Geçici silme ve temizleme koruması ile Azure Key Vault kurtarma yönetimi

Bu makale, Azure Key Vault'un iki kurtarma özelliği olan geçici silme ve temizleme korumasını kapsar. Bu belge, bu özelliklere genel bir bakış sağlar ve bunları Azure portalı, Azure CLI ve Azure PowerShell aracılığıyla nasıl yönetileceğini gösterir.

Önemli

Anahtar kasasında geçici silme koruması etkin değilse, anahtarın silinmesi onu kalıcı olarak siler. Müşterilerin kasaları için Azure İlkesi aracılığıyla geçici silme zorlamasını açmaları kesinlikle tavsiye edilir.

Key Vault hakkında daha fazla bilgi için bkz.

• Key Vault'a genel bakış
• Azure Key Vault anahtarlarına, gizli dizilerine ve sertifikalara genel bakış

Önkoşullar

• Azure aboneliği - ücretsiz bir abonelik oluşturun

• Azure PowerShell.

• Azure CLI

• Key Vault - Azure portal Azure CLI veya Azure PowerShell kullanarak bir anahtar kasası oluşturabilirsiniz

• Kullanıcının geçici olarak silinen kasalarda işlem gerçekleştirmek için aşağıdaki izinlere (abonelik düzeyinde) ihtiyacı vardır:

  İzin	Açıklama
  Microsoft.KeyVault/locations/deletedVaults/read	Geçici olarak silinen anahtar kasasının özelliklerini görüntüleme
  Microsoft.KeyVault/locations/deletedVaults/purge/action	Geçici olarak silinen anahtar kasalarını temizleme
  Microsoft.KeyVault/locations/operationResults/read	Kasanın temizleme durumunu denetlemek için
  Key Vault Katkıda Bulunanı	Geçici olarak silinen kasayı kurtarmak için

Geçici silme ve temizleme koruması nedir?

Geçici silme ve temizleme koruması iki farklı anahtar kasası kurtarma özelliğidir.

Geçici silme , anahtar kasanızın ve anahtarlarınızın, gizli dizilerinizin ve anahtar kasanızda depolanan sertifikaların yanlışlıkla silinmesini önlemek için tasarlanmıştır. Geçici silmeyi geri dönüşüm kutusu gibi düşünün. Bir anahtar kasasını veya anahtar kasası nesnesini sildiğinizde, kullanıcı tarafından yapılandırılabilir saklama süresi veya varsayılan olarak 90 gün için kurtarılabilir durumda kalır. Geçici olarak silinmiş durumdaki anahtar kasaları da temizlenebilir (kalıcı olarak silinebilir), böylece anahtar kasalarını ve anahtar kasası nesnelerini aynı adla yeniden oluşturabilirsiniz. Hem anahtar kasalarını hem de nesneleri kurtarmak ve silmek için yükseltilmiş erişim ilkesi izinleri gerekir. Geçici silme etkinleştirildikten sonra devre dışı bırakılamaz.

Anahtar kasası adlarının genel olarak benzersiz olduğunu unutmayın, bu nedenle geçici olarak silinmiş durumdaki bir anahtar kasasıyla aynı ada sahip bir anahtar kasası oluşturamazsınız. Benzer şekilde anahtarların, gizli dizilerin ve sertifikaların adları bir anahtar kasası içinde benzersizdir. Geçici olarak silinmiş durumdaki diğeriyle aynı ada sahip bir gizli dizi, anahtar veya sertifika oluşturamazsınız.

Temizleme koruması , kötü amaçlı bir insider tarafından anahtar kasanızın, anahtarlarınızın, gizli dizilerinizin ve sertifikalarınızın silinmesini önlemek için tasarlanmıştır. Zaman tabanlı kilidi olan bir geri dönüşüm kutusu olarak düşünün. Öğeleri yapılandırılabilir saklama süresi boyunca herhangi bir noktada kurtarabilirsiniz. Saklama süresi geçene kadar anahtar kasasını kalıcı olarak silemez veya temizleyemezsiniz. Saklama süresi geçtikten sonra anahtar kasası veya anahtar kasası nesnesi otomatik olarak temizlenir.

Not

Temizleme Koruması, hiçbir yönetici rolünün veya izninin temizleme korumasını geçersiz kılması, devre dışı bırakmaması veya aşmaması için tasarlanmıştır. Temizleme koruması etkinleştirildiğinde, Microsoft dahil herkes tarafından devre dışı bırakılamaz veya geçersiz kılınamaz. Bu, silinen bir anahtar kasasını kurtarmanız veya anahtar kasası adını yeniden kullanmadan önce saklama süresinin geçmesini beklemeniz gerektiği anlamına gelir.

