Säkerhetskopiering och återställning av Azure Key Vault

Det här dokumentet visar hur du säkerhetskopierar hemligheter, nycklar och certifikat som lagras i ditt nyckelvalv. En säkerhetskopia är avsedd att ge dig en offlinekopia av alla dina hemligheter i den osannolika händelsen att du förlorar åtkomsten till ditt nyckelvalv.

Översikt

Azure Key Vault tillhandahåller automatiskt funktioner som hjälper dig att upprätthålla tillgängligheten och förhindra dataförlust. Säkerhetskopiera bara hemligheter om du har en kritisk affärsmotiv. Säkerhetskopiering av hemligheter i nyckelvalvet kan innebära driftsutmaningar som att underhålla flera uppsättningar loggar, behörigheter och säkerhetskopior när hemligheter upphör att gälla eller roteras.

Key Vault upprätthåller tillgängligheten i katastrofscenarier och redundansväxlar automatiskt begäranden till en parad region utan några åtgärder från en användare. Mer information finns i Tillgänglighet och redundans för Azure Key Vault.

Om du vill ha skydd mot oavsiktlig eller skadlig borttagning av dina hemligheter konfigurerar du funktioner för skydd mot mjuk borttagning och rensning i nyckelvalvet. Mer information finns i Översikt över mjuk borttagning av Azure Key Vault.

Begränsningar

Viktigt!

Key Vault stöder inte möjligheten att säkerhetskopiera fler än 500 tidigare versioner av ett nyckel-, hemlighets- eller certifikatobjekt. Om du försöker säkerhetskopiera en nyckel, en hemlighet eller ett certifikatobjekt kan det resultera i ett fel. Det går inte att ta bort tidigare versioner av en nyckel, hemlighet eller ett certifikat.

Key Vault tillhandahåller för närvarande inte ett sätt att säkerhetskopiera ett helt nyckelvalv i en enda åtgärd och nycklar, hemligheter och certifikat måste säkerhetskopieras indviduellt.

Tänk också på följande problem:

• Säkerhetskopiering av hemligheter som har flera versioner kan orsaka timeout-fel.
• En säkerhetskopia skapar en ögonblicksbild från en tidpunkt. Hemligheter kan förnyas under en säkerhetskopia, vilket orsakar ett matchningsfel för krypteringsnycklar.
• Om du överskrider gränserna för Key Vault-tjänsten för begäranden per sekund begränsas ditt nyckelvalv och säkerhetskopieringen misslyckas.

Utformningsbeaktanden

När du säkerhetskopierar ett key vault-objekt, till exempel en hemlighet, nyckel eller ett certifikat, hämtar säkerhetskopieringsåtgärden objektet som en krypterad blob. Den här bloben kan inte dekrypteras utanför Azure. Om du vill hämta användbara data från den här bloben måste du återställa bloben till ett nyckelvalv inom samma Azure-prenumeration och Azure-geografi.

Förutsättningar

Om du vill säkerhetskopiera ett key vault-objekt måste du ha:

• Behörigheter på deltagarnivå eller högre för en Azure-prenumeration.
• Ett primärt nyckelvalv som innehåller de hemligheter som du vill säkerhetskopiera.
• Ett sekundärt nyckelvalv där hemligheter kommer att återställas.

Säkerhetskopiera och återställa från Azure-portalen

Följ stegen i det här avsnittet för att säkerhetskopiera och återställa objekt med hjälp av Azure-portalen.

Säkerhetskopiera

1. Gå till Azure-portalen.

2. Välj ditt nyckelvalv.

3. Gå till det objekt (hemlighet, nyckel eller certifikat) som du vill säkerhetskopiera.

   

4. Välj objektet.

5. Välj Ladda ned säkerhetskopiering.

   

6. Välj Hämta.

   

7. Lagra den krypterade bloben på en säker plats.

Återställning

1. Gå till Azure-portalen.

2. Välj ditt nyckelvalv.

3. Gå till den typ av objekt (hemlighet, nyckel eller certifikat) som du vill återställa.

4. Välj Återställ säkerhetskopiering.

   

5. Gå till den plats där du lagrade den krypterade bloben.

6. Välj OK.

Säkerhetskopiera och återställa från Azure CLI eller Azure PowerShell

Azure CLI

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Azure PowerShell

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '{AZURE SUBSCRIPTION ID}'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -Name '{Certificate Name}'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '{Key Vault Name}' -Name '{Key Name}'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '{Key Vault Name}' -Name '{Secret Name}'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '{Key Vault Name}' -InputFile '{File Path}'

Nästa steg

• Flytta ett Azure-nyckelvalv mellan regioner
• Aktivera Key Vault-loggning för Key Vault