Descrição geral da eliminação recuperável do Azure Key Vault
Importante
Se um cofre de chaves não tiver a proteção de exclusão suave habilitada, excluir uma chave a excluirá permanentemente. Os clientes são fortemente incentivados a ativar a imposição de exclusão suave para seus cofres por meio da Política do Azure.
Importante
Quando um Cofre de Chaves é excluído por software, os serviços integrados ao Cofre de Chaves serão excluídos. Por exemplo: atribuições de funções do RBAC do Azure e assinaturas da Grade de Eventos. A recuperação de um Cofre de Chaves excluído por software não restaurará esses serviços. Terão de ser recriados.
A funcionalidade de eliminação recuperável do Key Vault permite a recuperação dos cofres e objetos dos cofres de chaves eliminados (por exemplo, chaves, segredos, certificados). Especificamente, abordamos os seguintes cenários: Esta salvaguarda oferece as seguintes proteções:
- Depois que um segredo, chave, certificado ou cofre de chaves é excluído, ele permanece recuperável por um período configurável de 7 a 90 dias corridos. Se nenhuma configuração for especificada, o período de recuperação padrão será definido como 90 dias para fornecer aos usuários tempo suficiente para notar uma exclusão secreta acidental e responder.
- Têm de ser feitas duas operações para eliminar permanentemente um segredo. Primeiro, o utilizador tem de eliminar o objeto, que o coloca no estado de eliminação recuperável. Segundo, o utilizador tem de remover o objeto no estado de eliminação recuperável. Essas proteções reduzem o risco de um usuário excluir acidentalmente ou maliciosamente um segredo ou um cofre de chaves.
- Para limpar um segredo, chave, certificado no estado de exclusão suave, uma entidade de segurança deve receber permissão de operação "limpar" (com a função interna do Cofre da Chave"Operador de Limpeza do Cofre da Chave", por exemplo).
Interfaces de suporte
O recurso de exclusão suave está disponível por meio da API REST, da CLI do Azure, do Azure PowerShell e das interfaces .NET/C#, bem como modelos ARM.
Cenários
Os Cofres de Chaves do Azure são recursos rastreados, gerenciados pelo Gerenciador de Recursos do Azure. O Azure Resource Manager também especifica um comportamento bem definido para exclusão, o que requer que uma operação DELETE bem-sucedida resulte em que esse recurso não esteja mais acessível. O recurso de exclusão suave aborda a recuperação do objeto excluído, quer a exclusão tenha sido acidental ou intencional.
No cenário típico, um usuário exclui inadvertidamente um cofre de chaves ou um objeto de cofre de chaves; Se esse objeto do Cofre de Chaves ou Cofre de Chaves foi recuperável por um período predeterminado, o usuário pode desfazer a exclusão e recuperar seus dados.
Em um cenário diferente, um usuário não autorizado pode tentar excluir um cofre de chaves ou um objeto de cofre de chaves, como uma chave dentro de um cofre, para causar uma interrupção de negócios. Separar a exclusão do objeto do cofre de chaves ou do cofre de chaves da exclusão real dos dados subjacentes pode ser usado como uma medida de segurança, por exemplo, restringindo as permissões de exclusão de dados a uma função diferente e confiável. Esta abordagem exige efetivamente quórum para uma operação que, de outra forma, poderia resultar numa perda imediata de dados.
Comportamento de eliminação recuperável
Quando a exclusão suave está habilitada, os recursos marcados como recursos excluídos são retidos por um período especificado (90 dias por padrão). O serviço ainda fornece um mecanismo para recuperar o objeto excluído, essencialmente desfazendo a exclusão.
Ao criar um novo cofre de chaves, a exclusão suave está ativada por padrão. Depois que a exclusão suave estiver habilitada em um cofre de chaves, ela não poderá ser desativada.
O intervalo da política de retenção só pode ser configurado durante a criação do cofre de chaves e não pode ser alterado posteriormente. Você pode defini-lo em qualquer lugar de 7 a 90 dias, com 90 dias sendo o padrão. O mesmo intervalo se aplica à exclusão suave e à política de retenção de proteção contra limpeza.
Não é possível reutilizar o nome de um cofre de chaves que foi excluído suavemente até que o período de retenção expire.
Proteção contra purga
A proteção contra limpeza é um comportamento opcional do Cofre da Chave e não está habilitada por padrão. A proteção contra limpeza só pode ser ativada quando a exclusão suave estiver ativada. A proteção contra limpeza é recomendada ao usar chaves para criptografia para evitar a perda de dados. A maioria dos serviços do Azure que se integram ao Cofre de Chaves do Azure, como o Armazenamento, exigem proteção contra limpeza para evitar a perda de dados.
Quando a proteção contra limpeza está ativada, um cofre ou um objeto no estado excluído não pode ser limpo até que o período de retenção passe. Cofres e objetos excluídos por software ainda podem ser recuperados, garantindo que a política de retenção seja seguida.
O período de retenção padrão é de 90 dias, mas é possível definir o intervalo da política de retenção para um valor de 7 a 90 dias por meio do portal do Azure. Depois que o intervalo da política de retenção for definido e salvo, ele não poderá ser alterado para esse cofre.
