Eliminação recuperável e proteção contra remoção do HSM gerido

Artigo
02/20/2024

Este artigo descreve duas funcionalidades de recuperação do HSM Gerido: eliminação recuperável e proteção contra remoção. Fornece uma descrição geral destas funcionalidades e demonstra como geri-las com a CLI do Azure e Azure PowerShell.

Para obter mais informações, veja Descrição geral do HSM Gerido.

Pré-requisitos

Uma subscrição do Azure. Crie uma gratuitamente.
O módulo do PowerShell.
CLI do Azure 2.25.0 ou posterior. Execute az --version para determinar a versão que tem. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).
Um HSM gerido. Pode criar uma com a CLI do Azure ou Azure PowerShell.

Os utilizadores precisarão das seguintes permissões para realizar operações em HSMs ou chaves eliminados de forma recuperável:

Atribuição de função	Descrição
Contribuidor HSM Gerido	Listar, recuperar e remover HSMs eliminados de forma recuperável
Utilizador Criptografo HSM Gerido	Listar chaves eliminadas de forma recuperável
Managed HSM Crypto Officer	Remover e recuperar chaves eliminadas de forma recuperável

O que são a eliminação recuperável e a proteção contra remoção?

A eliminação recuperável e a proteção contra remoção são funcionalidades de recuperação.

A eliminação recuperável foi concebida para impedir a eliminação acidental do HSM e das chaves. A eliminação recuperável funciona como uma reciclagem. Quando elimina um HSM ou uma chave, este permanecerá recuperável durante um período de retenção configurável ou por um período predefinido de 90 dias. Os HSMs e as chaves no estado de eliminação recuperável também podem ser removidos, o que significa que são eliminados permanentemente. A remoção permite-lhe recriar HSMs e chaves com o mesmo nome que o item removido. Tanto a recuperação como a eliminação de HSMs e chaves requerem atribuições de funções específicas. A eliminação recuperável não pode ser desativada.

Nota

Uma vez que os recursos subjacentes permanecem alocados ao HSM mesmo quando estão num estado eliminado, o recurso do HSM continuará a acumular custos por hora enquanto estiver nesse estado.

Os nomes HSM geridos são globalmente exclusivos em todos os ambientes de cloud. Por isso, não pode criar um HSM gerido com o mesmo nome que existe num estado de eliminação recuperável. Da mesma forma, os nomes das chaves são exclusivos num HSM. Não pode criar uma chave com o mesmo nome que existe no estado de eliminação recuperável.

Para obter mais informações, veja Descrição geral da eliminação recuperável do HSM Gerido.

A proteção contra remoção foi concebida para impedir a eliminação dos seus HSMs e chaves por um utilizador interno malicioso. É como uma reciclagem com um bloqueio baseado no tempo. Pode recuperar itens em qualquer altura durante o período de retenção configurável. Não poderá eliminar ou remover permanentemente um HSM ou uma chave até que o período de retenção termine. Quando o período de retenção terminar, o HSM ou a chave serão removidos automaticamente.

Nota

Nenhuma função ou permissão de administrador pode substituir, desativar ou contornar a proteção contra remoção. Se a proteção contra remoção estiver ativada, não poderá ser desativada ou substituída por ninguém, incluindo a Microsoft. Por isso, tem de recuperar um HSM eliminado ou aguardar que o período de retenção termine antes de poder reutilizar o nome do HSM.

HSMs geridos (CLI)

Para verificar o estado da eliminação recuperável e da proteção contra remoção de um HSM gerido:
```
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Para eliminar um HSM:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Esta ação é recuperável porque a eliminação recuperável está ativada por predefinição.

Para listar todos os HSMs eliminados de forma recuperável:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Para recuperar um HSM eliminado de forma recuperável:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Para remover um HSM eliminado de forma recuperável:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Aviso

Esta operação eliminará permanentemente o HSM.

Para ativar a proteção contra remoção num HSM:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Chaves (CLI)

Para eliminar uma chave:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para listar chaves eliminadas:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Para recuperar uma chave eliminada:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para remover uma chave de eliminação recuperável:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Aviso

Esta operação eliminará permanentemente a sua chave.

HSMs geridos (PowerShell)

Para verificar o estado da eliminação recuperável e da proteção contra remoção de um HSM gerido:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
Para eliminar um HSM:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Esta ação é recuperável porque a eliminação recuperável está ativada por predefinição.

Chaves (PowerShell)

Para eliminar uma chave:

Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'

Para listar todas as chaves eliminadas:

Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState

Para recuperar uma chave de eliminação recuperável:

Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey

Para remover uma chave de eliminação recuperável:
```
Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
```
Aviso

Esta operação eliminará permanentemente a sua chave.

Share via