Azure Key Vault återställningshantering med mjukt borttagnings- och rensningsskydd

Den här artikeln beskriver två återställningsfunktioner i Azure Key Vault, mjuk borttagning och rensningsskydd. Det här dokumentet ger en översikt över dessa funktioner och visar hur du hanterar dem via Azure Portal, Azure CLI och Azure PowerShell.

Mer information om Key Vault finns i

• Översikt över Key Vault
• Översikt över Nycklar, hemligheter och certifikat i Azure Key Vault

Förutsättningar

• En Azure-prenumeration – skapa en kostnadsfritt

• Azure PowerShell.

• Azure CLI

• En Key Vault – du kan skapa en med hjälp av Azure PortalAzure CLI eller Azure PowerShell

• Användaren behöver följande behörigheter (på prenumerationsnivå) för att utföra åtgärder i mjukt borttagna valv:

  Behörighet	Description
  Microsoft.KeyVault/locations/deletedVaults/read	Visa egenskaperna för ett mjukt borttaget nyckelvalv
  Microsoft.KeyVault/locations/deletedVaults/purge/action	Rensa ett mjukt borttaget nyckelvalv
  Microsoft.KeyVault/locations/operationResults/read	Så här kontrollerar du rensningstillståndet för valvet
  Key Vault deltagare	Återställa mjukt borttaget valv

Vad är mjuk borttagning och rensningsskydd

Mjuk borttagning och rensningsskydd är två olika funktioner för återställning av nyckelvalv.

Mjuk borttagning är utformad för att förhindra oavsiktlig borttagning av dina nyckelvalv och nycklar, hemligheter och certifikat som lagras i nyckelvalvet. Tänk på mjuk borttagning som en papperskorg. När du tar bort ett nyckelvalv eller ett nyckelvalvsobjekt förblir det återställningsbart för en användarkonfigurerbar kvarhållningsperiod eller en standard på 90 dagar. Nyckelvalv i mjukt borttaget tillstånd kan också rensas , vilket innebär att de tas bort permanent. På så sätt kan du återskapa nyckelvalv och nyckelvalvsobjekt med samma namn. Både återställning och borttagning av nyckelvalv och -objekt kräver behörigheter för förhöjd åtkomstprincip. När mjuk borttagning har aktiverats kan den inte inaktiveras.

Viktigt

Du måste aktivera mjuk borttagning i dina nyckelvalv omedelbart. Möjligheten att välja bort mjuk borttagning är inaktuell och tas bort i februari 2025. Se fullständig information här

Observera att nyckelvalvsnamn är globalt unika, så du kan inte skapa ett nyckelvalv med samma namn som ett nyckelvalv i mjukt borttaget tillstånd. På samma sätt är namnen på nycklar, hemligheter och certifikat unika i ett nyckelvalv. Du kommer inte att kunna skapa en hemlighet, nyckel eller ett certifikat med samma namn som en annan i mjukt borttaget tillstånd.

Rensningsskydd är utformat för att förhindra borttagning av nyckelvalv, nycklar, hemligheter och certifikat av en obehörig insider. Tänk på detta som en papperskorg med ett tidsbaserat lås. Du kan återställa objekt när som helst under den konfigurerbara kvarhållningsperioden. Du kommer inte att kunna ta bort eller rensa ett nyckelvalv permanent förrän kvarhållningsperioden har gått ut. Efter kvarhållningsperioden rensas nyckelvalvet eller objektet automatiskt.

Anteckning

Rensningsskydd är utformat så att ingen administratörsroll eller behörighet kan åsidosätta, inaktivera eller kringgå rensningsskydd. När rensningsskyddet är aktiverat kan det inte inaktiveras eller åsidosättas av någon, inte ens av Microsoft. Det innebär att du måste återställa ett borttaget nyckelvalv eller vänta tills kvarhållningsperioden har gått ut innan du återanvänder namnet på nyckelvalvet.

Mer information om mjuk borttagning finns i Översikt över mjuk borttagning i Azure Key Vault

Azure-portalen

Kontrollera om mjuk borttagning är aktiverat i ett nyckelvalv och aktivera mjuk borttagning

1. Logga in på Azure Portal.
2. Välj ditt nyckelvalv.
3. Klicka på bladet Egenskaper.
4. Kontrollera om alternativknappen bredvid mjuk borttagning är inställd på "Aktivera återställning".
5. Om mjuk borttagning inte är aktiverat i nyckelvalvet klickar du på alternativknappen för att aktivera mjuk borttagning och klickar på "Spara".

Bevilja åtkomst till tjänstens huvudnamn för att rensa och återställa borttagna hemligheter

1. Logga in på Azure Portal.
2. Välj ditt nyckelvalv.
3. Klicka på bladet Åtkomstprincip.
4. I tabellen letar du upp raden för det säkerhetsobjekt som du vill bevilja åtkomst till (eller lägger till ett nytt säkerhetsobjekt).
5. Klicka på listrutan för nycklar, certifikat och hemligheter.
6. Rulla längst ned i listrutan och klicka på "Återställ" och "Rensa"
7. Säkerhetsobjekt behöver också hämta och lista funktioner för att utföra de flesta åtgärder.

