Поделиться через

Управление восстановлением Azure Key Vault с мягким удалением и защитой от полного удаления

В этой статье рассматриваются две функции восстановления Azure Key Vault: мягкое удаление и защита от полного удаления. В этом документе представлен обзор этих функций и показано, как управлять ими с помощью портала Azure, Azure CLI и Azure PowerShell.

Внимание

Если в хранилище ключей не включена защита от необратимого удаления, ключ удаляется окончательно. Клиентам настоятельно рекомендуется включить принудительное применение мягкого удаления для своих хранилищ через Политику Azure.

Обзор параметров восстановления

Azure Key Vault предоставляет несколько вариантов для обеспечения доступности и возможности восстановления данных хранилища:

  • Автоматическая избыточность и переключение на резервный узел: Key Vault автоматически реплицирует данные в разных регионах и управляет переключением на резервный узел во время сбоя. Сведения о доступности и избыточности Azure Key Vault
  • Мягкое удаление и защита от очистки (описанные в этой статье): предотвращает случайное или намеренное удаление вашего хранилища или объектов хранилища.
  • Резервное копирование и восстановление вручную. Сведения о отдельных секретах, ключах и сертификатах см. в статье о резервном копировании Azure Key Vault.

В этой статье рассматриваются функции мягкого удаления и защиты от окончательного удаления, которые помогают защититься от случайного или вредоносного удаления.

Предварительные условия

  • Подписка Azure — создайте бесплатную учетную запись.

  • Azure PowerShell.

  • Azure CLI

  • Вы можете создать Key Vault с помощью портала Azure, Azure CLI или Azure PowerShell.

  • Пользователю требуются следующие разрешения (на уровне подписки) для выполнения операций с временно удаленными хранилищами.

    Разрешение Описание
    Microsoft.KeyVault/locations/deletedVaults/read (чтение удалённых хранилищ) Просмотрите свойства мягко удаленного Key Vault.
    Microsoft.KeyVault/locations/deletedVaults/purge/action Очистите удаленное с возможностью восстановления хранилище Key Vault.
    Microsoft.KeyVault/locations/operationResults/read Проверить состояние очистки хранилища
    Соавтор хранилища ключей Восстановить временно удаленное хранилище

Что такое мягкое удаление и защита от полного удаления

Мягкое удаление и защита от очищения — это две разные функции восстановления ключевого хранилища.

Мягкое удаление предназначено для предотвращения случайного удаления вашего хранилища ключей и ключей, секретов и сертификатов, хранящихся в этом хранилище. Подумайте о мягком удалении как о корзине для восстановления. При удалении хранилища ключей или объекта хранилища ключей он остается доступным для настраиваемого пользователем периода хранения или по умолчанию 90 дней. Хранилища ключей в состоянии временного удаления также можно удалить окончательно (безвозвратно), что позволяет воссоздать хранилища ключей и объекты хранилища с тем же именем. Как для восстановления, так и для удаления хранилищ ключей и объектов требуются разрешения политики расширенного доступа. После включения обратимого удаления его отключение невозможно.

Важно отметить, что имена хранилищ ключей глобально уникальны, поэтому вы не можете создать хранилище ключей с таким же именем, как у хранилища в состоянии мягкого удаления. Точно так же имена ключей, секретов и сертификатов уникальны в пределах хранилища ключей. Вы не можете создать секрет, ключ или сертификат с тем же именем, что и другой, если он находится в состоянии мягкого удаления.

Защита от очистки предназначена для предотвращения удаления хранилища ключей, ключей, секретов и сертификатов внутренним злоумышленником. Представьте это как корзину для мусора с блокировкой по времени. Можно восстановить элементы в любой момент в течение настраиваемого периода хранения. Не удастся окончательно удалить или очистить хранилище ключей до истечения периода хранения. После истечения периода хранения хранилище ключей или объект хранилища ключей автоматически очищается.

Примечание.

Защита от очистки разработана таким образом, что никакая роль или разрешение администратора не может переопределять, отключать или обходить защиту от очистки. Если защита от очистки включена, она не может быть отключена или переопределена любым пользователем, включая Корпорацию Майкрософт. Это означает, что требуется восстановить удаленное хранилище ключей или дождаться истечения срока хранения, прежде чем повторно использовать имя хранилища ключей.

Эти функции настоятельно рекомендуется использовать для рабочих сред.

Дополнительные сведения по обратимому удалению см. в статье Общие сведения об обратимом удалении Azure Key Vault.

Проверьте, включено ли обратимое удаление в хранилище ключей, и включите обратимое удаление.

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите панель "Свойства".
  4. Убедитесь, что радиокнопка рядом с параметром удаления с возможностью восстановления установлена в положение "Включить восстановление".
  5. Если мягкое удаление не включено в хранилище ключей, выберите радиокнопку, чтобы включить мягкое удаление, и нажмите "Сохранить".

В разделе "Свойства" выделено мягкое удаление, как и значение для его включения.

Предоставить доступ служебному принципалу, чтобы очищать и восстанавливать удаленные секреты

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите вкладку "Политика доступа".
  4. В таблице найдите строку субъекта безопасности, которому требуется предоставить доступ (или добавьте нового субъекта безопасности).
  5. Выберите раскрывающийся список ключей, сертификатов и секретов.
  6. Прокрутите вниз раскрывающегося списка и выберите "Восстановить" и "Очистить"
  7. Для выполнения большинства операций субъектам безопасности также необходимы функции "get" и "list".

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge.На левой панели навигации выделены политики доступа. В политиках доступа отображается раскрывающийся список "Позиции секретов", в котором выбраны четыре элемента: "Получить", "Показать", "Восстановить" и "Очистить".

Перечисление, восстановление или очистка хранилища ключей с временным удалением

  1. Войдите на портал Azure.
  2. Выберите панель поиска в верхней части страницы.
  3. Найдите сервис "Хранилище ключей". Не выбирайте отдельные хранилища ключей.
  4. В верхней части экрана выберите параметр "Управление удаленными хранилищами"
  5. Откроется область контекста в правой части экрана.
  6. Выберите свою подписку.
  7. Если хранилище ключей было мягко удалено, оно отображается в панели справа.
  8. Если есть слишком много хранилищ, можно выбрать "Загрузить больше" в нижней части области контекста или использовать CLI или PowerShell, чтобы получить результаты.
  9. После того как вы найдете хранилище, которое хотите восстановить или очистить, установите флажок рядом с ним.
  10. Выберите параметр Восстановить в нижней части контекстной панели, если требуется восстановить хранилище ключей.
  11. Выберите параметр очистки, если необходимо окончательно удалить хранилище ключей.

On Key vaults, the Manage deleted vaults option is highlighted.Для хранилищ ключей выделен параметр "Управление удаленными хранилищами".

В разделе "Управление удаленными хранилищами ключей" единственное указанное хранилище выделено и выбрано, а кнопка "Восстановить" также выделена.

Перечисление, восстановление или удаление мягко удаленных секретов, ключей и сертификатов

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите вкладку, соответствующую типу данных, которыми вы хотите управлять (ключи, секреты или сертификаты).
  4. В верхней части экрана выберите "Управление удаленными элементами (ключи, секреты или сертификаты)"
  5. Область контекста отображается справа от экрана.
  6. Если ваш секрет, ключ или сертификат не отображаются в списке, значит, они не находятся в состоянии временного удаления.
  7. Выберите секрет, ключ или сертификат, которым требуется управлять.
  8. Выберите параметр восстановления или очистки внизу контекстной панели.

Для ключей выделена опция "Управление удаленными ключами".

Следующие шаги