Utbildning
Certifiering
Microsoft Certified: Azure Cosmos DB Developer Specialty - Certifications
Write efficient queries, create indexing policies, manage, and provision resources in the SQL API and SDK with Microsoft Azure Cosmos DB.
Den här webbläsaren stöds inte längre.
Uppgradera till Microsoft Edge och dra nytta av de senaste funktionerna och säkerhetsuppdateringarna, samt teknisk support.
Viktigt
Om ett nyckelvalv inte har aktiverat skydd för mjuk borttagning tas den bort permanent om du tar bort en nyckel. Kunder uppmanas starkt att aktivera mjuk borttagning för sina valv via Azure Policy.
Viktigt
När ett Key Vault är mjukt borttaget tas tjänster som är integrerade med Key Vault bort. Exempel: Tilldelningar av Azure RBAC-roller och Event Grid-prenumerationer. Om du återställer ett mjukt borttaget Key Vault återställs inte dessa tjänster. De måste återskapas.
Funktionen för mjuk borttagning i Key Vault gör att du kan återställa borttagna valv och nyckelvalvsobjekt (till exempel nycklar, hemligheter och certifikat). Mer specifikt tar vi itu med följande scenarier: Det här skyddet erbjuder följande skydd:
Funktionen för mjuk borttagning är tillgänglig via REST-API:et, Azure CLI, Azure PowerShell och .NET/C#-gränssnitten samt ARM-mallar.
Azure Key Vaults spåras resurser som hanteras av Azure Resource Manager. Azure Resource Manager anger också ett väldefinierat beteende för borttagning, vilket kräver att en lyckad DELETE-åtgärd måste resultera i att resursen inte längre är tillgänglig. Funktionen mjuk borttagning åtgärdar återställningen av det borttagna objektet, oavsett om borttagningen var oavsiktlig eller avsiktlig.
I det vanliga scenariot tar en användare oavsiktligt bort ett nyckelvalv eller ett key vault-objekt. Om nyckelvalvet eller nyckelvalvet kunde återställas under en fördefinierad period kan användaren ångra borttagningen och återställa sina data.
I ett annat scenario kan en obehörig användare försöka ta bort ett nyckelvalv eller ett nyckelvalvobjekt, till exempel en nyckel i ett valv, för att orsaka avbrott i verksamheten. Om du separerar borttagningen av nyckelvalvet eller key vault-objektet från den faktiska borttagningen av underliggande data kan du använda som ett säkerhetsmått genom att till exempel begränsa behörigheter för borttagning av data till en annan betrodd roll. Den här metoden kräver effektivt kvorum för en åtgärd som annars kan leda till omedelbar dataförlust.
När mjuk borttagning är aktiverat behålls resurser som markerats som borttagna resurser under en angiven period (90 dagar som standard). Tjänsten tillhandahåller ytterligare en mekanism för att återställa det borttagna objektet, vilket i huvudsak återställer borttagningen.
När du skapar ett nytt nyckelvalv är mjuk borttagning aktiverat som standard. När mjuk borttagning har aktiverats i ett nyckelvalv kan det inte inaktiveras.
Kvarhållningsprincipintervallet kan bara konfigureras när nyckelvalvet skapas och kan inte ändras efteråt. Du kan ange den var som helst från 7 till 90 dagar, med 90 dagar som standard. Samma intervall gäller för både mjuk borttagning och kvarhållningsprincipen för rensningsskydd.
Du kan inte återanvända namnet på ett nyckelvalv som har tagits bort mjukt förrän kvarhållningsperioden upphör att gälla.
Rensningsskydd är ett valfritt Key Vault-beteende och är inte aktiverat som standard. Rensningsskydd kan bara aktiveras när mjuk borttagning har aktiverats. Rensningsskydd rekommenderas när du använder nycklar för kryptering för att förhindra dataförlust. De flesta Azure-tjänster som integreras med Azure Key Vault, till exempel Storage, kräver rensningsskydd för att förhindra dataförlust.
När rensningsskyddet är aktiverat kan ett valv eller ett objekt i borttaget tillstånd inte rensas förrän kvarhållningsperioden har passerat. Mjukt borttagna valv och objekt kan fortfarande återställas, vilket säkerställer att kvarhållningsprincipen följs.
