共用方式為


Azure Key Vault 虛刪除概觀

重要

如果金鑰保存庫未啟用虛刪除保護,則刪除金鑰會永久刪除它。 強烈建議客戶透過 Azure 原則 開啟其保存庫的虛刪除強制執行。

重要

當 Key Vault 進行虛刪除時,將會刪除與 Key Vault 整合的服務。 例如:Azure RBAC 角色指派和事件方格訂用帳戶。 復原虛刪除的 Key Vault 將不會還原這些服務。 必須重新建立這些服務。

Key Vault 的虛刪除功能允許復原已刪除的保存庫和已刪除的金鑰保存庫物件 (例如金鑰、祕密、憑證),稱為虛刪除。 特別是,我們會處理下列案例:此保護會提供下列保護措施:

  • 祕密、金鑰、憑證或金鑰保存庫在刪除後,會在可設定的期間 (7 到 90 個日曆天) 內保持可復原的狀態。 若未指定任何設定,預設復原期間會設為 90 天,讓使用者有足夠的時間可注意到意外的秘密刪除,並予以因應。
  • 必須進行兩個作業,才能永久刪除祕密。 首先,使用者必須刪除物件,使其進入虛刪除狀態。 其次,使用者必須清除處於虛刪除狀態的物件。 這些保護會降低使用者不小心或惡意地刪除祕密或金鑰保存庫的風險。
  • 若要清除處於虛刪除狀態的祕密、金鑰、憑證,必須將「清除」作業權限授與安全性主體 (例如,透過Key Vault 內建角色「Key Vault 清除操作員」)。

支援介面

虛刪除功能可透過 REST APIAzure CLIAzure PowerShell.NET/C# 介面,以及 ARM 範本取得。

案例

Azure Key Vault 會追蹤 Azure Resource Manager 所管理的資源。 Azure Resource Manager 也會指定定義良好的刪除行為,要求成功的 DELETE 作業必須導致該資源不再可存取。 虛刪除功能可復原已刪除的物件,無論刪除是意外還是刻意的。

  1. 在一般案例中,使用者無意中刪除了金鑰保存庫或金鑰保存庫物件;如果該金鑰保存庫或金鑰保存庫物件可在預定時間範圍內恢復,使用者就可以復原刪除並恢復其資料。

  2. 而在其他案例中,惡意使用者可能會嘗試刪除 Key Vault 或 Key Vault 物件 (例如保存庫內的金鑰) 而使業務中斷。 將金鑰保存庫或金鑰保存庫物件的刪除與基礎資料的實際刪除做區隔,可做為一種安全措施,例如,將資料刪除的權限限制提供給不同的信任角色。 實際上,此方法這需要作業仲裁,否則可能導致直接的資料遺失。

虛刪除行為

啟用虛刪除時,標示為已刪除資源的資源會保留一段指定的時間 (預設為 90 天)。 服務會進一步提供機制,以復原已刪除的物件,基本上會復原刪除。

建立新的金鑰保存庫時,預設會開啟虛刪除。 在金鑰保存庫上啟用虛刪除後,就無法停用。

保留原則間隔只能在金鑰保存庫建立期間設定,之後無法變更。 您可以將其設定為 7 到 90 天之間,預設值為 90 天。 虛刪除和清除保護保留原則會套用相同的間隔。

您無法重複使用遭到虛刪除的金鑰保存庫的名稱,直到保留期間到期為止。

清除保護

虛刪除是選擇性的 Key Vault 行為,在此版本中預設未啟用。 只有在啟用虛刪除之後,才能啟用清除保護。 使用金鑰進行加密以防止資料遺失時,建議啟用清除保護。 大部分與 Azure Key Vault 整合的 Azure 服務,例如儲存體,都需要使用清除保護以防止資料遺失。

當清除保護開啟時,在保留期間通過之前,無法清除處於已刪除狀態的保存庫或物件。 仍可復原虛刪除的保存庫和對象,確保遵循保留原則。

預設的保留期間為 90 天,但您可以透過 Azure 入口網站,將保留原則間隔設定為 7 到 90 天的值。 設定保留原則間隔並儲存之後,就無法變更該保存庫的保留原則間隔。

