Configurar backup e recuperação de certificados, segredos e chaves

  • 7 minutos

O Azure Key Vault fornece automaticamente recursos para ajudá-lo a manter a disponibilidade e evitar a perda de dados. Faça backup de segredos somente se você tiver uma justificativa comercial crítica. Fazer backup de segredos em seu cofre de chaves pode introduzir desafios operacionais, como manter vários conjuntos de logs, permissões e backups quando os segredos expiram ou giram.

O Key Vault mantém a disponibilidade em cenários de desastre e fará failover automático de solicitações para uma região emparelhada sem qualquer intervenção de um usuário.

Se você quiser proteção contra exclusão acidental ou maliciosa de seus segredos, configure os recursos de proteção de exclusão suave e limpeza em seu cofre de chaves.

Atualmente, o Cofre de Chaves não fornece uma maneira de fazer backup de um cofre de chaves inteiro em uma única operação. Qualquer tentativa de usar os comandos listados neste documento para fazer um backup automatizado de um cofre de chaves pode resultar em erros e não será suportada pela Microsoft ou pela equipe do Cofre de Chaves do Azure.

Considere também as seguintes consequências:

  • O backup de segredos com várias versões pode causar erros de tempo limite.
  • Um backup cria um instantâneo point-in-time. Os segredos podem ser renovados durante um backup, causando uma incompatibilidade de chaves de criptografia.
  • Se você exceder os limites de serviço do cofre de chaves para solicitações por segundo, o cofre de chaves será limitado e o backup falhará.

Considerações de design

Quando você faz backup de um objeto do cofre de chaves, como um segredo, chave ou certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não pode ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, você deve restaurar o blob em um cofre de chaves dentro da mesma assinatura do Azure e da mesma geografia do Azure.

Pré-requisitos

Para fazer backup de um objeto do cofre de chaves, você deve ter:

  • Permissões de nível de colaborador ou superiores em uma assinatura do Azure.
  • Um cofre de chave primária que contém os segredos dos quais você deseja fazer backup.
  • Um cofre de chave secundário onde os segredos serão restaurados.

Fazer backup e restaurar a partir do portal do Azure

Siga as etapas nesta seção para fazer backup e restaurar objetos usando o portal do Azure.

Fazer cópia de segurança

  1. Aceda ao portal do Azure.

  2. Selecione o cofre das chaves.

  3. Vá para o objeto (segredo, chave ou certificado) do qual deseja fazer backup.

  4. Selecione o objeto.

  5. Selecione Baixar backup.

  6. Selecione Transferir.

  7. Armazene o blob criptografado em um local seguro.

Restauro

  1. Aceda ao portal do Azure.

  2. Selecione o cofre das chaves.

  3. Vá para o tipo de objeto (segredo, chave ou certificado) que deseja restaurar.

  4. Selecione Restaurar backup.

  5. Vá para o local onde você armazenou o blob criptografado.

  6. Selecione OK.