Защита от мягкого удаления и очистки управляемого HSM

В этой статье описаны две функции восстановления управляемого HSM: возможность восстановления после удаления и защита от окончательной очистки. В нем представлен обзор этих функций и показано, как управлять ими с помощью Azure CLI и Azure PowerShell.

Дополнительные сведения см. в обзоре управляемого HSM.

Предпосылки

Подписка Azure. Создайте его бесплатно.
Модуль PowerShell.
Azure CLI 2.25.0 или более поздней версии. Выполните команду az --version , чтобы определить, какая версия у вас есть. Если вам нужно установить или обновить, см. статью "Установка Azure CLI".
Управляемый HSM. Его можно создать с помощью Azure CLI или Azure PowerShell.

Пользователям потребуются следующие разрешения для выполнения операций с мягко удаленными HSM и/или ключами.

Назначение ролей	Description
Участник управляемого устройства HSM	Перечисление, восстановление и очистка обратимо удаленных HSM
Управляемый пользователь шифрования HSM	Список неокончательно удаленных ключей
Директор по шифрованию управляемого устройства HSM	Очистка и восстановление обратимо удаленных ключей

Что такое мягкое удаление и защита от удаления?

Мягкое удаление и защита от полного удаления являются функциями восстановления.

Мягкое удаление предназначено для предотвращения случайного удаления вашего HSM и ключей. Мягкое удаление работает как корзина для мусора. При удалении HSM или ключа он остается восстанавливаемым в течение настраиваемого периода хранения или в течение 90 дней по умолчанию. Модули HSM и ключи в мягко удаленном состоянии также можно очистить, что означает, что они удаляются навсегда. Очистка позволяет заново создавать модули HSM и ключи с тем же именем, что и у очищенного элемента. Для восстановления и удаления HSM и ключей требуются определенные назначения ролей. Мягкое удаление не может быть отключено.

Замечание

Поскольку базовые ресурсы остаются выделенными для HSM, даже если он находится в состоянии удаления, ресурс HSM будет продолжать накапливать почасовую плату, пока он находится в этом состоянии.

Управляемые имена HSM глобально уникальны в каждой облачной среде. Вы не можете создать управляемый модуль безопасности с таким же именем, как тот, который находится в состоянии мягкого удаления. Аналогичным образом имена ключей уникальны в HSM. Нельзя создать ключ с тем же именем, что и у ключа, который находится в состоянии мягкого удаления.

Дополнительные сведения см. в обзоре мягкого удаления управляемого модуля HSM.

Защита от очистки предназначена для предотвращения удаления ваших HSM и ключей злоумышленником изнутри. Это как корзина с блокировкой на основе времени. Элементы можно восстановить в любой момент в течение настраиваемого периода хранения. Вы не сможете окончательно удалить или очистить HSM или ключ до окончания срока хранения. По окончании срока хранения модуль HSM или ключ будут удалены автоматически.

Замечание

Ни одна роль или разрешение администратора не может переопределить, отключить или обойти защиту от очистки. Если защита от очистки включена, она не может быть отключена или переопределена кем-либо, включая Корпорацию Майкрософт. Поэтому необходимо восстановить удаленный HSM или дождаться окончания срока хранения, прежде чем повторно использовать имя HSM.

Управление ключами и управляемыми хранилищами HSM

Управляемый HSM (портал)

Чтобы проверить состояние обратимого удаления и защиты от очистки для управляемого HSM, в портале Azure откройте ваш ресурс управляемого HSM и выберите Свойства в меню слева.
Чтобы удалить HSM, перейдите к ресурсу управляемого HSM и выберите Удалить. Это действие можно восстановить, потому что мягкое удаление включено по умолчанию.
Чтобы получить список и восстановить обратимо удалённые устройства HSM, найдите Управляемые пулы HSM на портале Azure и выберите параметр Управление удалёнными HSM.

