Azure Key Vault'da geçici silme ve temizleme koruması ile kurtarma yönetimi

Bu makale, Azure Key Vault'un yumuşak silme ve temizleme koruması olmak üzere iki kurtarma özelliğini kapsar. Bu belge, bu özelliklere genel bir bakış sağlar ve bunları Azure portalı, Azure CLI ve Azure PowerShell aracılığıyla nasıl yönetileceğini gösterir.

Önemli

Anahtar kasasında geçici silme koruması etkin değilse, anahtarın silinmesi onu kalıcı olarak siler. Azure İlkesi aracılığıyla kasaları için soft delete uygulamasını açmaları müşterilere kesinlikle tavsiye edilir.

Kurtarma seçeneklerine genel bakış

Azure Key Vault, kasa verilerinizin kullanılabilirliğini ve kurtarılabilirliğini sağlamak için birden çok seçenek sağlar:

  • Otomatik yedeklilik ve yük devretme: Key Vault verileri bölgeler arasında otomatik olarak çoğaltır ve kesintiler sırasında yük devretmeyi işler- bkz. Azure Key Vault kullanılabilirlik ve yedeklilik
  • Yumuşak silme ve temizleme koruması (bu makalede ele alınmıştır): Kasanızın veya kasa nesnelerinizin yanlışlıkla veya kötü amaçlı silinmesini önler
  • Uysal yedekleme ve geri yükleme: Tek tek gizli diziler, anahtarlar ve sertifikalar için bkz. Azure Key Vault backup

Bu makale, yanlışlıkla veya kötü amaçlı silmeye karşı korumaya yardımcı olan geçici silme ve temizleme koruma özelliklerine odaklanır.

Önkoşullar

  • Azure aboneliği - ücretsiz bir abonelik oluşturma

  • Azure PowerShell.

  • Azure CLI

  • Key Vault: Azure portalAzure CLI veya Azure PowerShell

  • Kullanıcının geçici olarak silinen kasalarda işlem gerçekleştirmek için aşağıdaki izinlere (abonelik düzeyinde) ihtiyacı vardır:

    İzin Açıklama
    Microsoft.KeyVault/locations/deletedVaults/read Geçici olarak silinen anahtar kasasının özelliklerini görüntüleme
    Microsoft. KeyVault/locations/deletedVaults/purge/action Yumuşak silinmiş anahtar kasasını temizleme
    Microsoft.KeyVault/locations/operationResults/read Kasanın temizleme durumunu denetlemek için
    Key Vault Katılımcısı Geçici olarak silinen kasayı kurtarmak için

Geçici silme ve temizleme koruması nedir?

Geçici silme ve temizleme koruması iki farklı anahtar kasası kurtarma özelliğidir.

Geçici silme , anahtar kasanızın ve anahtarlarınızın, gizli dizilerinizin ve anahtar kasanızda depolanan sertifikaların yanlışlıkla silinmesini önlemek için tasarlanmıştır. Geçici silmeyi geri dönüşüm kutusu gibi düşünün. Bir anahtar kasasını veya anahtar kasası nesnesini sildiğinizde, kullanıcı tarafından yapılandırılabilir bir saklama süresi veya varsayılan olarak 90 gün boyunca kurtarılabilir durumda kalır. Geçici olarak silinmiş durumdaki anahtar kasaları da temizlenebilir (kalıcı olarak silinebilir), böylece anahtar kasalarını ve anahtar kasası nesnelerini aynı adla yeniden oluşturabilirsiniz. Hem anahtar kasalarını hem de nesneleri kurtarmak ve silmek için yükseltilmiş erişim ilkesi izinleri gerekir. Geçici silme etkinleştirildikten sonra devre dışı bırakılamaz.

Anahtar kasası adlarının genel olarak benzersiz olduğunu unutmayın, bu nedenle geçici olarak silinmiş durumdaki bir anahtar kasasıyla aynı ada sahip bir anahtar kasası oluşturamazsınız. Benzer şekilde anahtarların, sırların ve sertifikaların adları bir anahtar kasası içinde benzersizdir. Geçici olarak silinmiş durumdaki diğeriyle aynı ada sahip bir gizli dizi, anahtar veya sertifika oluşturamazsınız.

Temizleme koruması , kötü amaçlı bir insider tarafından anahtar kasanızın, anahtarlarınızın, gizli dizilerinizin ve sertifikalarınızın silinmesini önlemek için tasarlanmıştır. Zaman tabanlı kilidi olan bir geri dönüşüm kutusu olarak düşünün. Öğeleri yapılandırılabilir saklama süresi boyunca herhangi bir noktada kurtarabilirsiniz. Saklama süresi geçene kadar anahtar kasasını kalıcı olarak silemez veya temizleyemezsiniz. Saklama süresi geçtikten sonra anahtar kasası veya anahtar kasası nesnesi otomatik olarak temizlenir.

