Dela via


Hanterat HSM-skydd för mjuk borttagning och rensning

Den här artikeln beskriver två återställningsfunktioner i Managed HSM: skydd mot mjuk borttagning och rensning. Den ger en översikt över dessa funktioner och visar hur du hanterar dem med hjälp av Azure CLI och Azure PowerShell.

Mer information finns i Översikt över hanterad HSM.

Förutsättningar

Vad är skydd mot mjuk borttagning och rensning?

Skydd mot mjuk borttagning och rensning är återställningsfunktioner.

Mjuk borttagning är utformad för att förhindra oavsiktlig borttagning av HSM och nycklar. Mjuk borttagning fungerar som en papperskorg. När du tar bort en HSM eller en nyckel förblir den återställningsbar under en konfigurerbar kvarhållningsperiod eller under en standardperiod på 90 dagar. HSM:er och nycklar i mjukt borttaget tillstånd kan också rensas, vilket innebär att de tas bort permanent. Med rensning kan du återskapa HSM:er och nycklar med samma namn som det rensade objektet. Både återställning och borttagning av HSM:er och nycklar kräver specifika rolltilldelningar. Mjuk borttagning kan inte inaktiveras.

Kommentar

Eftersom de underliggande resurserna förblir allokerade till din HSM även när den är i ett borttaget tillstånd fortsätter HSM-resursen att ackumulera timavgifter medan den är i det tillståndet.

Hanterade HSM-namn är globalt unika i alla molnmiljöer. Så du kan inte skapa en hanterad HSM med samma namn som en som finns i ett mjukt borttaget tillstånd. På samma sätt är namnen på nycklar unika inom en HSM. Du kan inte skapa en nyckel med samma namn som en som finns i tillståndet för mjuk borttagning.

Mer information finns i Översikt över mjuk borttagning av hanterad HSM.

Rensningsskyddet är utformat för att förhindra att dina HSM:er och nycklar tas bort av en obehörig insider. Det är som en papperskorg med ett tidsbaserat lås. Du kan återställa objekt när som helst under den konfigurerbara kvarhållningsperioden. Du kommer inte att kunna ta bort eller rensa en HSM eller en nyckel permanent förrän kvarhållningsperioden är slut. När kvarhållningsperioden är slut rensas HSM eller nyckeln automatiskt.

Kommentar

Ingen administratörsroll eller behörighet kan åsidosätta, inaktivera eller kringgå rensningsskydd. Om rensningsskydd är aktiverat kan det inte inaktiveras eller åsidosättas av någon, inklusive Microsoft. Därför måste du återställa en borttagen HSM eller vänta tills kvarhållningsperioden har avslutats innan du kan återanvända HSM-namnet.

Hantera nycklar och hanterade HSM:er

Hanterade HSM:er (CLI)

  • Så här kontrollerar du statusen för skydd mot mjuk borttagning och rensning för en hanterad HSM:

    az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
    
  • Så här tar du bort en HSM:

    az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
    

    Den här åtgärden kan återställas eftersom mjuk borttagning är aktiverat som standard.

  • Så här listar du alla HSM:er med mjuk borttagning:

    az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
    
  • Så här återställer du en mjuk borttagen HSM:

    az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
    
  • Så här rensar du en mjuk borttagen HSM:

    az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
    

    Varning

    Den här åtgärden tar bort HSM permanent.

  • Så här aktiverar du rensningsskydd på en HSM:

    az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
    

Nycklar (CLI)

  • Så här tar du bort en nyckel:

    az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
    
  • Så här listar du borttagna nycklar:

    az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
    
  • Så här återställer du en borttagen nyckel:

    az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
    
  • Så här rensar du en mjuk borttagen nyckel:

    az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
    

    Varning

    Den här åtgärden tar bort nyckeln permanent.

Nästa steg