Dela via


Azure Key Vault-återställningshantering med skydd mot mjuk borttagning och rensning

Den här artikeln beskriver två återställningsfunktioner i Azure Key Vault, mjuk borttagning och rensningsskydd. Det här dokumentet innehåller en översikt över de här funktionerna och visar hur du hanterar dem via Azure Portal, Azure CLI och Azure PowerShell.

Viktigt!

Om ett nyckelvalv inte har aktiverat skydd för mjuk borttagning tas den bort permanent om du tar bort en nyckel. Kunder uppmanas starkt att aktivera mjuk borttagning för sina valv via Azure Policy.

Mer information om Key Vault finns i

Förutsättningar

  • En Azure-prenumeration – skapa en kostnadsfritt

  • Azure PowerShell.

  • Azure CLI

  • Ett Key Vault – du kan skapa ett med hjälp av Azure Portal Azure CLI eller Azure PowerShell

  • Användaren behöver följande behörigheter (på prenumerationsnivå) för att utföra åtgärder i mjukt borttagna valv:

    Behörighet beskrivning
    Microsoft.KeyVault/locations/deletedVaults/read Visa egenskaperna för ett mjukt borttaget nyckelvalv
    Microsoft.KeyVault/locations/deletedVaults/purge/action Rensa ett mjukt borttaget nyckelvalv
    Microsoft.KeyVault/locations/operationResults/read Så här kontrollerar du rensningstillståndet för valvet
    Key Vault-deltagare Så här återställer du mjukt borttaget valv

Vad är skydd för mjuk borttagning och rensning

Skydd mot mjuk borttagning och rensning är två olika funktioner för återställning av nyckelvalv.

Mjuk borttagning är utformad för att förhindra oavsiktlig borttagning av ditt nyckelvalv och nycklar, hemligheter och certifikat som lagras i nyckelvalvet. Tänk på mjuk borttagning som en papperskorg. När du tar bort ett nyckelvalv eller ett key vault-objekt förblir det återställningsbart för en användarkonfigurerbar kvarhållningsperiod eller ett standardvärde på 90 dagar. Nyckelvalv i mjukt borttaget tillstånd kan också rensas (tas bort permanent), så att du kan återskapa nyckelvalv och nyckelvalvobjekt med samma namn. Både återställning och borttagning av nyckelvalv och -objekt kräver utökade behörigheter för åtkomstprinciper. När mjuk borttagning har aktiverats kan den inte inaktiveras.

Det är viktigt att observera att nyckelvalvsnamn är globalt unika, så att du inte kan skapa ett nyckelvalv med samma namn som ett nyckelvalv i tillståndet mjuk borttagning. På samma sätt är namnen på nycklar, hemligheter och certifikat unika i ett nyckelvalv. Du kan inte skapa en hemlighet, nyckel eller ett certifikat med samma namn som en annan i tillståndet mjuk borttagning.

Rensningsskyddet är utformat för att förhindra att nyckelvalvet, nycklarna, hemligheterna och certifikaten tas bort av en obehörig insider. Se det som en papperskorg med ett tidsbaserat lås. Du kan återställa objekt när som helst under den konfigurerbara kvarhållningsperioden. Du kommer inte att kunna ta bort eller rensa ett nyckelvalv permanent förrän kvarhållningsperioden har gått ut. När kvarhållningsperioden förflutit rensas nyckelvalvet eller nyckelvalvsobjektet automatiskt.

Kommentar

Rensningsskydd är utformat så att ingen administratörsroll eller behörighet kan åsidosätta, inaktivera eller kringgå rensningsskydd. När rensningsskydd är aktiverat kan det inte inaktiveras eller åsidosättas av någon, inklusive Microsoft. Det innebär att du måste återställa ett borttaget nyckelvalv eller vänta tills kvarhållningsperioden har gått ut innan du återanvänder nyckelvalvets namn igen.

Mer information om mjuk borttagning finns i Översikt över mjuk borttagning av Azure Key Vault

Kontrollera om mjuk borttagning är aktiverat i ett nyckelvalv och aktivera mjuk borttagning

  1. Logga in på Azure-portalen.
  2. Välj ditt nyckelvalv.
  3. Välj bladet Egenskaper.
  4. Kontrollera om alternativknappen bredvid mjuk borttagning är inställd på "Aktivera återställning".
  5. Om mjuk borttagning inte är aktiverat i nyckelvalvet väljer du alternativknappen för att aktivera mjuk borttagning och väljer "Spara".

På Egenskaper markeras mjuk borttagning, liksom värdet för att aktivera den.

Bevilja åtkomst till tjänstens huvudnamn för att rensa och återställa borttagna hemligheter

  1. Logga in på Azure-portalen.
  2. Välj ditt nyckelvalv.
  3. Välj bladet Åtkomstprincip.
  4. I tabellen letar du reda på raden för det säkerhetsobjekt som du vill bevilja åtkomst till (eller lägger till ett nytt säkerhetsobjekt).
  5. Välj listrutan för nycklar, certifikat och hemligheter.
  6. Rulla längst ned i listrutan och välj "Återställ" och "Rensa"
  7. Säkerhetsobjekt behöver också funktionerna "get" och "list" för att utföra de flesta åtgärder.

I det vänstra navigeringsfönstret är Åtkomstprinciper markerade. I Åtkomstprinciper visas listrutan Hemliga positioner och fyra objekt har valts: Get, List, Recover och Purge.

Lista, återställa eller rensa ett mjukt borttaget nyckelvalv

  1. Logga in på Azure-portalen.
  2. Välj sökfältet överst på sidan.
  3. Sök efter tjänsten "Key Vault". Välj inte ett enskilt nyckelvalv.
  4. Längst upp på skärmen väljer du alternativet "Hantera borttagna valv"
  5. Ett kontextfönster öppnas till höger på skärmen.
  6. Välj din prenumeration.
  7. Om ditt nyckelvalv har tagits bort mjukt visas det i kontextfönstret till höger.
  8. Om det finns för många valv kan du antingen välja "Läs in mer" längst ned i kontextfönstret eller använda CLI eller PowerShell för att hämta resultatet.
  9. När du har hittat valvet som du vill återställa eller rensa markerar du kryssrutan bredvid det.
  10. Välj alternativet återställning längst ned i kontextfönstret om du vill återställa nyckelvalvet.
  11. Välj rensningsalternativet om du vill ta bort nyckelvalvet permanent.

I Nyckelvalv är alternativet Hantera borttagna valv markerat.

I Hantera borttagna nyckelvalv är det enda listade nyckelvalvet markerat och markerat och knappen Återställ är markerad.

Lista, återställa eller rensa mjukt borttagna hemligheter, nycklar och certifikat

  1. Logga in på Azure-portalen.
  2. Välj ditt nyckelvalv.
  3. Välj bladet som motsvarar den hemliga typ som du vill hantera (nycklar, hemligheter eller certifikat).
  4. Längst upp på skärmen väljer du "Hantera borttagna (nycklar, hemligheter eller certifikat)
  5. En kontextruta visas till höger på skärmen.
  6. Om din hemlighet, nyckel eller certifikat inte visas i listan är den inte i mjukt borttaget tillstånd.
  7. Välj den hemlighet, nyckel eller det certifikat som du vill hantera.
  8. Välj alternativet för att återställa eller rensa längst ned i kontextfönstret.

På Nycklar är alternativet Hantera borttagna nycklar markerat.

Nästa steg