Mjuk borttagning aktiveras i alla nyckelvalv

  • Artikel

Varning

Icke-bakåtkompatibel ändring: du måste aktivera mjuk borttagning i dina nyckelvalv omedelbart. Se nedan för mer information.

Om en hemlighet tas bort och nyckelvalvet inte har skydd mot mjuk borttagning tas den bort permanent. Även om användarna för närvarande kan välja bort mjuk borttagning när nyckelvalvet skapas är den här möjligheten inaktuell. I februari 2025 aktiverar Microsoft skydd mot mjuk borttagning på alla nyckelvalv och användarna kan inte längre välja bort eller inaktivera mjuk borttagning. Detta skyddar hemligheter från oavsiktlig eller skadlig borttagning av en användare.

Diagram som visar hur ett nyckelvalv tas bort med skydd mot mjuk borttagning jämfört med skydd mot mjuk borttagning.

Fullständig information om funktionerna för mjuk borttagning finns i Översikt över mjuk borttagning i Azure Key Vault.

Kan mitt program fungera med mjuk borttagning aktiverat?

Nyckelvalvsnamn är globalt unika. Namnen på hemligheter som lagras i ett nyckelvalv är också unika. Du kan inte återanvända namnet på ett nyckelvalv eller nyckelvalvobjekt som finns i mjukt borttaget tillstånd.

Om ditt program till exempel programmässigt skapar ett nyckelvalv med namnet "Vault A" och senare tar bort "Valv A" flyttas nyckelvalvet till det mjukt borttagna tillståndet. Ditt program kommer inte att kunna återskapa ett annat nyckelvalv med namnet "Vault A" förrän nyckelvalvet har rensats från det mjukt borttagna tillståndet.

Om ditt program skapar en nyckel med namnet test key i "Vault A" och senare tar bort den nyckeln, kommer programmet inte att kunna skapa en ny nyckel med namnet test key i "Vault A" förrän test key objektet rensas från det mjukt borttagna tillståndet.

Försök att ta bort ett key vault-objekt och återskapa det med samma namn utan att rensa det från det mjukt borttagna tillståndet först kan orsaka konfliktfel. Dessa fel kan orsaka att dina program eller automatisering misslyckas. Kontakta utvecklingsteamet innan du gör följande nödvändiga program- och administrationsändringar.

Programändringar

Om programmet förutsätter att mjuk borttagning inte är aktiverat och förväntar sig att borttagna hemligheter eller nyckelvalvsnamn är tillgängliga för omedelbar återanvändning måste du göra följande ändringar i programlogik.

  1. Ta bort det ursprungliga nyckelvalvet eller hemligheten.
  2. Rensa nyckelvalvet eller hemligheten i mjukt borttaget tillstånd.
  3. Vänta tills rensningen har slutförts. Omedelbart återskapande kan leda till en konflikt.
  4. Återskapa nyckelvalvet med samma namn.
  5. Om åtgärden create fortfarande resulterar i ett namnkonfliktfel kan du försöka återskapa nyckelvalvet igen. Azure DNS-poster kan ta upp till 10 minuter att uppdatera i värsta fall.

Administrationsändringar

Säkerhetsobjekt som behöver åtkomst för att permanent ta bort hemligheter måste beviljas fler behörigheter för åtkomstprinciper för att rensa dessa hemligheter och nyckelvalvet.

Inaktivera alla Azure Policy tilldelningar i dina nyckelvalv som kräver att mjuk borttagning är inaktiverat. Du kan behöva eskalera det här problemet till en administratör som styr Azure Policy tilldelningar som tillämpas på din miljö. Om den här principtilldelningen inte är inaktiverad kan du förlora möjligheten att skapa nya nyckelvalv i omfånget för den tillämpade principtilldelningen.

Om din organisation omfattas av juridiska efterlevnadskrav och inte kan tillåta att borttagna nyckelvalv och hemligheter förblir i återställningsbart tillstånd under en längre tid måste du justera kvarhållningsperioden för mjuk borttagning för att uppfylla organisationens standarder. Du kan konfigurera kvarhållningsperioden så att den varar mellan 7 och 90 dagar.