Geçici silme hakkında daha fazla bilgi için bkz. Azure Key Vault geçici silmeye genel bakış

Azure portalı

Anahtar kasasında geçici silmenin etkinleştirilip etkinleştirilmediğini doğrulayın ve geçici silmeyi etkinleştirin

1. Azure Portal’ında oturum açın.
2. Anahtar kasanızı seçin.
3. "Özellikler" dikey penceresini seçin.
4. Geçici silmenin yanındaki radyo düğmesinin "Kurtarmayı Etkinleştir" olarak ayarlandığını doğrulayın.
5. Anahtar kasasında geçici silme etkin değilse, geçici silmeyi etkinleştirmek için radyo düğmesini seçin ve "Kaydet"i seçin.

Silinen gizli dizileri temizlemek ve kurtarmak için hizmet sorumlusuna erişim verme

1. Azure Portal’ında oturum açın.
2. Anahtar kasanızı seçin.
3. "Erişim İlkesi" dikey penceresini seçin.
4. Tabloda, erişim vermek istediğiniz güvenlik sorumlusunun satırını bulun (veya yeni bir güvenlik sorumlusu ekleyin).
5. Anahtarlar, sertifikalar ve gizli diziler için açılan listeyi seçin.
6. Açılan listenin en altına kaydırın ve "Kurtar" ve "Temizle" seçeneğini belirleyin
7. Güvenlik sorumlularının çoğu işlemi gerçekleştirmek için "get" ve "list" işlevleri de gerekir.

Geçici olarak silinen anahtar kasalarını listeleme, kurtarma veya temizleme

1. Azure Portal’ında oturum açın.
2. Sayfanın üst kısmındaki arama çubuğunu seçin.
3. "Key Vault" hizmetini aratın. Hiçbir anahtar kasasını seçmeyin.
4. Ekranın üst kısmında "Silinen kasaları yönet" seçeneğini belirleyin
5. Ekranınızın sağ tarafında bir bağlam bölmesi açılır.
6. Aboneliğinizi seçin.
7. Anahtar kasanız geçici olarak silinmişse sağ taraftaki bağlam bölmesinde görünür.
8. Çok fazla kasa varsa bağlam bölmesinin alt kısmındaki "Daha Fazla Yükle" seçeneğini belirleyebilir veya sonuçları almak için CLI veya PowerShell kullanabilirsiniz.
9. Kurtarmak veya temizlemek istediğiniz kasayı bulduğunuzda yanındaki onay kutusunu seçin.
10. Anahtar kasasını kurtarmak istiyorsanız bağlam bölmesinin alt kısmındaki kurtarma seçeneğini belirleyin.
11. Anahtar kasasını kalıcı olarak silmek istiyorsanız temizleme seçeneğini belirleyin.

Geçici olarak silinen gizli dizileri, anahtarları ve sertifikaları listeleme, kurtarma veya temizleme

1. Azure Portal’ında oturum açın.
2. Anahtar kasanızı seçin.
3. Yönetmek istediğiniz gizli dizi türüne (anahtarlar, gizli diziler veya sertifikalar) karşılık gelen dikey pencereyi seçin.
4. Ekranın üst kısmında "Silinenleri yönet (anahtarlar, gizli diziler veya sertifikalar) seçeneğini belirleyin
5. Ekranınızın sağ tarafında bir bağlam bölmesi görüntülenir.
6. Gizli diziniz, anahtarınız veya sertifikanız listede görünmüyorsa geçici olarak silinmiş durumda değildir.
7. Yönetmek istediğiniz gizli diziyi, anahtarı veya sertifikayı seçin.
8. Bağlam bölmesinin en altındaki kurtarma veya temizleme seçeneğini belirleyin.

Azure CLI

Key Vault (CLI)

• Anahtar kasasının geçici silme özelliğinin etkinleştirilip etkinleştirilmediğini doğrulama

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Anahtar kasasında geçici silmeyi etkinleştirme

  Tüm yeni anahtar kasalarında geçici silme varsayılan olarak etkindir. Şu anda geçici silme etkinleştirilmemiş bir anahtar kasanız varsa geçici silmeyi etkinleştirmek için aşağıdaki komutu kullanın.

