Översikt av mjuk borttagning för Azure Key Vault

Viktigt

Du måste aktivera mjuk borttagning för dina nyckelvalv omedelbart. Möjligheten att välja bort mjuk borttagning är inaktuell och tas bort i februari 2025. Se fullständig information här

Viktigt

När en Key Vault tas bort mjukt tas tjänster som är integrerade med Key Vault bort. Exempel: Tilldelningar av Azure RBAC-roller och Event Grid-prenumerationer. Om du återställer en mjukt borttagen Key Vault återställs inte dessa tjänster. De måste återskapas.

Funktionen för mjuk borttagning i Key Vault gör att du kan återställa borttagna valv och nyckelvalvsobjekt (till exempel nycklar, hemligheter och certifikat). Mer specifikt tar vi upp följande scenarier: Det här skyddet erbjuder följande skydd:

  • När du tar bort en hemlighet, nyckel, ett certifikat eller ett nyckelvalv kan det återställas under en konfigurerbar period på 7 till 90 kalenderdagar. Om ingen konfiguration anges är standardperioden 90 dagar. Då har användarna tillräckligt med tid för att upptäcka om en hemlighet tagits bort oavsiktligt och vidta åtgärder.
  • Det krävs två åtgärder för att ta bort en hemlighet permanent. Först måste en användare ta bort objektet, och då placeras det i läget för mjuk borttagning. Sedan måste en användare rensa objektet från läget för mjuk borttagning. För rensningsåtgärden krävs ytterligare åtkomstbehörighet. Det här ytterligare skyddet minskar risken för att en användare oavsiktligt eller utan tillstånd tar bort en hemlighet eller ett nyckelvalv.
  • Om du vill rensa en hemlighet i läget för mjuk borttagning måste tjänstens huvudnamn beviljas den ytterligare behörigheten ”rensa”. Behörigheten rensa ges inte som standard till något tjänsthuvudnamn utan måste ges avsiktligt, och det gäller även ägare till nyckelvalv och prenumerationer. Eftersom det krävs högre åtkomstbehörighet för att rensa en mjukt borttagen hemlighet minskar sannolikheten att hemligheter tas bort oavsiktligt.

Stödgränssnitt

Funktionen för mjuk borttagning är tillgänglig via REST-API:et, Azure CLI,Azure PowerShell- och .NET/C#-gränssnitten samt ARM-mallar.

Scenarier

Azure Key Vaults spåras resurser som hanteras av Azure Resource Manager. Azure Resource Manager anger också ett väldefinierat beteende för borttagning, vilket kräver att en lyckad DELETE-åtgärd måste resultera i att resursen inte längre är tillgänglig. Funktionen mjuk borttagning åtgärdar återställningen av det borttagna objektet, oavsett om borttagningen var oavsiktlig eller avsiktlig.

  1. I det vanliga scenariot kan en användare oavsiktligt ha tagit bort ett nyckelvalv eller ett nyckelvalvsobjekt. Om nyckelvalvet eller nyckelvalvsobjektet skulle kunna återställas under en förutbestämd period kan användaren ångra borttagningen och återställa sina data.

  2. I ett annat scenario kan en obehörig användare försöka ta bort ett nyckelvalv eller ett nyckelvalvsobjekt, till exempel en nyckel i ett valv, för att orsaka avbrott i verksamheten. Att separera borttagningen av nyckelvalvet eller key vault-objektet från den faktiska borttagningen av underliggande data kan användas som ett säkerhetsmått genom att till exempel begränsa behörigheter för borttagning av data till en annan betrodd roll. Den här metoden kräver effektivt kvorum för en åtgärd som annars kan resultera i en omedelbar dataförlust.

Beteende vid mjuk borttagning

När mjuk borttagning är aktiverat behålls resurser som markerats som borttagna resurser under en angiven period (90 dagar som standard). Tjänsten tillhandahåller dessutom en mekanism för att återställa det borttagna objektet, vilket i princip ångrar borttagningen.

När du skapar ett nytt nyckelvalv är mjuk borttagning aktiverat som standard. När mjuk borttagning är aktiverat i ett nyckelvalv kan det inte inaktiveras.

Standardkvarhållningsperioden är 90 dagar, men när nyckelvalvet skapas går det att ange kvarhållningsprincipintervallet till ett värde från 7 till 90 dagar till och med Azure Portal. Kvarhållningsprincipen för rensningsskydd använder samma intervall. När du har angett det går det inte att ändra kvarhållningsprincipintervallet.

Du kan inte återanvända namnet på ett nyckelvalv som har tagits bort mjukt förrän kvarhållningsperioden har passerat.

Rensningsskydd

Rensningsskydd är ett valfritt Key Vault beteende och är inte aktiverat som standard. Rensningsskydd kan bara aktiveras när mjuk borttagning har aktiverats. Den kan aktiveras via CLI eller PowerShell. Rensningsskydd rekommenderas när du använder nycklar för kryptering för att förhindra dataförlust. De flesta Azure-tjänster som integreras med Azure Key Vault, till exempel Storage, kräver rensningsskydd för att förhindra dataförlust.

När rensningsskyddet är aktiverat kan inte ett valv eller ett objekt i borttaget tillstånd rensas förrän kvarhållningsperioden har passerat. Mjukt borttagna valv och objekt kan fortfarande återställas, vilket säkerställer att kvarhållningsprincipen följs.

