分享方式:


具有虛刪除和清除保護的 Azure Key Vault 復原管理

本文涵蓋 Azure Key Vault 的兩項復原功能:虛刪除和清除保護。 本文件會概述這兩項功能,並示範如何透過 Azure 入口網站、Azure CLI 和 Azure PowerShell 來管理這兩項功能。

重要

如果金鑰保存庫未啟用虛刪除保護,則刪除金鑰會永久刪除它。 強烈建議客戶透過 Azure 原則 開啟其保存庫的虛刪除強制執行。

如需 Key Vault 的詳細資訊,請參閱

必要條件

  • Azure 訂用帳戶 - 建立免費帳戶

  • Azure PowerShell

  • Azure CLI

  • Key Vault - 您可以使用 Azure 入口網站Azure CLIAzure PowerShell 建立

  • 使用者需要下列許可權(在訂用帳戶層級)在虛刪除的保存庫上執行作業:

    權限 描述
    Microsoft.KeyVault/locations/deletedVaults/read 檢視虛刪除之 Key Vault 的屬性
    Microsoft.KeyVault/locations/deletedVaults/purge/action 清除虛刪除的 Key Vault
    Microsoft.KeyVault/locations/operationResults/read 用來檢查保存庫的清除狀態
    Key Vault 參與者 用來復原已經虛刪除的保存庫

虛刪除和清除保護是什麼

虛刪除和清除保護是兩種不同的金鑰保存庫復原功能。

虛刪除的設計目的在於防止意外刪除金鑰保存庫、金鑰、祕密,以及儲存在金鑰保存庫中的憑證。 將虛刪除想像成資源回收筒。 當您刪除金鑰保存庫或金鑰保存庫物件時,用戶可設定的保留期間或預設值為 90 天仍可復原。 您也可以 清除 處於虛刪除狀態的金鑰保存庫(永久刪除),讓您重新建立具有相同名稱的金鑰保存庫和密鑰保存庫物件。 復原和刪除金鑰保存庫與物件都需要較高的存取原則權限。 虛刪除一經啟用,便無法再加以停用。

請務必注意, 金鑰保存庫名稱是全域唯一的,因此您無法建立與虛刪除狀態中密鑰保存庫同名的金鑰保存庫。 同樣地,金鑰、秘密和憑證的名稱在金鑰保存庫內也是獨一無二的。 您無法建立與虛刪除狀態中另一個名稱相同的秘密、金鑰或憑證。

清除保護的設計目的,是為了避免心懷惡意的內部人員刪除金鑰保存庫、金鑰、秘密和憑證。 將其視為具有時間型鎖定的回收站。 您可以在可設定的保留期間內的任何時間點復原項目。 在保留期間走完之前,則無法永久刪除或清除金鑰保存庫。 一旦保留期限過後,金鑰保存庫或金鑰保存庫物件就會自動清除。

注意

清除保護的設計目的,是為了讓所有管理員角色或權限都無法覆寫、停用或規避清除保護。 啟用清除保護時,任何包括Microsoft在內的任何人都無法停用或覆寫。 這表示您必須復原已刪除的金鑰保存庫,或先等候保留期間走完,然後才能重複使用金鑰保存庫名稱。

如需虛刪除的詳細資訊,請參閱 Azure Key Vault 虛刪除概觀

確認金鑰保存庫是否已啟用虛刪除,並啟用虛刪除

  1. 登入 Azure 入口網站。
  2. 選取您的金鑰保存庫。
  3. 選取 [屬性] 刀鋒視窗。
  4. 確認虛刪除旁的選項按鈕是否已設定為 [啟用復原]。
  5. 如果未在金鑰保存庫中啟用虛刪除,請選取單選按鈕以啟用虛刪除,然後選取 [儲存]。

在 [屬性] 上,醒目提示虛刪除,同時也醒目提示要啟用的值。

為服務主體授與存取權,使其能夠清除和復原已刪除的秘密

  1. 登入 Azure 入口網站。
  2. 選取您的金鑰保存庫。
  3. 選取 [存取原則] 刀鋒視窗。
  4. 在資料表中,尋找您想要授與存取權的安全性主體資料列 (或新增新的安全性主體)。
  5. 選取金鑰、憑證和秘密的下拉式清單。
  6. 捲動至下拉式清單底部,然後選取 [復原] 和 [清除]
  7. 安全性主體也需要「取得」和「清單」功能,才能執行大部分的作業。

在左側瀏覽窗格中,已醒目提示 [存取原則]。在 [存取原則] 上,顯示 [祕密位置] 下拉式清單,已選取四個項目:[取得]、[列出]、[復原] 和 [清除]。

列出、復原或清除已經虛刪除的金鑰保存庫

  1. 登入 Azure 入口網站。
  2. 選取頁面頂端的搜尋列。
  3. 搜索 “Key Vault” 服務。 不要選取單一金鑰保存庫。
  4. 在畫面頂端,選取 [管理已刪除的保存庫] 選項
  5. 內容窗格會在畫面右側開啟。
  6. 選取您的訂用帳戶。
  7. 如果您的金鑰保存庫已虛刪除,它會出現在右側的內容窗格中。
  8. 如果保存庫太多,您可以在內容窗格底部選取 [載入更多],或使用 CLI 或 PowerShell 來取得結果。
  9. 找到您想要復原或清除的保存庫之後,請選取旁邊的核取方塊。
  10. 如果您想要復原金鑰保存庫,請選取內容窗格底部的 [復原] 選項。
  11. 如果您想要永久刪除金鑰保存庫,請選取 [清除] 選項。

在金鑰保存庫上,已醒目提示 [管理已刪除的保存庫] 選項。

在 [管理已刪除的金鑰保存庫] 上,已醒目提示並選取僅列出的金鑰保存庫,並已醒目提示 [復原] 按鈕。

列出、復原或清除已經虛刪除的秘密、金鑰和憑證

  1. 登入 Azure 入口網站。
  2. 選取您的金鑰保存庫。
  3. 選取對應至您要管理之秘密類型的刀鋒視窗 (金鑰、秘密或憑證)。
  4. 在畫面頂端,選取 [管理已刪除的密鑰、秘密或憑證]
  5. 內容窗格會出現在畫面右側。
  6. 如果秘密、金鑰或憑證未出現在清單中,就表示其並未處於已經虛刪除的狀態。
  7. 選取您想要管理的秘密、金鑰或憑證。
  8. 在內容窗格的底部,選取 [復原] 或 [清除] 選項。

在 [金鑰] 上,已醒目提示 [管理已刪除的金鑰] 選項。

下一步