Lista, återställa eller rensa ett mjukt borttaget nyckelvalv

1. Logga in på Azure Portal.
2. Klicka på sökfältet överst på sidan.
3. Sök efter tjänsten "Key Vault". Klicka inte på ett enskilt nyckelvalv.
4. Klicka på alternativet "Hantera borttagna valv" längst upp på skärmen
5. Ett kontextfönster öppnas till höger på skärmen.
6. Välj din prenumeration.
7. Om ditt nyckelvalv har tagits bort mjukt visas det i kontextfönstret till höger.
8. Om det finns för många valv kan du antingen klicka på "Läs in mer" längst ned i kontextfönstret eller använda CLI eller PowerShell för att hämta resultatet.
9. När du har hittat valvet som du vill återställa eller rensa markerar du kryssrutan bredvid det.
10. Välj återställningsalternativet längst ned i kontextfönstret om du vill återställa nyckelvalvet.
11. Välj alternativet rensa om du vill ta bort nyckelvalvet permanent.

Lista, återställa eller rensa mjukt borttagna hemligheter, nycklar och certifikat

1. Logga in på Azure Portal.
2. Välj ditt nyckelvalv.
3. Välj bladet som motsvarar den hemliga typ som du vill hantera (nycklar, hemligheter eller certifikat).
4. Längst upp på skärmen klickar du på "Hantera borttagna (nycklar, hemligheter eller certifikat)
5. Ett kontextfönster visas till höger på skärmen.
6. Om din hemlighet, nyckel eller certifikat inte visas i listan är det inte i mjukt borttaget tillstånd.
7. Välj den hemlighet, nyckel eller det certifikat som du vill hantera.
8. Välj alternativet för att återställa eller rensa längst ned i kontextfönstret.

Azure CLI

Key Vault (CLI)

• Kontrollera om ett nyckelvalv har mjuk borttagning aktiverat

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Aktivera mjuk borttagning i key-vault

  Alla nya nyckelvalv har mjuk borttagning aktiverat som standard. Om du för närvarande har ett nyckelvalv som inte har mjuk borttagning aktiverat använder du följande kommando för att aktivera mjuk borttagning.

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
  

• Ta bort nyckelvalv (kan återställas om mjuk borttagning är aktiverat)

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Visa en lista över alla mjukt borttagna nyckelvalv

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault
  

• Återställa mjukt borttaget nyckelvalv

  az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Rensa mjukt borttagna nyckelvalv (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT DITT NYCKELVALV PERMANENT)

  az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Aktivera rensningsskydd i key-vault

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
  

Certifikat (CLI)

• Bevilja åtkomst för att rensa och återställa certifikat

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge
  

• Ta bort certifikat

  az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Lista borttagna certifikat

  az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Återställa borttaget certifikat

  az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Rensa mjukt borttagna certifikat (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT CERTIFIKATET PERMANENT)

  az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

Nycklar (CLI)

• Bevilja åtkomst för att rensa och återställa nycklar

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge
  

• Ta bort nyckel

  az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Lista borttagna nycklar

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Återställa borttagen nyckel

  az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Rensa mjukt borttagen nyckel (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT NYCKELN PERMANENT)

  az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

Hemligheter (CLI)

• Bevilja åtkomst för att rensa och återställa hemligheter

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge
  

• Ta bort hemlighet

  az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Lista borttagna hemligheter

  az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Återställa borttagen hemlighet

  az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Rensa mjukt borttagen hemlighet (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT HEMLIGHETEN PERMANENT)

  az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

Azure PowerShell

Key Vault (PowerShell)

• Kontrollera om ett nyckelvalv har mjuk borttagning aktiverat

  Get-AzKeyVault -VaultName "ContosoVault"
  

• Ta bort nyckelvalv

  Remove-AzKeyVault -VaultName 'ContosoVault'
  

• Visa en lista över alla mjukt borttagna nyckelvalv

  Get-AzKeyVault -InRemovedState
  

• Återställa mjukt borttaget nyckelvalv

  Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus
  

• Rensa mjukt borttagna nyckelvalv (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT DITT NYCKELVALV PERMANENT)

  Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
  

• Aktivera rensningsskydd i key-vault

  Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection
  

Certifikat (PowerShell)

• Bevilja behörigheter för att återställa och rensa certifikat

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge
  

• Ta bort ett certifikat

  Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'
  

• Visa en lista över alla borttagna certifikat i ett nyckelvalv

  Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
  

• Återställa ett certifikat i borttaget tillstånd

  Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'
  

• Rensa ett mjukt borttaget certifikat (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT CERTIFIKATET PERMANENT)

  Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
  

Nycklar (PowerShell)

• Bevilja behörigheter för att återställa och rensa nycklar

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge
  

• Ta bort en nyckel

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'
  

• Visa en lista över alla borttagna nycklar i ett nyckelvalv

  Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
  

• Så här återställer du en mjuk borttagningsnyckel

  Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey
  

• Rensa en mjuk borttagningsnyckel (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT NYCKELN PERMANENT)

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
  

Hemligheter (PowerShell)

• Bevilja behörighet att återställa och rensa hemligheter

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge
  

• Ta bort en hemlighet med namnet SQLPassword

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword
  

• Visa en lista över alla borttagna hemligheter i ett nyckelvalv

  Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
  

• Återställa en hemlighet i borttaget tillstånd

  Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword
  

• Rensa en hemlighet i borttaget tillstånd (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT NYCKELN PERMANENT)

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
  

Nästa steg

• Azure Key Vault PowerShell-cmdletar
• Key Vault Azure CLI-kommandon
• Säkerhetskopiering av Azure Key Vault
• Så här aktiverar du Key Vault loggning
• Säkerhetsfunktioner i Azure Key Vault
• Utvecklarguide för Azure Key Vault