Ключи (портал)

Чтобы удалить ключ, перейдите к ресурсу Управляемого устройства HSM, в разделе "Параметры " выберите ключ, выберите ключ и нажмите кнопку "Удалить".
Чтобы получить список удаленных ключей, перейдите к ресурсу Управляемого устройства HSM, в разделе "Параметры " выберите "Ключи" и выберите "Управление удаленными ключами".
Чтобы восстановить удаленный ключ, выберите ключ из списка удаленных ключей и нажмите кнопку "Восстановить".
Чтобы удалить мягко удалённый ключ полностью, выберите ключ из списка удалённых ключей и выберите Purge.

Предупреждение

Эта операция окончательно удаляет ключ.

Управляемые HSM (CLI)

Чтобы проверить состояние мягкого удаления и защиты от очистки для управляемой HSM, следуйте указаниям ниже.
```
az keyvault show --subscription <subscription-id> -g <resource-group> --hsm-name <hsm-name>
```
Чтобы удалить HSM, выполните приведенные действия.
```
az keyvault delete --subscription <subscription-id> -g <resource-group> --hsm-name <hsm-name>
```
Это действие можно восстановить, потому что мягкое удаление включено по умолчанию.

Чтобы перечислить все мягко удаленные HSM:

az keyvault list-deleted --subscription <subscription-id> --resource-type hsm

Чтобы восстановить мягко удаленное HSM:

az keyvault recover --subscription <subscription-id> --hsm-name <hsm-name> --location <location>

Чтобы очистить мягко удаленное HSM:
```
az keyvault purge --subscription <subscription-id> --hsm-name <hsm-name> --location <location>
```
Предупреждение

Эта операция навсегда удалит ваш HSM.

Чтобы включить защиту очистки на HSM:

az keyvault update-hsm --subscription <subscription-id> -g <resource-group> --hsm-name <hsm-name> --enable-purge-protection true

Ключи (CLI)

Чтобы удалить ключ, выполните приведенные действия.

az keyvault key delete --subscription <subscription-id> --hsm-name <hsm-name> --name <key-name>

Чтобы получить список удаленных ключей, выполните указанные ниже действия.
```
az keyvault key list-deleted --subscription <subscription-id> --hsm-name <hsm-name>
```

Чтобы восстановить удаленный ключ:

az keyvault key recover --subscription <subscription-id> --hsm-name <hsm-name> --name <key-name>

Чтобы удалить окончательно мягко удаленный ключ, выполните приведенные действия.
```
az keyvault key purge --subscription <subscription-id> --hsm-name <hsm-name> --name <key-name>
```
Предупреждение

Эта операция окончательно удаляет ключ.

Управляемые модули HSM (PowerShell)

Чтобы проверить состояние мягкого удаления и защиты от очистки для управляемой HSM, следуйте указаниям ниже.
```
Get-AzKeyVaultManagedHsm -Name "<hsm-name>"
```
Чтобы удалить HSM, выполните приведенные действия.
```
Remove-AzKeyVaultManagedHsm -Name "<hsm-name>"
```
Это действие можно восстановить, потому что мягкое удаление включено по умолчанию.

Ключи (PowerShell)

Чтобы удалить ключ, выполните приведенные действия.
```
Remove-AzKeyVaultKey -HsmName "<hsm-name>" -Name "<key-name>"
```
Чтобы получить список всех удаленных ключей, выполните следующие действия.
```
Get-AzKeyVaultKey -HsmName "<hsm-name>" -InRemovedState
```
Чтобы восстановить мягко удалённый ключ:
```
Undo-AzKeyVaultKeyRemoval -HsmName "<hsm-name>" -Name "<key-name>"
```
Чтобы удалить окончательно мягко удаленный ключ, выполните приведенные действия.
```
Remove-AzKeyVaultKey -HsmName "<hsm-name>" -Name "<key-name>" -InRemovedState
```
Предупреждение

Эта операция окончательно удаляет ключ.

Дальнейшие шаги

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-04-30