Включение обратимого удаления во всех хранилищах ключей

  • Статья

Предупреждение

Критическое изменение: вы должны немедленно включить обратимое удаление в приоритетных хранилищах ключей. Подробности см. ниже.

Если хранилище ключей не защищено функцией обратимого удаления, при удалении секрета оно будет удалено без возможности восстановления. Хотя сейчас пользователи могут отказаться от обратимого удаления во время создания хранилища ключей, использовать эту возможность не рекомендуется. В феврале 2025 года корпорация Майкрософт включит функцию обратимого удаления для всех хранилищ ключей, а пользователи больше не смогут отказаться от этой функции или отключить ее. Функция предназначена для защиты секретов от случайного или злонамеренного удаления пользователем.

Схема: сравнение удаления хранилища ключей с защитой обратимого удаления и без такой защиты.

Дополнительные сведения о функции обратимого удаления см. в этой статье.

Можно ли в моем приложении использовать обратимое удаление?

Имена хранилищ ключей должны быть глобально уникальными, то есть Имена секретов в хранилище ключей также должны быть уникальными. Вы не сможете повторно использовать имя хранилища ключей или объекта хранилища ключей, если хранилище или объект находятся в состоянии обратимого удаления.

Например, если приложение программными средствами создает хранилище ключей с именем "Хранилище A" и позже удаляет его, хранилище будет переведено в состояние обратимого удаления. Ваше приложение не сможет еще раз создать хранилище ключей с именем "Хранилище А", пока такое хранилище не будет выведено из состояния обратимого удаления (очищено).

Кроме того, если приложение создает ключ с именем test key в Хранилище А и позже удаляет этот ключ, приложение не сможет создать новый ключ с именем test key в Хранилище А, пока объект test key не будет выведен из состояния обратимого удаления (очищен).

Если вы попытаетесь удалить объект хранилища ключей и воссоздать его с тем же именем, не выводя его из состояния обратимого удаления, могут произойти ошибки конфликтов. Эти ошибки могут вызвать сбой приложений или автоматизации. Прежде чем вносить указанные ниже необходимые изменения в приложение и систему администрирования, обратитесь к своей команде разработчиков.

Изменения приложений

Если в приложении предполагается, что обратимое удаление не включено, и ожидается, что удаленные секреты или имена хранилищ ключей будут доступны для немедленного повторного использования, вам потребуется внести указанные ниже изменения в логику приложения.

  1. Удалите исходное хранилище ключей или секрет.
  2. Очистить хранилище ключей или секрет в состоянии обратимого удаления.
  3. Дождитесь завершения очистки. При немедленном повторном создании может произойти конфликт.
  4. Повторно создать хранилище ключей с тем же именем.
  5. Если операция создания по-прежнему приводит к ошибке конфликта имен, попробуйте еще раз создать хранилище ключей. Для обновления записей Azure DNS может потребоваться максимум 10 минут.

Изменения администрирования

Субъектам безопасности, которым необходим доступ для окончательного удаления секретов, нужно предоставить расширенные разрешения политики доступа для очистки этих секретов и хранилища ключей.

Отключите в своих хранилищах ключей назначения политики Azure, которые требуют отключить обратимое удаление. Возможно, вам потребуется передать эту проблему администратору, который контролирует назначения политики Azure, применяемые к среде. Если это назначение политики не отключено, вы можете утратить возможность создавать хранилища ключей в области применяемого назначения политики.

Если организация регулируется требованиями нормативно-правового соответствия и не может позволить удаленным хранилищам ключей и секретам в течение длительного периода оставаться в состоянии, допускающем восстановление, вам потребуется настроить период хранения обратимого удаления, чтобы обеспечить соответствие стандартам организации. Для срока хранения можно настроить длительность 7–90 дней.

Процедуры

Выполнение аудита хранилищ ключей для проверки включения обратимого удаления

  1. Войдите на портал Azure.
  2. Выполните поиск по запросу Политика Azure.
  3. Выберите элемент Определения.
  4. В разделе Категория в фильтре выберите элемент Key Vault.
  5. Выберите политику, требующую, чтобы в хранилище ключей было включено обратимое удаление.
  6. Выберите Назначить.
  7. Настройте область подписки.
  8. Убедитесь, что для действия политики задано значение Аудит.
  9. Выберите Review + Create (Просмотреть и создать). Полное сканирование среды может занять до 24 часов.
  10. В области Политика Azure щелкните элемент Соответствие.
  11. Выберите примененную политику.

Теперь вы можете применять фильтрацию и видеть, в каких хранилищах ключей включено обратимое удаление (соответствующие ресурсы), а в каких хранилищах ключей не включена эта функция (несоответствующие ресурсы).

Включение обратимого удаления для существующего хранилища ключей

  1. Войдите на портал Azure.
  2. Найдите свое хранилище ключей.
  3. В разделе Параметры выберите элемент Свойства.
  4. В разделе Обратимое удаление выберите параметр Enable recovery of this vault and its objects (Включить восстановление этого хранилища и его объектов).
  5. Настройте срок хранения для обратимого удаления.
  6. Щелкните Сохранить.

Предоставление субъекту безопасности разрешения политики доступа на очистку

  1. Войдите на портал Azure.
  2. Найдите свое хранилище ключей.
  3. В разделе Параметры выберите элемент Политики доступа.
  4. Выберите субъект-службу, которому хотите предоставить доступ.
  5. Просмотрите каждое раскрывающееся меню в разделах Ключ, Секрет и Разрешения сертификатов, пока не отобразится элемент Privileged Operations (Привилегированные операции). Выберите разрешение Очистка.

Часто задаваемые вопросы

Повлияет ли это изменение на работу?

Если у вас уже включено обратимое удаление или вы не удаляете и не воссоздаете объекты хранилища ключей с тем же именем, то, скорее всего, вы не заметите никаких изменений в работе хранилища ключей.

Если у вас есть приложение, которое часто удаляет и воссоздает объекты хранилища ключей с одинаковыми соглашениями об именовании, вам нужно будет внести изменения в логику приложения, чтобы поддерживать ожидаемое поведение. См. раздел Изменения приложений в этой статье.

Каковы преимущества этого изменения?

Функция обратимого удаления предоставляет организации еще один уровень защиты от случайного или злонамеренного удаления. Как администратор хранилища ключей вы можете ограничить доступ как к разрешениям на восстановление, так и к разрешениям на очистку.

Если пользователь случайно удалит хранилище ключей или секрет, вы сможете предоставить ему права доступа для самостоятельного восстановления секрета без риска того, что он навсегда удалит секрет или хранилище ключей. Этот процесс самообслуживания минимизирует время простоя в среде и гарантирует доступность секретов.

Как узнать, нужно ли предпринимать какие-то действия?

Выполните действия, описанные в разделе Выполнение аудита хранилищ ключей для проверки включения обратимого удаления этой статьи. Это изменение затронет все хранилища ключей, для которых не включено обратимое удаление.

Какие действия необходимо предпринять?

Убедившись, что вам не нужно вносить изменения в логику приложения, включите обратимое удаление для всех хранилищ ключей.

Когда нужно предпринимать действия?

Чтобы ваши приложения не были затронуты, включите обратимое удаление для хранилищ ключей как можно скорее.

Следующие шаги