Säkerhetskopiering och återställning av Azure 密钥保管库

Det här dokumentet visar hur du säkerhetskopierar hemligheter, nycklar och certifikat som lagras i ditt nyckelvalv. En säkerhetskopia är avsedd att ge dig en offlinekopia av alla dina hemligheter i den osannolika händelse att du förlorar åtkomsten till ditt nyckelvalv.

Översikt

Azure 密钥保管库 tillhandahåller automatiskt funktioner som hjälper dig att upprätthålla tillgänglighet och förhindra dataförlust. Säkerhetskopiera endast hemligheter om du har en kritisk affärsmotiverare. Säkerhetskopiering av hemligheter i ditt nyckelvalv kan medföra driftsutmaningar som att underhålla flera uppsättningar loggar, behörigheter och säkerhetskopior när hemligheter upphör att gälla eller roteras.

密钥保管库 bibehåller tillgängligheten i katastrofscenarier och redundansväxlar automatiskt begäranden till en länkad region utan åtgärder från en användare. Mer information finns i Tillgänglighet och redundans för Azure 密钥保管库.

Om du vill ha skydd mot oavsiktlig eller skadlig borttagning av dina hemligheter konfigurerar du skyddsfunktionerna för mjuk borttagning och rensning i nyckelvalvet. Mer information finns i Översikt över mjuk borttagning i Azure 密钥保管库.

Begränsningar

Viktigt

密钥保管库 stöder inte möjligheten att säkerhetskopiera fler än 500 tidigare versioner av en nyckel, en hemlighet eller ett certifikatobjekt. Försök att säkerhetskopiera en nyckel, en hemlighet eller ett certifikatobjekt kan resultera i ett fel. Det går inte att ta bort tidigare versioner av en nyckel, en hemlighet eller ett certifikat.

密钥保管库 tillhandahåller för närvarande inte något sätt att säkerhetskopiera ett helt nyckelvalv i en enda åtgärd. Alla försök att använda kommandona som anges i det här dokumentet för att göra en automatisk säkerhetskopiering av ett nyckelvalv kan resultera i fel och stöds inte av Microsoft eller Azure 密钥保管库-teamet.

Tänk också på följande konsekvenser:

  • Säkerhetskopiering av hemligheter som har flera versioner kan orsaka timeout-fel.
  • En säkerhetskopia skapar en ögonblicksbild till tidpunkt. Hemligheter kan förnyas under en säkerhetskopia, vilket orsakar matchningsfel för krypteringsnycklar.
  • Om du överskrider gränserna för key vault-tjänsten för begäranden per sekund begränsas ditt nyckelvalv och säkerhetskopieringen misslyckas.

Designöverväganden

När du säkerhetskopierar ett key vault-objekt, till exempel en hemlighet, nyckel eller ett certifikat, hämtar säkerhetskopieringsåtgärden objektet som en krypterad blob. Den här bloben kan inte dekrypteras utanför Azure. Om du vill hämta användbara data från den här bloben måste du återställa bloben till ett nyckelvalv inom samma Azure-prenumeration och geografi i Azure.

Krav

Om du vill säkerhetskopiera ett key vault-objekt måste du ha:

  • Behörigheter på deltagarnivå eller högre för en Azure-prenumeration.
  • Ett primärt nyckelvalv som innehåller de hemligheter som du vill säkerhetskopiera.
  • Ett sekundärt nyckelvalv där hemligheter kommer att återställas.

Säkerhetskopiera och återställa från Azure-Portal

Följ stegen i det här avsnittet för att säkerhetskopiera och återställa objekt med hjälp av Azure-Portal.

Säkerhetskopiera

  1. Gå till Azure-portalen.

  2. Välj ditt nyckelvalv.

  3. Gå till det objekt (hemlighet, nyckel eller certifikat) som du vill säkerhetskopiera.

    Skärmbild som visar var du väljer inställningen Nycklar och ett objekt i ett nyckelvalv.

  4. Markera objektet.

  5. Välj Ladda ned säkerhetskopiering.

    Skärmbild som visar var du väljer knappen Ladda ned säkerhetskopiering i ett nyckelvalv.

  6. Välj Hämta.

    Skärmbild som visar var du väljer knappen Ladda ned i ett nyckelvalv.

  7. Lagra den krypterade bloben på en säker plats.

Återställ

  1. Gå till Azure-portalen.

  2. Välj ditt nyckelvalv.

  3. Gå till den typ av objekt (hemlighet, nyckel eller certifikat) som du vill återställa.

  4. Välj Återställ säkerhetskopiering.

    Skärmbild som visar var du väljer Återställ säkerhetskopiering i ett nyckelvalv.

  5. Gå till den plats där du lagrade den krypterade bloben.

  6. Välj OK.

Säkerhetskopiera och återställa från Azure CLI eller Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Nästa steg