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
  

• Anahtar kasayı silme (geçici silme etkinleştirildiyse kurtarılabilir)

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
  

• Geçici olarak silinen tüm anahtar kasalarını listeleme

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault
  

• Geçici olarak silinen anahtar kasalarını kurtarma

  az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Geçici olarak silinen anahtar kasalarını temizleme (UYARI! BU IŞLEM ANAHTAR KASANıZı KALıCı OLARAK SILER)

  az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
  

• Anahtar kasasında temizleme korumasını etkinleştirme

  az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
  

Sertifikalar (CLI)

• Sertifikaları temizlemek ve kurtarmak için erişim verme

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge
  

• Sertifikayı silme

  az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Silinen sertifikaları listeleme

  az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Silinen sertifikayı kurtarma

  az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

• Geçici olarak silinen sertifikayı temizleme (UYARI! BU IŞLEM SERTIFIKANıZı KALıCı OLARAK SILER)

  az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
  

Anahtarlar (CLI)

• Anahtarları temizleme ve kurtarma erişimi verme

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge
  

• Anahtar silme

  az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Silinen anahtarları listeleme

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Silinen anahtarı kurtarma

  az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

• Geçici olarak silinen anahtarı temizleme (UYARI! BU IŞLEM ANAHTARıNıZı KALıCı OLARAK SILER)

  az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
  

Gizli Diziler (CLI)

• Gizli dizileri temizlemek ve kurtarmak için erişim verme

  az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge
  

• Gizli diziyi silme

  az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Silinen gizli dizileri listeleme

  az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}
  

• Silinen gizli diziyi kurtarma

  az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

• Geçici olarak silinen gizli diziyi temizleme (UYARI! BU IŞLEM GIZLI DIZINIZI KALıCı OLARAK SILER)

  az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
  

Azure PowerShell

Key Vault (PowerShell)

• Anahtar kasasının geçici silme özelliğinin etkinleştirilip etkinleştirilmediğini doğrulama

  Get-AzKeyVault -VaultName "ContosoVault"
  

• Anahtar kasayı silme

  Remove-AzKeyVault -VaultName 'ContosoVault'
  

• Geçici olarak silinen tüm anahtar kasalarını listeleme

  Get-AzKeyVault -InRemovedState
  

• Geçici olarak silinen anahtar kasalarını kurtarma

  Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus
  

• Geçici olarak silinen anahtar kasalarını temizleme (UYARI! BU IŞLEM ANAHTAR KASANıZı KALıCı OLARAK SILER)

  Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
  

• Anahtar kasasında temizleme korumasını etkinleştirme

  Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection
  

Sertifikalar (PowerShell)

• Sertifikaları kurtarma ve temizleme izinleri verme

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge
  

• Sertifika Silme

  Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'
  

• Bir anahtar kasasında silinen tüm sertifikaları listeleme

  Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState
  

• Silinen durumdaki bir sertifikayı kurtarma

  Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'
  

• Geçici olarak silinen sertifikayı temizleme (UYARI! BU IŞLEM SERTIFIKANıZı KALıCı OLARAK SILER)

  Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
  

Anahtarlar (PowerShell)

• Anahtarları kurtarma ve temizleme izinleri verme

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge
  

• Anahtar silme

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'
  

• Bir anahtar kasasında silinen tüm anahtarları listeleme

  Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState
  

• Geçici olarak silinen bir anahtarı kurtarmak için

  Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey
  

• Geçici olarak silinen anahtarı temizleme (UYARI! BU IŞLEM ANAHTARıNıZı KALıCı OLARAK SILER)

  Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
  

Gizli Diziler (PowerShell)

• Gizli dizileri kurtarma ve temizleme izinleri verme

  Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge
  

• SQLPassword adlı gizli diziyi silme

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword
  

• Bir anahtar kasasında silinen tüm gizli dizileri listeleme

  Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
  

• Silinen durumdaki gizli diziyi kurtarma

  Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword
  

• Gizli diziyi silinmiş durumda temizleme (UYARI! BU IŞLEM ANAHTARıNıZı KALıCı OLARAK SILER)

  Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
  

Sonraki adımlar

• Azure Key Vault PowerShell cmdlet'leri
• Key Vault Azure CLI komutları
• Azure Key Vault yedeklemesi
• Key Vault günlüğünü etkinleştirme
• Azure Key Vault güvenlik özellikleri
• Azure Key Vault geliştirici kılavuzu