Управление восстановлением Azure Key Vault с обратимым удалением и защитой от очистки

В этой статье рассматриваются две функции восстановления Azure Key Vault: обратимое удаление и защита от очистки. В этом документе представлен обзор этих функций и показано, как управлять ими с помощью портала Azure, Azure CLI и Azure PowerShell.

Для получения дополнительных сведений о Key Vault см.

Предварительные требования

  • Подписка Azure — создайте бесплатную учетную запись.

  • Azure PowerShell.

  • Azure CLI

  • Хранилище Key Vault можно создать с помощью портала Azure, Azure CLI или Azure PowerShell.

  • Пользователю потребуются следующие разрешения (на уровне подписки) для выполнения операций с обратимо удаляемыми хранилищами.

    Разрешение Описание
    Microsoft.KeyVault/locations/deletedVaults/read Отображает свойства обратимо удаленного Key Vault.
    Microsoft.KeyVault/locations/deletedVaults/purge/action Очищает обратимо удаленное хранилище Key Vault.
    Microsoft.KeyVault/locations/operationResults/read Проверка состояния очистки хранилища
    Участник Key Vault Восстановление обратимо удаленного хранилища

Понимание обратимого удаления и защиты от очистки

Обратимое удаление и защита от очистки – это две разные функции восстановления хранилища ключей.

Обратимое удаление предназначено для предотвращения случайного удаления хранилища ключей, а также ключей, секретов и сертификатов, хранящихся в хранилище ключей. Обратимое удаление по принципу работы подобно корзине. При удалении хранилища ключей или объекта хранилища ключей, его можно будет восстановить в течение настраиваемого пользователем периода хранения или 90 дней по умолчанию. Хранилища ключей в состоянии обратимого удаления также можно очищать, что означает их окончательное удаление. Это позволяет восстанавливать хранилища ключей и объекты хранилища ключей с тем же именем. Как для восстановления, так и для удаления хранилищ ключей и объектов требуются разрешения политики расширенного доступа. После включения обратимого удаления его отключение невозможно.

Важно!

Вы должны немедленно включить обратимое удаление в приоритетных хранилищах ключей. Не рекомендуется отказываться от обратимого удаления. Возможность сделать это станет недоступна в феврале 2025 года. Подробные сведения см. здесь

Важно отметить, что имена хранилищ ключей глобально уникальны, поэтому не получится создать хранилище ключей с тем же именем, что и хранилище ключей в состоянии обратимого удаления. Точно так же имена ключей, секретов и сертификатов уникальны в пределах хранилища ключей. Не удастся создать секрет, ключ или сертификат с тем же именем, что и другой, находящийся в состоянии обратимого удаления.

Защита от очистки предназначена для предотвращения удаления хранилища ключей, ключей, секретов и сертификатов внутренним злоумышленником. Эта функция по своим характеристикам аналогична корзине с блокировкой по времени. Можно восстановить элементы в любой момент в течение настраиваемого периода хранения. Не удастся окончательно удалить или очистить хранилище ключей до истечения периода хранения. По истечении срока хранения хранилище ключей или объект хранилища ключей будут очищены автоматически.

Примечание

Защита от очистки разработана таким образом, что никакая роль или разрешение администратора не может переопределять, отключать или обходить защиту от очистки. После включения защиты от очистки ее никто не может отключить или переопределить, включая корпорацию Майкрософт. Это означает, что требуется восстановить удаленное хранилище ключей или дождаться истечения срока хранения, прежде чем повторно использовать имя хранилища ключей.

Дополнительные сведения по обратимому удалению см. в статье Общие сведения об обратимом удалении Azure Key Vault.

Проверка включения обратимого удаления для хранилище ключей и включение обратимого удаления

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите колонку "Свойства".
  4. Убедитесь, что переключатель рядом с параметром обратимого удалением установлен в положение "Включить восстановление".
  5. Если обратимое удаление не включено для хранилища ключей, щелкните переключатель, чтобы включить обратимое удаление, и нажмите кнопку "Сохранить".

В колонке

Предоставление доступа субъекту- службе для очистки и восстановления удаленных секретов

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите колонку "Политика доступа".
  4. В таблице найдите строку субъекта безопасности, которому требуется предоставить доступ (или добавьте нового субъекта безопасности).
  5. Щелкните раскрывающийся список ключей, сертификатов и секретов.
  6. Прокрутите раскрывающийся список вниз и щелкните "Восстановить" и "Очистить".
  7. Субъектам безопасности также потребуются функции получения и создания списков для выполнения большинства операций.

На левой панели навигации выделена политика доступа. В политиках доступа отображается раскрывающийся список

Создание списков, восстановление или очистка хранилища ключей с обратимым удалением

  1. Войдите на портал Azure.
  2. Щелкните строку поиска в верхней части страницы.
  3. Поиск службы "Key Vault". Не выбирайте отдельные хранилища ключей.
  4. В верхней части экрана щелкните параметр "Управление удаленными хранилищами".
  5. В правой части экрана откроется контекстная панель.
  6. Выберите свою подписку.
  7. Если хранилище ключей было удалено обратимо, оно появится в контекстной панели справа.
  8. Если хранилищ слишком много, можно выбрать "Загрузить больше" в нижней части контекстной панели или использовать интерфейс командной строки или PowerShell для получения результатов.
  9. Установите флажок для хранилища, которое требуется восстановить или очистить.
  10. Выберите параметр восстановления в нижней части контекстной панели, если требуется восстановить хранилище ключей.
  11. Выберите параметр очистки, если необходимо окончательно удалить хранилище ключей.

Для хранилищ ключей параметр

В разделе

Создание списков, восстановление или очистка обратимо удаленных секретов, ключей и сертификатов

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите колонку, соответствующую типу секрета, которым требуется управлять (ключи, секреты или сертификаты).
  4. В верхней части экрана щелкните "Управление удаленными" (ключами, секретами или сертификатами).
  5. В правой части экрана появится контекстная панель.
  6. Если секрет, ключ или сертификат не отображаются в списке, значит, он для него не использовалось обратимое удаление.
  7. Выберите секрет, ключ или сертификат, которым требуется управлять.
  8. Выберите параметр восстановления или очистки внизу контекстной панели.

Для ключей выделен параметр

Дальнейшие действия