Backup e restauração do Azure Key Vault

Este documento mostra como fazer backup de segredos, chaves e certificados armazenados no cofre de chaves. Uma cópia de segurança destina-se a fornecer-lhe uma cópia offline de todos os seus segredos no caso improvável de perder o acesso ao seu cofre de chaves.

Descrição geral

O Azure Key Vault fornece automaticamente recursos para ajudá-lo a manter a disponibilidade e evitar a perda de dados. Faça backup de segredos somente se você tiver uma justificativa comercial crítica. Fazer backup de segredos em seu cofre de chaves pode introduzir desafios operacionais, como manter vários conjuntos de logs, permissões e backups quando os segredos expiram ou giram.

O Key Vault mantém a disponibilidade em cenários de desastre e fará failover automático de solicitações para uma região emparelhada sem qualquer intervenção de um usuário. Para obter mais informações, consulte Disponibilidade e redundância do Azure Key Vault.

Se você quiser proteção contra exclusão acidental ou maliciosa de seus segredos, configure os recursos de proteção de exclusão suave e limpeza em seu cofre de chaves. Para obter mais informações, consulte Visão geral de exclusão suave do Azure Key Vault.

Limitações

Importante

O Cofre de Chaves não suporta a capacidade de fazer backup de mais de 500 versões anteriores de um objeto de chave, segredo ou certificado. A tentativa de fazer backup de uma chave, segredo ou objeto de certificado pode resultar em um erro. Não é possível excluir versões anteriores de uma chave, segredo ou certificado.

Atualmente, o Cofre de Chaves não fornece uma maneira de fazer backup de um cofre de chaves inteiro em uma única operação e chaves, segredos e certificados devem ser copiados indvidualmente.

Considere também as seguintes questões:

• O backup de segredos com várias versões pode causar erros de tempo limite.
• Um backup cria um instantâneo point-in-time. Os segredos podem ser renovados durante um backup, causando uma incompatibilidade de chaves de criptografia.
• Se você exceder os limites de serviço do cofre de chaves para solicitações por segundo, o cofre de chaves será limitado e o backup falhará.

Considerações de design

Quando você faz backup de um objeto do cofre de chaves, como um segredo, chave ou certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não pode ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, você deve restaurar o blob em um cofre de chaves dentro da mesma assinatura do Azure e da mesma geografia do Azure.

Pré-requisitos

Para fazer backup de um objeto do cofre de chaves, você deve ter:

• Permissões de nível de colaborador ou superiores em uma assinatura do Azure.
• Um cofre de chave primária que contém os segredos dos quais você deseja fazer backup.
• Um cofre de chave secundário onde os segredos serão restaurados.

Fazer backup e restaurar a partir do portal do Azure

Siga as etapas nesta seção para fazer backup e restaurar objetos usando o portal do Azure.

Fazer cópia de segurança

1. Aceda ao portal do Azure.

2. Selecione o cofre das chaves.

3. Vá para o objeto (segredo, chave ou certificado) do qual deseja fazer backup.

   

4. Selecione o objeto.

5. Selecione Baixar backup.

   

6. Selecione Transferir.

   

7. Armazene o blob criptografado em um local seguro.

Restauro

1. Aceda ao portal do Azure.

2. Selecione o cofre das chaves.

3. Vá para o tipo de objeto (segredo, chave ou certificado) que deseja restaurar.

4. Selecione Restaurar backup.

   

5. Vá para o local onde você armazenou o blob criptografado.

6. Selecione OK.

Fazer backup e restaurar a partir da CLI do Azure ou do Azure PowerShell

CLI do Azure

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Azure PowerShell

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '{AZURE SUBSCRIPTION ID}'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -Name '{Certificate Name}'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '{Key Vault Name}' -Name '{Key Name}'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '{Key Vault Name}' -Name '{Secret Name}'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '{Key Vault Name}' -InputFile '{File Path}'

Próximos passos

• Mover um cofre de chaves do Azure entre regiões
• Ativar o registo do Cofre da Chave para o Cofre da Chave