Резервное копирование и восстановление Azure Key Vault

В этом документе показано, как создать резервную копию секретов, ключей и сертификатов, хранящихся в хранилище ключей. Резервная копия предназначена для предоставления автономной копии всех секретов в маловероятном случае потери доступа к хранилищу ключей.

Обзор

Azure Key Vault автоматически предоставляет функции, помогающие поддерживать доступность и предотвращать потерю данных. Делайте резервное копирование секретов только в случае, если имеется критически важное деловое обоснование. Резервное копирование секретов в хранилище ключей может привести к проблемам в эксплуатации, таким как необходимость обслуживания нескольких наборов журналов, разрешений и резервных копий при истечении срока действия или ротации секретов.

Key Vault поддерживает доступность в сценариях аварий и автоматически переключает запросы в парный регион без вмешательства пользователя. Дополнительные сведения см. в статье Доступность и избыточность хранилища ключей Azure.

Если вы хотите защититься от случайного или вредоносного удаления секретов, настройте функции защиты обратимого удаления и очистки в хранилище ключей. Дополнительные сведения см. в статье Общие сведения о мягком удалении в Azure Key Vault.

Ограничения

В настоящее время Key Vault не предоставляет способа сделать резервную копию всего хранилища ключей в рамках одной операции, и ключи, секреты и сертификаты должны резервироваться индивидуально.

Кроме того, рассмотрите следующие проблемы:

• Создание резервной копии секретов с несколькими версиями может привести к ошибкам из-за превышения времени ожидания.
• Резервная копия создает моментальный снимок в определенный момент времени. Секреты могут обновляться во время резервной копии, что приводит к несоответствию ключей шифрования.
• Если вы превысите ограничения службы хранилища ключей на количество запросов в секунду, доступ к хранилищу будет ограничен, и резервное копирование не удастся.

Рекомендации по проектированию

При резервном копировании объекта хранилища ключей, например секрета, ключа или сертификата, операция резервного копирования скачивает объект в виде зашифрованного объекта blob. Этот большой двоичный объект не может быть расшифрован за пределами Azure. Чтобы получить пригодные для использования данные из этого блоба, необходимо восстановить его в хранилище ключей в той же подписке Azure и регионе Azure.

Предпосылки

Чтобы создать резервную копию объекта хранилища ключей, необходимо:

• Разрешения уровня участника или выше в подписке Azure.
• Хранилище ключей, содержащее секреты, которые необходимо сохранить в резервной копии.
• Дополнительное хранилище ключей, в котором будут восстановлены секреты.

Резервное копирование и восстановление с портала Azure

Выполните действия, описанные в этом разделе, чтобы создать резервную копию и восстановить объекты с помощью портала Azure.

Сделать резервную копию

1. Перейдите на портал Azure.

2. Выберите хранилище ключей.

3. Перейдите к объекту (секрет, ключ или сертификат), который вы хотите создать резервную копию.

   

4. Выберите объект.

5. Выберите загрузку резервной копии.

   

6. Выберите Скачать.

   

7. Сохраните зашифрованный объект в безопасном месте.

Восстановить

1. Перейдите на портал Azure.

2. Выберите хранилище ключей.

3. Перейдите к типу объекта (секрет, ключ или сертификат), который требуется восстановить.

4. Выберите восстановить резервную копию.

   

5. Перейдите в место, где хранится зашифрованный блоб.

6. Нажмите ОК.

Резервное копирование и восстановление из Azure CLI или Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '{AZURE SUBSCRIPTION ID}'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -Name '{Certificate Name}'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '{Key Vault Name}' -Name '{Key Name}'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '{Key Vault Name}' -Name '{Secret Name}'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '{Key Vault Name}' -InputFile '{File Path}'

Дальнейшие действия

• Перемещение хранилища ключей Azure в разных регионах
• Включение ведения журнала для Key Vault