Standardkvarhållningsperioden är 90 dagar, men det går att ange kvarhållningsprincipintervallet till ett värde från 7 till 90 dagar till och med Azure Portal. När kvarhållningsprincipintervallet har angetts och sparats kan det inte ändras för valvet.
Rensningsskydd kan aktiveras via CLI, PowerShell eller portalen.
Permanent borttagning, rensning, ett nyckelvalv är möjligt via en POST-åtgärd på proxyresursen och kräver särskilda privilegier. I allmänhet kan endast prenumerationsägaren eller en användare med RBAC-rollen "Key Vault Purge Operator" rensa ett nyckelvalv. POST-åtgärden utlöser omedelbar och oåterkallelig borttagning av valvet.
Undantag är:
--enable-purge-protection
När argumentet är aktiverat i själva valvet. I det här fallet väntar Key Vault i 7 till 90 dagar från det datum då det ursprungliga hemliga objektet markerades för borttagning för att permanent ta bort objektet.Anvisningar finns i Använda mjuk borttagning av Key Vault med CLI: Rensa ett nyckelvalv eller Så här använder du mjuk borttagning av Key Vault med PowerShell: Rensa ett nyckelvalv.
När ett nyckelvalv tas bort skapar tjänsten en proxyresurs under prenumerationen och lägger till tillräckligt med metadata för återställning. Proxyresursen är ett lagrat objekt som är tillgängligt på samma plats som det borttagna nyckelvalvet.
När ett key vault-objekt, till exempel en nyckel, tas bort, placerar tjänsten objektet i ett borttaget tillstånd, vilket gör det otillgängligt för alla hämtningsåtgärder. I det här tillståndet kan nyckelvalvsobjektet bara visas, återställas eller tas bort med kraft/permanent. Om du vill visa objekten använder du Azure CLI-kommandot az keyvault key list-deleted
(som beskrivs i Så här använder du mjuk borttagning av Key Vault med CLI) eller Azure PowerShell-kommandot Get-AzKeyVault -InRemovedState
(enligt beskrivningen i Så här använder du mjuk borttagning av Key Vault med PowerShell).
Samtidigt schemalägger Key Vault borttagningen av underliggande data som motsvarar det borttagna nyckelvalvet eller nyckelvalvsobjektet för körning efter ett fördefinierat kvarhållningsintervall. DNS-posten som motsvarar valvet behålls också under kvarhållningsintervallet.
Mjukt borttagna resurser behålls under en viss tidsperiod, 90 dagar. Under kvarhållningsintervallet för mjuk borttagning gäller följande:
Om inte ett nyckelvalv eller key vault-objekt återställs utför tjänsten i slutet av kvarhållningsintervallet en rensning av det mjukt borttagna nyckelvalvet eller nyckelvalvsobjektet och dess innehåll. Det går inte att schemalägga om resursborttagningen.
När ett objekt (ett nyckelvalv eller en nyckel eller en hemlighet) i allmänhet är i borttaget tillstånd är det i allmänhet bara två åtgärder som är möjliga: "rensa" och "återställa". Alla andra åtgärder misslyckas. Även om objektet finns kan därför inga åtgärder utföras och därför sker ingen användning, så ingen faktura. Det finns dock följande undantag:
Följande tre guider erbjuder de primära användningsscenarierna för användning av mjuk borttagning.
Utbildning
Certifiering
Microsoft Certified: Azure Cosmos DB Developer Specialty - Certifications
Write efficient queries, create indexing policies, manage, and provision resources in the SQL API and SDK with Microsoft Azure Cosmos DB.
Dokumentation
Översikt över Azure Key Vault-återställning
Key Vault Recovery-funktioner är utformade för att förhindra oavsiktlig eller skadlig borttagning av dina nyckelvalv och hemligheter, nycklar och certifikat som lagras i nyckelvalvet.
Vanliga felkoder för Azure Key Vault
Vanliga felkoder för Azure Key Vault
Bevilja behörighet till program för åtkomst till ett Azure-nyckelvalv med Hjälp av Azure RBAC
Lär dig hur du ger åtkomst till nycklar, hemligheter och certifikat med rollbaserad åtkomstkontroll i Azure.