A Proteção contra Limpeza pode ser ativada via CLI, PowerShell ou Portal.
Expurgo permitido
Permanentemente excluindo, limpando, um cofre de chaves é possível através de uma operação POST no recurso proxy e requer privilégios especiais. Em geral, apenas o proprietário da assinatura ou um usuário com a função RBAC "Key Vault Purge Operator" pode limpar um cofre de chaves. A operação POST aciona a exclusão imediata e irrecuperável desse cofre.
As exceções são:
- Quando a assinatura do Azure é marcada como undeletable. Nesse caso, apenas o serviço pode executar a exclusão real, e o faz como um processo agendado.
- Quando o
--enable-purge-protection
argumento é ativado no próprio cofre. Nesse caso, o Cofre da Chave aguardará de 7 a 90 dias a partir de quando o objeto secreto original foi marcado para exclusão para excluir permanentemente o objeto.
Para conhecer as etapas, consulte Como usar a exclusão suave do Cofre da Chave com a CLI: Limpando um cofre de chaves ou Como usar a exclusão suave do Cofre da Chave com o PowerShell: Limpando um cofre de chaves.
Recuperação do cofre de chaves
Quando um cofre de chaves é excluído, o serviço cria um recurso de proxy sob a assinatura, adicionando metadados suficientes para recuperação. O recurso de proxy é um objeto armazenado, disponível no mesmo local que o cofre de chaves excluído.
Recuperação de objetos do cofre de chaves
Quando um objeto do cofre de chaves, como uma chave, é excluído, o serviço coloca o objeto em um estado excluído, tornando-o inacessível a quaisquer operações de recuperação. Enquanto estiver nesse estado, o objeto do cofre da chave só pode ser listado, recuperado ou excluído forçadamente/permanentemente. Para exibir os objetos, use o comando CLI az keyvault key list-deleted
do Azure (conforme documentado em Como usar a exclusão suave do Cofre da Chave com a CLI) ou o comando do Azure PowerShell Get-AzKeyVault -InRemovedState
(conforme descrito em Como usar a exclusão suave do Cofre da Chave com o PowerShell).
Ao mesmo tempo, o Cofre da Chave agendará a exclusão dos dados subjacentes correspondentes ao objeto do cofre de chaves ou cofre de chaves excluído para execução após um intervalo de retenção predeterminado. O registro DNS correspondente ao cofre também é mantido durante o intervalo de retenção.
Período de retenção de exclusão suave
Os recursos excluídos por software são retidos por um determinado período de tempo, 90 dias. Durante o intervalo de retenção de exclusão suave, aplica-se o seguinte:
- Você pode listar todos os cofres de chaves e objetos do cofre de chaves no estado de exclusão suave para sua assinatura, bem como acessar informações de exclusão e recuperação sobre eles.
- Somente usuários com permissões especiais podem listar cofres excluídos. Recomendamos que nossos usuários criem uma função personalizada com essas permissões especiais para lidar com cofres excluídos.
- Um cofre de chaves com o mesmo nome não pode ser criado no mesmo local; Correspondentemente, um objeto do Cofre de Chaves não pode ser criado em um determinado Cofre se esse Cofre de Chaves contiver um objeto com o mesmo nome e que esteja em um estado excluído.
- Somente um usuário especificamente privilegiado pode restaurar um objeto do cofre de chaves ou do cofre de chaves emitindo um comando de recuperação no recurso de proxy correspondente.
- O usuário, membro da função personalizada, que tem o privilégio de criar um cofre de chaves no grupo de recursos pode restaurar o cofre.
- Somente um usuário especificamente privilegiado pode excluir à força um objeto do cofre de chaves ou do cofre de chaves emitindo um comando delete no recurso de proxy correspondente.
A menos que um objeto do cofre de chaves ou do cofre de chaves seja recuperado, no final do intervalo de retenção, o serviço executa uma limpeza do objeto do cofre de chaves excluído por software ou do objeto do cofre de chaves e seu conteúdo. A exclusão de recursos não pode ser reagendada.
Implicações de faturação
Em geral, quando um objeto (um cofre de chaves ou uma chave ou um segredo) está em estado excluído, há apenas duas operações possíveis: 'limpar' e 'recuperar'. Todas as outras operações falharão. Portanto, mesmo que o objeto exista, nenhuma operação pode ser realizada e, portanto, nenhum uso ocorrerá, portanto, nenhuma fatura. No entanto, existem as seguintes exceções:
- As ações de 'limpeza' e 'recuperação' contarão para as operações normais do cofre de chaves e serão cobradas.
- Se o objeto for uma chave HSM, a cobrança de 'Chave protegida HSM' por versão de chave por mês será aplicada se uma versão de chave tiver sido usada nos últimos 30 dias. Depois disso, como o objeto está no estado excluído, nenhuma operação pode ser executada contra ele, portanto, nenhuma cobrança será aplicada.
Próximos passos
Os três guias a seguir oferecem os principais cenários de uso para o uso de exclusão suave.