Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны две функции восстановления управляемого HSM: возможность восстановления после удаления и защита от окончательной очистки. В нем представлен обзор этих функций и показано, как управлять ими с помощью Azure CLI и Azure PowerShell.
Дополнительные сведения см. в обзоре управляемого HSM.
Предпосылки
Подписка Azure. Создайте его бесплатно.
Azure CLI 2.25.0 или более поздней версии. Выполните команду
az --version, чтобы определить, какая версия у вас есть. Если вам нужно установить или обновить, см. статью "Установка Azure CLI".Управляемый HSM. Его можно создать с помощью Azure CLI или Azure PowerShell.
Пользователям потребуются следующие разрешения для выполнения операций с мягко удаленными HSM и/или ключами.
Назначение ролей Description Участник управляемого устройства HSM Перечисление, восстановление и очистка обратимо удаленных HSM Управляемый пользователь шифрования HSM Список неокончательно удаленных ключей Директор по шифрованию управляемого устройства HSM Очистка и восстановление обратимо удаленных ключей
Что такое мягкое удаление и защита от удаления?
Мягкое удаление и защита от полного удаления являются функциями восстановления.
Мягкое удаление предназначено для предотвращения случайного удаления вашего HSM и ключей. Мягкое удаление работает как корзина для мусора. При удалении HSM или ключа он остается восстанавливаемым в течение настраиваемого периода хранения или в течение 90 дней по умолчанию. Модули HSM и ключи в мягко удаленном состоянии также можно очистить, что означает, что они удаляются навсегда. Очистка позволяет заново создавать модули HSM и ключи с тем же именем, что и у очищенного элемента. Для восстановления и удаления HSM и ключей требуются определенные назначения ролей. Мягкое удаление не может быть отключено.
Замечание
Поскольку базовые ресурсы остаются выделенными для HSM, даже если он находится в состоянии удаления, ресурс HSM будет продолжать накапливать почасовую плату, пока он находится в этом состоянии.
Управляемые имена HSM глобально уникальны в каждой облачной среде. Вы не можете создать управляемый модуль безопасности с таким же именем, как тот, который находится в состоянии мягкого удаления. Аналогичным образом имена ключей уникальны в HSM. Нельзя создать ключ с тем же именем, что и у ключа, который находится в состоянии мягкого удаления.
Дополнительные сведения см. в обзоре мягкого удаления управляемого модуля HSM.
Защита от очистки предназначена для предотвращения удаления ваших HSM и ключей злоумышленником изнутри. Это как корзина с блокировкой на основе времени. Элементы можно восстановить в любой момент в течение настраиваемого периода хранения. Вы не сможете окончательно удалить или очистить HSM или ключ до окончания срока хранения. По окончании срока хранения модуль HSM или ключ будут удалены автоматически.
Замечание
Ни одна роль или разрешение администратора не может переопределить, отключить или обойти защиту от очистки. Если защита от очистки включена, она не может быть отключена или переопределена кем-либо, включая Корпорацию Майкрософт. Поэтому необходимо восстановить удаленный HSM или дождаться окончания срока хранения, прежде чем повторно использовать имя HSM.
Управление ключами и управляемыми хранилищами HSM
Управляемые HSM (CLI)
Чтобы проверить состояние мягкого удаления и защиты от очистки для управляемой HSM, следуйте указаниям ниже.
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Чтобы удалить HSM, выполните приведенные действия.
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Это действие можно восстановить, потому что мягкое удаление включено по умолчанию.
Чтобы перечислить все мягко удаленные HSM:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsmЧтобы восстановить мягко удаленное HSM:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}Чтобы очистить мягко удаленное HSM:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}Предупреждение
Эта операция навсегда удалит ваш HSM.
Чтобы включить защиту очистки на HSM:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
Ключи (CLI)
Чтобы удалить ключ, выполните приведенные действия.
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Чтобы получить список удаленных ключей, выполните указанные ниже действия.
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}Чтобы восстановить удаленный ключ:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Чтобы удалить окончательно мягко удаленный ключ, выполните приведенные действия.
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Предупреждение
Эта операция окончательно удаляет ключ.