Procedurer

Granska dina nyckelvalv för att kontrollera om mjuk borttagning är aktiverat

  1. Logga in på Azure-portalen.
  2. Sök efter Azure Policy.
  3. Välj Definitioner.
  4. Under Kategori väljer du Key Vault i filtret.
  5. Välj Key Vault ska ha en princip för mjuk borttagning aktiverad.
  6. Välj Tilldela.
  7. Ange omfånget till din prenumeration.
  8. Kontrollera att principens effekt är inställd på Granskning.
  9. Välj Granska + skapa. En fullständig genomsökning av din miljö kan ta upp till 24 timmar att slutföra.
  10. I fönstret Azure Policy väljer du Efterlevnad.
  11. Välj den princip som du tillämpade.

Nu kan du filtrera och se vilka nyckelvalv som har mjuk borttagning aktiverat (kompatibla resurser) och vilka nyckelvalv som inte har mjuk borttagning aktiverat (icke-kompatibla resurser).

Aktivera mjuk borttagning för ett befintligt nyckelvalv

  1. Logga in på Azure-portalen.
  2. Sök efter ditt nyckelvalv.
  3. Välj Egenskaper under Inställningar.
  4. Under Mjuk borttagning väljer du alternativet Aktivera återställning av det här valvet och dess objekt .
  5. Ange kvarhållningsperioden för mjuk borttagning.
  6. Välj Spara.

Bevilja behörigheter för rensningsåtkomstprincip till ett säkerhetsobjekt

  1. Logga in på Azure-portalen.
  2. Sök efter ditt nyckelvalv.
  3. Välj Åtkomstprinciper under Inställningar.
  4. Välj det tjänsthuvudnamn som du vill bevilja åtkomst till.
  5. Gå igenom varje nedrullningsbara meny under Behörigheter för nyckel, hemlighet och certifikat tills du ser Privilegierade åtgärder. Välj behörigheten Rensa .

Vanliga frågor och svar

Påverkar den här ändringen mig?

Om du redan har aktiverat mjuk borttagning eller om du inte tar bort och återskapar nyckelvalvsobjekt med samma namn kommer du förmodligen inte att märka någon ändring i nyckelvalvets beteende.

Om du har ett program som tar bort och återskapar nyckelvalvsobjekt med samma namngivningskonventioner ofta måste du göra ändringar i programlogik för att upprätthålla förväntat beteende. Se avsnittet Programändringar i den här artikeln.

Hur gör jag för att dra nytta av den här ändringen?

Skydd mot mjuk borttagning ger din organisation ett annat skydd mot oavsiktlig eller skadlig borttagning. Som nyckelvalvsadministratör kan du begränsa åtkomsten till både återställningsbehörigheter och rensningsbehörigheter.

Om en användare av misstag tar bort ett nyckelvalv eller en hemlighet kan du ge dem åtkomstbehörighet för att återställa själva hemligheten utan att skapa en risk för att de tar bort hemligheten eller nyckelvalvet permanent. Den här självbetjäningsprocessen minimerar stilleståndstiden i din miljö och garanterar tillgängligheten för dina hemligheter.

Hur gör jag för att ta reda på om jag behöver vidta åtgärder?

Följ stegen i avsnittet Granska dina nyckelvalv för att kontrollera om mjuk borttagning är aktiverat i den här artikeln. Den här ändringen påverkar alla nyckelvalv som inte har mjuk borttagning aktiverat.

Vilken åtgärd behöver jag vidta?

När du har bekräftat att du inte behöver göra ändringar i programlogik aktiverar du mjuk borttagning på alla dina nyckelvalv.

När behöver jag vidta åtgärder?

För att säkerställa att dina program inte påverkas aktiverar du mjuk borttagning på dina nyckelvalv så snart som möjligt.

Nästa steg