Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Если в хранилище ключей не включена защита обратимого удаления, удаление ключа приводит к его окончательной потере. Клиентам настоятельно рекомендуется включить мягкое удаление для своих хранилищ через Политика Azure.
Внимание
При мягком удалении Key Vault удаляются службы, связанные с Key Vault. Например, назначения ролей Azure RBAC и подписки на Event Grid. Восстановление мягко удаленного Key Vault не восстанавливает связанные с ним службы. Их необходимо воссоздать.
функция мягкого удаления Key Vault позволяет восстановить удаленные хранилища и удаленные объекты Key Vault (например, ключи, секреты, сертификаты), известные как мягкое удаление. В частности, мы разрешаем следующие сценарии. Программа защиты предлагает указанные ниже меры.
- После удаления секрета, ключа, сертификата или хранилища ключей он остается доступным для восстановления в течение настраиваемого периода от 7 до 90 календарных дней. Если конфигурация не указана, период восстановления по умолчанию имеет значение 90 дней, чтобы предоставить пользователям достаточно времени, чтобы заметить случайное удаление секрета и ответить.
- Для окончательного удаления секрета необходимо выполнить две операции. Сначала пользователь должен удалить объект, что помещает его в состояние мягкого удаления. Во-вторых, пользователь должен удалить объект, который находится в состоянии мягкого удаления. Эти защиты снижают риск случайного или вредоносного удаления секрета или хранилища ключей.
- Чтобы очистить секрет, ключ или сертификат в состоянии мягкого удаления, субъекту безопасности должно быть предоставлено разрешение на операцию "очистка" (с ролью Key Vault встроенной ролью"Key Vault оператор очистки", например.
Поддержка интерфейсов
Функция временного удаления доступна через REST API, интерфейсы Azure CLI, Azure PowerShell, .NET/C# и шаблоны ARM.
Сценарии
Azure Key Vaults — это контролируемые ресурсы, управляемые Azure Resource Manager. Azure Resource Manager также указывает четко определенное поведение для удаления, которое требует, чтобы после успешного выполнения операции DELETE данный ресурс больше не был доступен. Функция обратимого восстановления восстанавливает удаленный объект независимо от того, было ли удаление случайным или преднамеренным.
В типичном сценарии пользователь непреднамеренно удаляет хранилище ключей или объект хранилища ключей; Если это хранилище ключей или объект хранилища ключей можно восстановить в течение предопределенного периода, пользователь может отменить удаление и восстановить свои данные.
В другом сценарии пользователь-изгой может попытаться удалить хранилище ключей или объект хранилища ключей, например ключ внутри хранилища, чтобы привести к нарушению бизнес-процессов. Разделение процесса удаления ключевого хранилища или объекта ключевого хранилища от фактического удаления базовых данных может быть использовано в качестве меры предосторожности, например, путем ограничения разрешений на удаление данных доверенной роли. По существу, при таком подходе требуется кворум для операции, так как в противном случае может произойти немедленная потеря данных.
Поведение мягкого удаления
Если обратимое удаление включено, ресурсы, помеченные как удаленные, сохраняются в течение указанного периода (по умолчанию 90 дней). Затем эта служба предоставляет механизм восстановления удаленного объекта, отменяющий удаление.
При создании нового хранилища ключей мягкое удаление включено по умолчанию. После включения функции «мягкого удаления» объектов в хранилище ключей, ее нельзя отключить.
Интервал политики хранения можно настроить только во время создания хранилища ключей и изменить его после этого невозможно. Его можно задать в диапазоне от 7 до 90 дней, а значение по умолчанию — 90 дней. Один и тот же интервал применяется как к мягкому удалению, так и к политике удержания данных для защиты от безвозвратного удаления.
Вы не можете повторно использовать имя хранилища ключей, которое было мягко удалено, до истечения периода удержания.
Защита от очистки
Защита от очистки является необязательным поведением Key Vault и не включена по умолчанию. Защиту от удаления можно включить только после включения мягкого удаления. Рекомендуется включить защиту от удаления при использовании ключей шифрования, чтобы предотвратить потерю данных. Большинство служб Azure, которые интегрируются с Azure Key Vault, например хранилищем, требуют защиты от очистки, чтобы предотвратить потерю данных.
Если защита от очистки включена, хранилище или объект в удаленном состоянии нельзя очистить до тех пор, пока срок хранения не пройдет. Временно удаленные хранилища и объекты по-прежнему могут быть восстановлены, что гарантирует соблюдение политики хранения.
Срок хранения по умолчанию составляет 90 дней, но можно задать интервал политики хранения значением от 7 до 90 дней через портал Azure. После того как интервал политики хранения установлен и сохранён, его нельзя изменить для этого хранилища.
