Azure Key Vault-återställningshantering med skydd mot mjuk borttagning och rensning

Den här artikeln beskriver två återställningsfunktioner i Azure Key Vault, mjuk borttagning och rensningsskydd. Det här dokumentet innehåller en översikt över de här funktionerna och visar hur du hanterar dem via Azure Portal, Azure CLI och Azure PowerShell.

Viktigt!

Om ett nyckelvalv inte har aktiverat skydd för mjuk borttagning tas den bort permanent om du tar bort en nyckel. Kunder uppmanas starkt att aktivera mjuk borttagning för sina valv via Azure Policy.

Mer information om Key Vault finns i

• Översikt över Key Vault
• Översikt över Azure Key Vault-nycklar, hemligheter och certifikat

Förutsättningar

• En Azure-prenumeration – skapa en kostnadsfritt

• Azure PowerShell.

• Azure CLI

• Ett Key Vault – du kan skapa ett med hjälp av Azure Portal Azure CLI eller Azure PowerShell

• Användaren behöver följande behörigheter (på prenumerationsnivå) för att utföra åtgärder i mjukt borttagna valv:

  Behörighet	beskrivning
  Microsoft.KeyVault/locations/deletedVaults/read	Visa egenskaperna för ett mjukt borttaget nyckelvalv
  Microsoft.KeyVault/locations/deletedVaults/purge/action	Rensa ett mjukt borttaget nyckelvalv
  Microsoft.KeyVault/locations/operationResults/read	Så här kontrollerar du rensningstillståndet för valvet
  Key Vault-deltagare	Så här återställer du mjukt borttaget valv

Vad är skydd för mjuk borttagning och rensning

Skydd mot mjuk borttagning och rensning är två olika funktioner för återställning av nyckelvalv.

Mjuk borttagning är utformad för att förhindra oavsiktlig borttagning av ditt nyckelvalv och nycklar, hemligheter och certifikat som lagras i nyckelvalvet. Tänk på mjuk borttagning som en papperskorg. När du tar bort ett nyckelvalv eller ett key vault-objekt förblir det återställningsbart för en användarkonfigurerbar kvarhållningsperiod eller ett standardvärde på 90 dagar. Nyckelvalv i mjukt borttaget tillstånd kan också rensas (tas bort permanent), så att du kan återskapa nyckelvalv och nyckelvalvobjekt med samma namn. Både återställning och borttagning av nyckelvalv och -objekt kräver utökade behörigheter för åtkomstprinciper. När mjuk borttagning har aktiverats kan den inte inaktiveras.

Det är viktigt att observera att nyckelvalvsnamn är globalt unika, så att du inte kan skapa ett nyckelvalv med samma namn som ett nyckelvalv i tillståndet mjuk borttagning. På samma sätt är namnen på nycklar, hemligheter och certifikat unika i ett nyckelvalv. Du kan inte skapa en hemlighet, nyckel eller ett certifikat med samma namn som en annan i tillståndet mjuk borttagning.

Rensningsskyddet är utformat för att förhindra att nyckelvalvet, nycklarna, hemligheterna och certifikaten tas bort av en obehörig insider. Se det som en papperskorg med ett tidsbaserat lås. Du kan återställa objekt när som helst under den konfigurerbara kvarhållningsperioden. Du kommer inte att kunna ta bort eller rensa ett nyckelvalv permanent förrän kvarhållningsperioden har gått ut. När kvarhållningsperioden förflutit rensas nyckelvalvet eller nyckelvalvsobjektet automatiskt.

Kommentar

Rensningsskydd är utformat så att ingen administratörsroll eller behörighet kan åsidosätta, inaktivera eller kringgå rensningsskydd. När rensningsskydd är aktiverat kan det inte inaktiveras eller åsidosättas av någon, inklusive Microsoft. Det innebär att du måste återställa ett borttaget nyckelvalv eller vänta tills kvarhållningsperioden har gått ut innan du återanvänder nyckelvalvets namn igen.

Mer information om mjuk borttagning finns i Översikt över mjuk borttagning av Azure Key Vault

Azure-portalen

Kontrollera om mjuk borttagning är aktiverat i ett nyckelvalv och aktivera mjuk borttagning

1. Logga in på Azure-portalen.
2. Välj ditt nyckelvalv.
3. Välj bladet Egenskaper.
4. Kontrollera om alternativknappen bredvid mjuk borttagning är inställd på "Aktivera återställning".
5. Om mjuk borttagning inte är aktiverat i nyckelvalvet väljer du alternativknappen för att aktivera mjuk borttagning och väljer "Spara".

Bevilja åtkomst till tjänstens huvudnamn för att rensa och återställa borttagna hemligheter

1. Logga in på Azure-portalen.
2. Välj ditt nyckelvalv.
3. Välj bladet Åtkomstprincip.
4. I tabellen letar du reda på raden för det säkerhetsobjekt som du vill bevilja åtkomst till (eller lägger till ett nytt säkerhetsobjekt).
5. Välj listrutan för nycklar, certifikat och hemligheter.
6. Rulla längst ned i listrutan och välj "Återställ" och "Rensa"
7. Säkerhetsobjekt behöver också funktionerna "get" och "list" för att utföra de flesta åtgärder.