您可以透過Purge Protection can be turned on via CLIPowerShellPortal 來開啟清除保護。

允許的清除

可以透過 Proxy 資源上的 POST 作業永久刪除、清除金鑰保存庫,但需要特殊權限。 一般而言,只有訂用帳戶擁有者或具有「金鑰保存庫清除操作員」RBAC 角色的使用者才能清除金鑰保存庫。 POST 作業會觸發該保存庫的立即且無法復原的刪除。

例外狀況如下:

  • 當 Azure 訂用帳戶標示為不可刪除。 在此情況下,只有此服務可接著執行實際的刪除作業,而且會以排程的程序執行。
  • 當保存庫本身啟用引數 --enable-purge-protection 時。 在此情況下,Key Vault 會從原始祕密物件標示為要刪除的那天算起,等待 7 至 90 天後才永久刪除該物件。

如需相關步驟,請參閱如何搭配 CLI 使用 Key Vault 虛刪除:清除金鑰保存庫如何搭配 PowerShell 使用 Key Vault 虛刪除:清除金鑰保存庫

金鑰保存庫復原

刪除金鑰保存庫後,服務會在訂用帳戶下建立 Proxy 資源,以新增足夠使用於復原的中繼資料。 Proxy 資源是儲存的物件,位於與已刪除的金鑰保存庫相同的位置。

金鑰保存庫物件復原

刪除金鑰保存庫物件 (例如金鑰) 時,服務會將該物件置於已刪除狀態,使其無法被任何擷取作業存取。 處於此狀態時,只能列出、復原或強制/永久刪除金鑰保存庫物件。 若要檢視物件,請使用 Azure CLI az keyvault key list-deleted 命令 (如如何搭配 CLI 使用金鑰保存庫虛刪除所述),或 Azure PowerShell Get-AzKeyVault -InRemovedState 命令 (如如何搭配 PowerShell 使用金鑰保存庫虛刪除所述)。

同時,金鑰保存庫將排程在預定的保留間隔後,執行與已刪除的金鑰保存庫或金鑰保存庫物件對應的基礎資料的刪除。 在保留間隔期間,也會保留與保存庫相對應的 DNS 記錄。

虛刪除保留期間

虛刪除的資源會保留一段時間,也就是 90 天。 在虛刪除保留間隔期限內,適用下列內容:

  • 您可以列出您的訂用帳戶下狀態是虛刪除的所有 Key Vault 和 Key Vault 物件,也能存取與它們相關的刪除和復原資訊。
    • 只有具有特殊權限的使用者才能列出已刪除的保存庫。 建議使用者使用這些特殊權限建立自訂角色,以處理已刪除的保存庫。
  • 您不能在同一個位置建立同名的金鑰保存庫;同樣地,若指定的金鑰保存庫中含有同名且是已刪除狀態的物件,就無法在其中建立該金鑰保存庫物件。
  • 只有具備特殊權限的使用者,可以在對應的 Proxy 資源上發出復原命令來還原 Key Vault 或 Key Vault 物件。
    • 有權在資源群組下建立金鑰保存庫的使用者、自訂角色的成員則可以還原保存庫。
  • 只有具備特殊權限的使用者,可以在對應的 Proxy 資源上發出刪除命令來強制刪除 Key Vault 或 Key Vault 物件。

除非復原金鑰保存庫或金鑰保存庫物件,否則在保留間隔結束時,服務會針對虛刪除的金鑰保存庫或金鑰保存庫物件及其內容執行清除作業。 資源刪除作業無法重新排程。

計費影響

一般而言,當物件 (金鑰保存庫或金鑰或祕密) 處於已刪除狀態時,只能進行兩項作業:「清除」與「復原」。 其他所有作業都會失敗。 因此,即使物件存在,也無法執行任何作業,從此不會有任何使用量,所以不會產生任何帳單。 不過,有下列例外狀況:

  • 「清除」與「復原」動作都算是一般金鑰保存庫作業,因此將予以計費。
  • 如果物件是 HSM 金鑰,而且金鑰版本在過去 30 天內曾經使用過,我們將會針對每個金鑰版本收取「HSM 保護的金鑰」費用的月費。 之後,由於物件處於已刪除狀態,無法針對其執行任何作業,因此不會收取任何費用。

下一步

以下三個指南提供使用虛刪除的主要使用方式案例。