Обратимое удаление и защита от очистки для управляемых модулей HSM

Статья
02/20/2024

В этой статье описываются две функции восстановления управляемых модулей HSM: обратимое удаление и защита от очистки. В ней представлен обзор этих функций и показано, как управлять ими с помощью Azure CLI и Azure PowerShell.

Дополнительные сведения см. в обзоре управляемых модулей HSM.

Предварительные требования

Подписка Azure. Создайте бесплатно.
Модуль PowerShell.
Azure CLI 2.25.0 или более поздней версии. Введите команду az --version, чтобы определить свою версию. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.
Управляемый модуль HSM. Вы можете создать его с помощью Azure CLI или Azure PowerShell.

Для выполнения операций с обратимо удаленными ключами и модулями HSM пользователям необходимы следующие разрешения:

Назначение ролей	Описание
Участник управляемого модуля HSM	Получение списка, восстановление и очистка обратимо удаленных модулей HSM
Пользователь шифрования управляемого устройства HSM	Получение списка обратимо удаленных ключей
Специалист по системе шифрования управляемого устройства HSM	Очистка и восстановление обратимо удаленных ключей

Что такое обратимое удаление и защита от очистки?

Обратимое удаление и защита от очистки — это функции восстановления.

Обратимое удаление предназначено для предотвращения непреднамеренного удаления модулей HSM и ключей. Обратимое удаление работает аналогично корзине. При удалении модуля HSM или ключа он остается восстанавливаемым в течение настраиваемого периода хранения или в течение 90 дней. Модули HSM и ключи в состоянии обратимого удаления также можно очистить, то есть необратимо удалить. Очистка дает возможность заново создать ключи и модули HSM, имена которых совпадают с именем удаленного элемента. Как для восстановления, так и для удаления ключей и модулей HSM необходимо назначить определенные роли. Обратимое удаление невозможно отключить.

Примечание

Так как базовые ресурсы остаются выделенными для модуля HSM, даже если он находится в удаленном состоянии, за ресурс HSM продолжит накапливаться почасовая оплата, пока он остается в этом состоянии.

Имена управляемых модулей HSM являются глобально уникальными в каждой облачной среде. Таким образом, невозможно создать управляемый модуль HSM, имя которого совпадает с существующим модулем в состоянии обратимого удаления. Аналогично, имена ключей являются уникальными в рамках HSM. Невозможно создать ключ, имя которого совпадает с существующим ключом в состоянии обратимого удаления.

Дополнительные сведения см. в обзоре обратимого удаления управляемых модулей HSM.

Защита от очистки предназначена для предотвращения удаления ключей и модулей HSM злоумышленником внутри организации. Она аналогична корзине с временной блокировкой. Можно восстановить элементы в любой момент в течение настраиваемого периода хранения. Невозможно необратимо удалить или очистить ключ или модуль HSM до завершения периода хранения. По завершении периода хранения модуль HSM или ключ будет автоматически удален.

Примечание

Никакие разрешения и роли администраторов не могут переопределить, отключить или обойти защиту от очистки. После включения защиты от очистки никто, даже корпорация Майкрософт, не сможет отключить или переопределить ее. Поэтому необходимо восстановить удаленный модуль HSM или дождаться окончания срока хранения, прежде чем можно будет повторно использовать имя HSM.

Управление ключами и управляемыми модулями HSM

Azure CLI
Azure PowerShell

Управляемые модули HSM (CLI)

Проверка состояния обратимого удаления и защиты от очистки для управляемого модуля HSM:
```
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Удаление модуля HSM:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Это действие подлежит восстановлению, так как обратимое удаление включено по умолчанию.
Получение списка обратимо удаленных модулей HSM:
```
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
```

Восстановление обратимое удаленного модуля HSM:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Удаление обратимо удаленного модуля HSM:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Предупреждение

Эта операция необратимо удалит модуль HSM.

Включение защиты от очистки для модуля HSM:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Ключи (CLI)

Удаление ключа:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Получение списка удаленных ключей:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Восстановление удаленного ключа.

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Окончательное удаление обратимо удаленного ключа:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Предупреждение

Эта операция необратимо удалит ключ.

Управляемые модули HSM (PowerShell)

Проверка состояния обратимого удаления и защиты от очистки для управляемого модуля HSM:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
Удаление модуля HSM:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Это действие подлежит восстановлению, так как обратимое удаление включено по умолчанию.

Ключи (PowerShell)