Защиту от очистки можно включить через CLI, PowerShell или портал.
Разрешенная очистка
Окончательное удаление и очистку хранилища ключей можно выполнить с помощью операции POST на прокси-ресурсе. Это требует специальных привилегий. Как правило, только владелец подписки или пользователь с ролью Оператор очистки Key Vault Azure RBAC роль может очистить ключевое хранилище. Операция POST активирует немедленное и необратимое удаление этого хранилища.
Однако имеются исключения.
- Если подписка Azure помечена как неизменяемая. В этом случае только служба может выполнить фактическое удаление и сделать это в качестве запланированного процесса.
- Когда на самом хранилище включён аргумент
--enable-purge-protection. В этом случае Key Vault ожидает от 7 до 90 дней с момента, когда исходный секретный объект был помечен для удаления, чтобы окончательно удалить объект.
Инструкции см. в статье Как использовать функцию оживления хранилища ключей с помощью CLI: очистка хранилища ключей или Как использовать функцию оживления хранилища ключей с помощью PowerShell: очистка хранилища ключей.
Восстановление Key Vault
При удалении хранилища ключей служба создает прокси-ресурс в подписке, добавляя достаточные метаданные для восстановления. Прокси-ресурс — это хранимый объект, доступный в том же месте, что и удаленное Key Vault.
Восстановление объектов Key Vault
При удалении объекта хранилища ключей, например ключа, служба помещает объект в удаленное состояние, что делает его недоступным для любых операций извлечения. В этом состоянии объект хранилища ключей можно только внести в список, восстановить, а также принудительно или окончательно удалить. Чтобы просмотреть объекты, используйте команду Azure CLI az keyvault key list-deleted (как описано в Как использовать Key Vault мягкое удаление с помощью CLI) или команду Azure PowerShell Get-AzKeyVault -InRemovedState (как описано в Как использовать Key Vault мягкое удаление с помощью PowerShell).
В то же время Key Vault будет планировать удаление базовых данных, соответствующих удаленному хранилищу ключей или объекту хранилища ключей для выполнения после предопределенного интервала хранения. Запись DNS, соответствующая хранилищу, также сохраняется во время интервала хранения.
Период хранения данных при мягком удалении
Ресурсы, частично удалённые, сохраняются в течение установленного периода времени — 90 дней. В течение интервала удержания для мягкого удаления действуют следующие условия:
- Вы можете перечислить все хранилища ключей и объекты хранилища ключей в состоянии обратимого удаления для подписки, а также получить доступ к данным об удалении и восстановлении.
- Только пользователи со специальными разрешениями могут просматривать удаленные хранилища. Мы советуем нашим пользователям создать пользовательскую настраиваемую роль с особыми разрешениями для управления удалёнными хранилищами данных.
- Хранилище ключей с тем же именем не может быть создано в том же расположении; Соответственно, объект хранилища ключей не может быть создан в данном хранилище, если это хранилище ключей содержит объект с тем же именем и который находится в удаленном состоянии.
- Только привилегированный пользователь может восстановить хранилище ключей или объект хранилища ключей, выполнив команду восстановления в соответствующем прокси-ресурсе.
- Пользователь, участник настраиваемой роли, у которого есть привилегии создавать хранилище ключей в группе ресурсов, может восстановить хранилище.
- Только привилегированный пользователь может принудительно удалить хранилище ключей или объект хранилища ключей, выполнив команду удаления для соответствующего прокси-ресурса.
Если хранилище ключей или его объект не восстановлены, в конце периода хранения служба произведет очистку удаленного хранилища ключей или его объекта вместе с содержимым. Удаление ресурсов не может быть перепланировано.
Последствия выставления счетов
В общем случае, когда объект (хранилище ключей, ключ или секрета) находится в состоянии удаления, возможны только две операции: очистка и восстановление. Все остальные операции завершаются ошибкой. Таким образом, хотя объект существует, операции выполнять нельзя, следовательно счета за использование не выставляются. Но есть и следующие исключения.
- Действия удаления и восстановления будут считаться обычными операциями хранилища ключей и, следовательно, будут тарифицироваться.
- Если объект является HSM-ключом, ежемесячная плата за каждую версию ключа, защищенного HSM, будет взиматься, если версия ключа использовалась в течение последних 30 дней. После этого, так как объект находится в состоянии удаления, операции с ним невозможны, плата не будет взиматься.
Следующие шаги
Следующие три руководства содержат основные сценарии использования обратимого удаления.
- Как использовать функцию Key Vault "мягкое удаление" в портале
- Как использовать мягкое удаление Key Vault с PowerShell
- Как использовать функцию мягкого удаления в Key Vault с CLI.