Not

Temizleme Koruması, hiçbir yönetici rolünün veya izninin temizleme korumasını geçersiz kılması, devre dışı bırakmaması veya aşmaması için tasarlanmıştır. Temizleme koruması etkinleştirildiğinde, Microsoft dahil herkes tarafından devre dışı bırakılamaz veya geçersiz kılınamaz. Bu, silinen bir anahtar kasasını kurtarmanız veya anahtar kasası adını yeniden kullanmadan önce saklama süresinin geçmesini beklemeniz gerektiği anlamına gelir.

Bu özellikler üretim ortamları için kesinlikle önerilir.

Geçici silme hakkında daha fazla bilgi için bkz. Azure Key Vault geçici silmeye genel bakış

Anahtar kasasında geçici silmenin etkinleştirilip etkinleştirilmediğini doğrulayın ve geçici silmeyi etkinleştirin

  1. Azure portalında oturum açın.
  2. Anahtar kasanızı seçin.
  3. "Özellikler" panelini seçin.
  4. Geçici silmenin yanındaki radyo düğmesinin "Kurtarmayı Etkinleştir" olarak ayarlandığını doğrulayın.
  5. Anahtar kasasında geçici silme etkin değilse, geçici silmeyi etkinleştirmek için radyo düğmesini seçin ve "Kaydet"i seçin.

On Properties, Soft-delete is highlighted, as is the value to enable it.Özellikler'de hem geçici silme özelliği hem de onu etkinleştirme değeri vurgulanmıştır.

Silinen gizli dizileri temizlemek ve kurtarmak için hizmet sorumlusuna erişim verme

  1. Azure portalında oturum açın.
  2. Anahtar kasanızı seçin.
  3. "Erişim İlkesi" panelini seçin.
  4. Tabloda, erişim vermek istediğiniz güvenlik sorumlusunun satırını bulun (veya yeni bir güvenlik sorumlusu ekleyin).
  5. Anahtarlar, sertifikalar ve gizliler için açılır menüyü seçin.
  6. Açılan listenin en altına kaydırın ve "Kurtar" ve "Temizle" seçeneğini belirleyin
  7. Güvenlik sorumlularının çoğu işlemi gerçekleştirmek için "get" ve "list" işlevleri de gerekir.

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge.Sol gezinti bölmesinde Erişim ilkeleri vurgulanır. Erişim ilkelerinde Gizli Dizi Konumları açılan listesi gösterilir ve dört öğe seçilir: Al, Listele, Kurtar ve Temizle.

Geçici olarak silinmiş anahtar kasasını listeleme, kurtarma veya kalıcı olarak silme

  1. Azure portalında oturum açın.
  2. Sayfanın üst kısmındaki arama çubuğunu seçin.
  3. "Key Vault" hizmetini arayın. Hiçbir anahtar kasasını seçmeyin.
  4. Ekranın üst kısmında "Silinen kasaları yönet" seçeneğini belirleyin
  5. Ekranınızın sağ tarafında bir bağlam bölmesi açılır.
  6. Aboneliğinizi seçin.
  7. Anahtar kasanız geçici olarak silinmişse sağ taraftaki bağlam bölmesinde görünür.
  8. Çok fazla kasa varsa bağlam bölmesinin alt kısmındaki "Daha Fazla Yükle" seçeneğini belirleyebilir veya sonuçları almak için CLI veya PowerShell kullanabilirsiniz.
  9. Kurtarmak veya temizlemek istediğiniz kasayı bulduktan sonra yanındaki onay kutusunu seçin.
  10. Anahtar kasasını geri yüklemek istiyorsanız bağlam bölmesinin alt kısmındaki kurtarma seçeneğini seçin.
  11. Anahtar kasasını kalıcı olarak silmek istiyorsanız temizleme seçeneğini belirleyin.

On Key vaults, the Manage deleted vaults option is highlighted.Anahtar kasalarında Silinen kasaları yönet seçeneği vurgulanır.

Silinen anahtar kasalarını yönet bölümünde, listelenen tek anahtar kasası vurgulanır ve seçilir, ayrıca Kurtar düğmesi de vurgulanır.

Geçici olarak silinen gizli dizileri, anahtarları ve sertifikaları listeleme, kurtarma veya temizleme

  1. Azure portalında oturum açın.
  2. Anahtar kasanızı seçin.
  3. Yönetmek istediğiniz gizli türüne (anahtarlar, gizli bilgiler veya sertifikalar) karşılık gelen sekmeyi seçin.
  4. Ekranın üst kısmında "Silinenleri yönet (anahtarlar, gizli diziler veya sertifikalar) seçeneğini belirleyin
  5. Ekranınızın sağ tarafında bir bağlam bölmesi görüntülenir.
  6. Gizli diziniz, anahtarınız veya sertifikanız listede görünmüyorsa geçici olarak silinmiş durumda değildir.
  7. Yönetmek istediğiniz gizliyi, anahtarı veya sertifikayı seçin.
  8. Bağlam bölmesinin en altındaki kurtarma veya temizleme seçeneğini belirleyin.

Anahtarlar sekmesinde Silinen anahtarları yönet seçeneği vurgulanır.

Sonraki adımlar

  • Last updated on