Standardkvarhållningsperioden är 90 dagar, men det går att ange kvarhållningsprincipintervallet till ett värde från 7 till 90 dagar fram till Azure Portal. När kvarhållningsprincipintervallet har angetts och sparats kan det inte ändras för det valvet.

Tillåten rensning

Det går att ta bort, rensa och rensa ett nyckelvalv permanent via en POST-åtgärd på proxyresursen och kräver särskilda privilegier. I allmänhet kan endast prenumerationsägaren rensa ett nyckelvalv. POST-åtgärden utlöser omedelbar och oåterkallelig borttagning av valvet.

Undantag är:

  • När Azure-prenumerationen har markerats som oborttagningsbar. I det här fallet kan endast tjänsten utföra den faktiska borttagningen och gör det som en schemalagd process.
  • --enable-purge-protection När argumentet är aktiverat i själva valvet. I det här fallet väntar Key Vault i 90 dagar från det datum då det ursprungliga hemliga objektet markerades för borttagning för att permanent ta bort objektet.

Anvisningar finns i Så här använder du Key Vault mjuk borttagning med CLI: Rensa ett nyckelvalv eller Så här använder du Key Vault mjuk borttagning med PowerShell: Rensa ett nyckelvalv.

Återställning av nyckelvalv

När du tar bort ett nyckelvalv skapar tjänsten en proxyresurs under prenumerationen och lägger till tillräckligt med metadata för återställning. Proxyresursen är ett lagrat objekt som är tillgängligt på samma plats som det borttagna nyckelvalvet.

Återställning av Key Vault-objekt

När du tar bort ett key vault-objekt, till exempel en nyckel, placerar tjänsten objektet i ett borttaget tillstånd, vilket gör det otillgängligt för alla hämtningsåtgärder. I det här tillståndet kan nyckelvalvsobjektet endast visas, återställas eller tas bort permanent/kraftfullt. Om du vill visa objekten använder du Azure CLI-kommandot az keyvault key list-deleted (som beskrivs i Så här använder du Key Vault mjuk borttagning med CLI) eller kommandot Azure PowerShell Get-AzKeyVault -InRemovedState (enligt beskrivningen i Så här använder du Key Vault mjuk borttagning med PowerShell).

Samtidigt schemalägger Key Vault borttagningen av underliggande data som motsvarar det borttagna nyckelvalvet eller nyckelvalvsobjektet för körning efter ett förutbestämt kvarhållningsintervall. DNS-posten som motsvarar valvet behålls också under kvarhållningsintervallets varaktighet.

Kvarhållningsperiod för mjuk borttagning

Mjukt borttagna resurser behålls under en angiven tidsperiod, 90 dagar. Under kvarhållningsintervallet för mjuk borttagning gäller följande:

  • Du kan lista alla nyckelvalv och nyckelvalvsobjekt i läget mjuk borttagning för din prenumeration samt åtkomst till borttagnings- och återställningsinformation om dem.
    • Endast användare med särskilda behörigheter kan lista borttagna valv. Vi rekommenderar att våra användare skapar en anpassad roll med dessa särskilda behörigheter för hantering av borttagna valv.
  • Det går inte att skapa ett nyckelvalv med samma namn på samma plats. På motsvarande sätt kan inte ett nyckelvalvsobjekt skapas i ett visst valv om det nyckelvalvet innehåller ett objekt med samma namn och som är i ett borttaget tillstånd.
  • Endast en privilegierad användare kan återställa ett nyckelvalv eller nyckelvalvsobjekt genom att utfärda ett återställningskommando på motsvarande proxyresurs.
    • Användaren, som är medlem i den anpassade rollen, som har behörighet att skapa ett nyckelvalv under resursgruppen kan återställa valvet.
  • Endast en privilegierad användare kan med tvåtvinga ta bort ett nyckelvalv eller key vault-objekt genom att utfärda ett borttagningskommando på motsvarande proxyresurs.

Om inte ett nyckelvalv eller nyckelvalvsobjekt återställs utför tjänsten i slutet av kvarhållningsintervallet en rensning av det mjukt borttagna nyckelvalvet eller nyckelvalvsobjektet och dess innehåll. Resursborttagningen kanske inte schemaläggs om.

Faktureringskonsekvenser

När ett objekt (ett nyckelvalv, en nyckel eller en hemlighet) i allmänhet är i borttaget tillstånd är det i allmänhet bara två åtgärder som är möjliga: "rensa" och "återställa". Alla andra åtgärder misslyckas. Även om objektet finns kan därför inga åtgärder utföras och därför sker ingen användning, så ingen faktura. Det finns dock följande undantag:

  • Åtgärderna "rensa" och "återställa" räknas mot normala nyckelvalvsåtgärder och faktureras.
  • Om objektet är en HSM-nyckel gäller kostnaden för HSM-skyddad nyckel per nyckelversion och månad om en nyckelversion har använts under de senaste 30 dagarna. Efter det, eftersom objektet är i borttaget tillstånd kan inga åtgärder utföras mot det, så ingen avgift kommer att tillkomma.

Nästa steg

Följande tre guider erbjuder de primära användningsscenarierna för att använda mjuk borttagning.