Hanterat HSM-skydd för mjuk borttagning och rensning

Den här artikeln beskriver två återställningsfunktioner i Managed HSM: skydd mot mjuk borttagning och rensning. Den ger en översikt över dessa funktioner och visar hur du hanterar dem med hjälp av Azure CLI och Azure PowerShell.

Mer information finns i Översikt över hanterad HSM.

Förutsättningar

• En Azure-prenumeration. Skapa en kostnadsfritt.

• PowerShell-modulen.

• Azure CLI 2.25.0 eller senare. Kör az --version för att avgöra vilken version du har. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI.

• En hanterad HSM. Du kan skapa en med hjälp av Azure CLI eller Azure PowerShell.

• Användarna behöver följande behörigheter för att utföra åtgärder på mjuk borttagna HSM:er eller nycklar:

  Rolltilldelning	beskrivning
  Hanterad HSM-deltagare	Lista, återställa och rensa mjuk borttagna HSM:er
  Hanterad HSM-kryptoanvändare	Visa en lista över mjuk borttagna nycklar
  Hanterad HSM Crypto Officer	Rensa och återställa mjuk borttagna nycklar

Vad är skydd mot mjuk borttagning och rensning?

Skydd mot mjuk borttagning och rensning är återställningsfunktioner.

Mjuk borttagning är utformad för att förhindra oavsiktlig borttagning av HSM och nycklar. Mjuk borttagning fungerar som en papperskorg. När du tar bort en HSM eller en nyckel förblir den återställningsbar under en konfigurerbar kvarhållningsperiod eller under en standardperiod på 90 dagar. HSM:er och nycklar i mjukt borttaget tillstånd kan också rensas, vilket innebär att de tas bort permanent. Med rensning kan du återskapa HSM:er och nycklar med samma namn som det rensade objektet. Både återställning och borttagning av HSM:er och nycklar kräver specifika rolltilldelningar. Mjuk borttagning kan inte inaktiveras.

Kommentar

Eftersom de underliggande resurserna förblir allokerade till din HSM även när den är i ett borttaget tillstånd fortsätter HSM-resursen att ackumulera timavgifter medan den är i det tillståndet.

Hanterade HSM-namn är globalt unika i alla molnmiljöer. Så du kan inte skapa en hanterad HSM med samma namn som en som finns i ett mjukt borttaget tillstånd. På samma sätt är namnen på nycklar unika inom en HSM. Du kan inte skapa en nyckel med samma namn som en som finns i tillståndet för mjuk borttagning.

Mer information finns i Översikt över mjuk borttagning av hanterad HSM.

Rensningsskyddet är utformat för att förhindra att dina HSM:er och nycklar tas bort av en obehörig insider. Det är som en papperskorg med ett tidsbaserat lås. Du kan återställa objekt när som helst under den konfigurerbara kvarhållningsperioden. Du kommer inte att kunna ta bort eller rensa en HSM eller en nyckel permanent förrän kvarhållningsperioden är slut. När kvarhållningsperioden är slut rensas HSM eller nyckeln automatiskt.

Kommentar

Ingen administratörsroll eller behörighet kan åsidosätta, inaktivera eller kringgå rensningsskydd. Om rensningsskydd är aktiverat kan det inte inaktiveras eller åsidosättas av någon, inklusive Microsoft. Därför måste du återställa en borttagen HSM eller vänta tills kvarhållningsperioden har avslutats innan du kan återanvända HSM-namnet.

Hantera nycklar och hanterade HSM:er

Azure CLI

Hanterade HSM:er (CLI)

• Så här kontrollerar du statusen för skydd mot mjuk borttagning och rensning för en hanterad HSM:

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

• Så här tar du bort en HSM:

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

  Den här åtgärden kan återställas eftersom mjuk borttagning är aktiverat som standard.

• Så här listar du alla HSM:er med mjuk borttagning:

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
  

• Så här återställer du en mjuk borttagen HSM:

  az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

• Så här rensar du en mjuk borttagen HSM:

  az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

  Varning

  Den här åtgärden tar bort HSM permanent.

• Så här aktiverar du rensningsskydd på en HSM:

  az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
  

Nycklar (CLI)

• Så här tar du bort en nyckel:

  az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• Så här listar du borttagna nycklar:

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
  

• Så här återställer du en borttagen nyckel:

  az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• Så här rensar du en mjuk borttagen nyckel:

  az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

  Varning

  Den här åtgärden tar bort nyckeln permanent.

Azure PowerShell

Hanterade HSM:er (PowerShell)

• Så här kontrollerar du statusen för skydd mot mjuk borttagning och rensning för en hanterad HSM:

  Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
  

• Så här tar du bort en HSM:

  Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
  

  Den här åtgärden kan återställas eftersom mjuk borttagning är aktiverat som standard.

Nycklar (PowerShell)

• Så här tar du bort en nyckel:

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'
  

• Så här listar du alla borttagna nycklar:

  Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState
  

• Så här återställer du en mjuk borttagen nyckel:

  Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey
  

• Så här rensar du en mjuk borttagen nyckel:

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
  

  Varning

  Den här åtgärden tar bort nyckeln permanent.

Nästa steg

• Hanterade HSM PowerShell-cmdletar
• Key Vault Azure CLI-kommandon
• Fullständig säkerhetskopiering och återställning av hanterad HSM
• Så här aktiverar du Hanterad HSM-loggning