受控 HSM 虛刪除功能概觀

重要

無法關閉受控 HSM 資源的虛刪除功能。

重要

已進行虛刪除的受控 HSM 資源仍會持續以整點費率計費，直到清除為止。

受控 HSM 虛刪除功能可復原已刪除的 HSM 和金鑰。 這項功能可提供下列具體的防護作用：

• 刪除 HSM 或金鑰後，可於 7 至 90 個行事曆日的設定期間內進行復原。 建立 HSM 時可設定保留期間。 若未指定值，則會使用 90 天的預設保留期間。 這段期間可讓使用者有充足時間留意是否有金鑰或 HSM 意外刪除，並予以回應。
• 若要永久刪除金鑰，使用者則須採取兩項動作。 首先必須刪除金鑰，將其置於虛刪除狀態。 其次必須清除虛刪除狀態的金鑰。 該清除作業需具備受控 HSM 密碼編譯人員的角色。 這些額外的保護措施有助於降低風險，以免使用者意外或惡意刪除金鑰或 HSM。

虛刪除行為

無法關閉受控 HSM 資源的虛刪除功能。

標示為已刪除的資源會在指定期間內保留。 同時也有一項機制可供復原已刪除的 HSM 或金鑰，以便您復原刪除作業。

預設保留期間為 90 天。 建立 HSM 資源時，可將保留原則間隔設為 7 至 90 天的值。 清除保護保留原則會使用相同的間隔。 保留原則設定後便無法再變更。

在保留期間結束且 HSM 資源清除 (永久刪除) 前，已進行虛刪除的 HSM 資源名稱無法重複使用。

清除保護

清除保護為選擇性行為。 依預設未啟用。 您可使用 Azure CLI 或 PowerShell 來進行。

若開啟清除保護，狀態為已刪除的 HSM 或金鑰在保留期限結束前便無法清除。 已進行虛刪除的 HSM 和金鑰仍可復原，以確保保留原則生效。

預設保留期間為 90 天。 建立 HSM 時，您可將保留原則間隔設為 7 至 90 天的值。 只有在建立 HSM 時，才能設定保留原則間隔。 這項設定無法在往後進行變更。

深入了解如何搭配 CLI 使用受控 HSM 虛刪除功能，或如何搭配 PowerShell 使用受控 HSM 虛刪除功能。

受控 HSM 復原

刪除 HSM 時，服務會在訂用帳戶中建立 Proxy 資源，新增足夠的中繼資料以便復原。 Proxy 資源為預存物件。 在已刪除 HSM 的相同位置可使用此資源。

金鑰修復

當您刪除金鑰時，服務會將其設為已刪除狀態，使其無法存取任何作業。 在此狀態下，金鑰可供列出、復原或清除。 若要檢視物件，請使用 Azure CLI az keyvault key list-deleted 命令 (搭配 CLI 使用受控 HSM 虛刪除和清除保護中所述) 或 Azure PowerShell -InRemovedState 參數 (如搭配 PowerShell 使用受控 HSM 虛刪除和清除保護中所述)。

刪除金鑰時，受控 HSM 會將已刪除 HSM 或金鑰所對應的基礎資料排程於預先決定的保留間隔後刪除。 在保留間隔期間，HSM 所對應的 DNS 記錄也會保留。

虛刪除保留期間

已進行虛刪除的資源會在設定期間內保留：90天。 在虛刪除保留間隔期間，適用下列條件：

• 您可針對訂用帳戶列出虛刪除狀態的所有 HSM 和金鑰。 您也可存取相關的刪除和修復資訊。
• 僅限具備「受控 HSM 參與者」角色的使用者可列出刪除的 HSM。 針對已刪除保存庫的處理作業，建議您建立具備相關權限的自訂角色。
• 指定位置的受控 HSM 名稱必須為唯一名稱。 若 HSM 包含的某金鑰狀態為已刪除，您便無法在建立金鑰時使用該金鑰的名稱。
• 僅限具備「受控 HSM 參與者」角色的使用者可列出、檢視、復原和清除受控 HSM。
• 僅限具備「受控 HSM 密碼編譯人員」角色的使用者可列出、檢視、復原和清除金鑰。

除非受控 HSM 或金鑰已復原，否則在保留間隔結束時，服務便會清除已進行虛刪除的 HSM 或金鑰。 資源刪除作業無法重新排程。

計費影響

受控 HSM 為單一租用戶服務。 建立受控 HSM 時，服務會保留 HSM 所配置的基礎資源。 即使 HSM 狀態為已刪除，這些資源仍會維持已配置。 HSM 狀態為已刪除時，將予以計費。

下一步

以下文章描述使用虛刪除功能的主要案例：

• 如何搭配 PowerShell 使用受控 HSM 虛刪除功能
• 如何搭配 Azure CLI 使用受控 HSM 虛刪除功能