasil, Sudeste do Brasil ou Oeste dos EUA 3)
- Você precisa de proteção contra a exclusão acidental de objetos específicos
Para a maioria dos cenários, os recursos integrados de redundância e exclusão suave do Key Vault fornecem proteção suficiente sem a necessidade de backups manuais. Para obter mais informações, consulte Disponibilidade e redundância do Azure Key Vault.
Limitações
Importante
O Cofre da Chave não suporta a capacidade de fazer backup de mais de 500 versões anteriores de um objeto de chave, segredo ou certificado, e tentar fazer isso pode resultar em um erro. Não é possível excluir versões anteriores de uma chave, segredo ou certificado.
Atualmente, o Cofre de Chaves não fornece uma maneira de fazer backup de um cofre de chaves inteiro em uma única operação e chaves, segredos e certificados devem ser copiados individualmente.
Considere também as seguintes questões:
- Fazer backup de segredos com várias versões pode causar erros de time-out.
- Um backup cria um instantâneo de um momento específico no tempo. Os segredos podem ser renovados durante um backup, causando uma incompatibilidade de chaves de criptografia.
- Se exceder os limites de serviço do cofre de chaves para pedidos por segundo, o seu cofre de chaves será sujeito a restrições e o backup falhará.
Considerações de design
Quando você faz backup de um objeto do cofre de chaves, como um segredo, chave ou certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não pode ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, você deve restaurar o blob em um cofre de chaves dentro da mesma assinatura do Azure e da mesma geografia do Azure.
Pré-requisitos
Para fazer backup de um objeto do cofre de chaves, você deve ter:
- Permissões de nível de colaborador ou superiores em uma assinatura do Azure.
- Um cofre de chave primária que contém os segredos dos quais você deseja fazer backup.
- Um cofre de chave secundário onde os segredos serão restaurados.
Fazer backup e restaurar a partir do portal do Azure
Siga as etapas nesta seção para fazer backup e restaurar objetos usando o portal do Azure.
Fazer backup
Vá para o portal do Azure.
Selecione o cofre das chaves.
Vá para o objeto (segredo, chave ou certificado) do qual deseja fazer backup.
Selecione o objeto.
Selecione Download Backup.
Selecione Download.
Armazene o blob criptografado em um local seguro.
Restaurar
Vá para o portal do Azure.
Selecione o cofre das chaves.
Vá para o tipo de objeto (segredo, chave ou certificado) que deseja restaurar.
Selecione Restaurar Backup.
Vá para o local onde você armazenou o blob criptografado.
Selecione OK.
Fazer backup e restaurar a partir da CLI do Azure ou do Azure PowerShell
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}