Lista, återställa eller rensa ett mjukt borttaget nyckelvalv

1. Logga in på Azure-portalen.
2. Välj sökfältet överst på sidan.
3. Sök efter tjänsten "Key Vault". Välj inte ett enskilt nyckelvalv.
4. Längst upp på skärmen väljer du alternativet "Hantera borttagna valv"
5. Ett kontextfönster öppnas till höger på skärmen.
6. Välj din prenumeration.
7. Om ditt nyckelvalv har tagits bort mjukt visas det i kontextfönstret till höger.
8. Om det finns för många valv kan du antingen välja "Läs in mer" längst ned i kontextfönstret eller använda CLI eller PowerShell för att hämta resultatet.
9. När du har hittat valvet som du vill återställa eller rensa markerar du kryssrutan bredvid det.
10. Välj alternativet återställning längst ned i kontextfönstret om du vill återställa nyckelvalvet.
11. Välj rensningsalternativet om du vill ta bort nyckelvalvet permanent.

Lista, återställa eller rensa mjukt borttagna hemligheter, nycklar och certifikat

1. Logga in på Azure-portalen.
2. Välj ditt nyckelvalv.
3. Välj bladet som motsvarar den hemliga typ som du vill hantera (nycklar, hemligheter eller certifikat).
4. Längst upp på skärmen väljer du "Hantera borttagna (nycklar, hemligheter eller certifikat)
5. En kontextruta visas till höger på skärmen.
6. Om din hemlighet, nyckel eller certifikat inte visas i listan är den inte i mjukt borttaget tillstånd.
7. Välj den hemlighet, nyckel eller det certifikat som du vill hantera.
8. Välj alternativet för att återställa eller rensa längst ned i kontextfönstret.

Azure CLI

Key Vault (CLI)

• Kontrollera om ett nyckelvalv har mjuk borttagning aktiverat

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Aktivera mjuk borttagning i key-vault

  Alla nya nyckelvalv har mjuk borttagning aktiverad som standard. Om du för närvarande har ett nyckelvalv som inte har mjuk borttagning aktiverat använder du följande kommando för att aktivera mjuk borttagning.

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
  

• Ta bort nyckelvalv (kan återställas om mjuk borttagning är aktiverat)

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Visa en lista över alla mjukt borttagna nyckelvalv

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault
  

• Återställa mjukt borttagna nyckelvalv

  az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Rensa mjukt borttagna nyckelvalv (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT DITT NYCKELVALV PERMANENT)

  az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Aktivera rensningsskydd i key-vault

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
  

Certifikat (CLI)

• Bevilja åtkomst till rensning och återställning av certifikat

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge
  

• Ta bort certifikat

  az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Lista borttagna certifikat

  az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Återställa borttaget certifikat

  az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Rensa mjukt borttaget certifikat (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT CERTIFIKATET PERMANENT)

  az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

Nycklar (CLI)

• Bevilja åtkomst till rensning och återställning av nycklar

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge
  

• Ta bort nyckeln

  az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Lista borttagna nycklar

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Återställa borttagen nyckel

  az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Rensa mjuk borttagen nyckel (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT NYCKELN PERMANENT)

  az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

Hemligheter (CLI)

• Bevilja åtkomst till rensning och återställning av hemligheter

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge
  

• Ta bort hemlighet

  az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Lista borttagna hemligheter

  az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Återställa borttagen hemlighet

  az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Rensa mjuk borttagen hemlighet (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT HEMLIGHETEN PERMANENT)

  az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

Azure PowerShell

Key Vault (PowerShell)

• Kontrollera om ett nyckelvalv har mjuk borttagning aktiverat

  Get-AzKeyVault -VaultName "ContosoVault"
  

• Ta bort nyckelvalv

  Remove-AzKeyVault -VaultName 'ContosoVault'
  

• Visa en lista över alla mjukt borttagna nyckelvalv

  Get-AzKeyVault -InRemovedState
  

• Återställa mjukt borttagna nyckelvalv

  Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus
  

• Rensa mjukt borttagna nyckelvalv (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT DITT NYCKELVALV PERMANENT)

  Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
  

• Aktivera rensningsskydd i key-vault

  Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection
  

Certifikat (PowerShell)

• Bevilja behörigheter för att återställa och rensa certifikat

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge
  

• Ta bort ett certifikat

  Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'
  

• Visa en lista över alla borttagna certifikat i ett nyckelvalv

  Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
  

• Återställa ett certifikat i borttaget tillstånd

  Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'
  

• Rensa ett mjukt borttaget certifikat (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT CERTIFIKATET PERMANENT)

  Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
  

Nycklar (PowerShell)

• Bevilja behörigheter för att återställa och rensa nycklar

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge
  

• Ta bort en nyckel

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'
  

• Visa en lista över alla borttagna nycklar i ett nyckelvalv

  Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
  

• Så här återställer du en mjuk borttagen nyckel

  Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey
  

• Rensa en mjuk borttagen nyckel (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT NYCKELN PERMANENT)

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
  

Hemligheter (PowerShell)

• Bevilja behörigheter för att återställa och rensa hemligheter

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge
  

• Ta bort en hemlighet med namnet SQLPassword

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword
  

• Visa en lista över alla borttagna hemligheter i ett nyckelvalv

  Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
  

• Återställa en hemlighet i borttaget tillstånd

  Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword
  

• Rensa en hemlighet i borttaget tillstånd (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT NYCKELN PERMANENT)

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
  

Nästa steg

• PowerShell-cmdletar för Azure Key Vault
• Key Vault Azure CLI-kommandon
• Säkerhetskopiering av Azure Key Vault
• Så här aktiverar du Key Vault-loggning
• Säkerhetsfunktioner i Azure Key Vault
• Utvecklarguide för Azure Key Vault