Správa obnovení služby Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním

Tento článek se věnuje dvěma funkcím obnovení služby Azure Key Vault, obnovitelnému odstranění a ochraně před vymazáním. Tento dokument obsahuje přehled těchto funkcí a ukazuje, jak je spravovat prostřednictvím webu Azure Portal, Azure CLI a Azure PowerShellu.

Důležité

Pokud trezor klíčů nemá povolenou ochranu obnovitelného odstranění, odstranění klíče ho trvale odstraní. Zákazníkům se důrazně doporučuje zapnout vynucení obnovitelného odstranění pro své trezory prostřednictvím služby Azure Policy.

Další informace o službě Key Vault najdete v tématu

Požadavky

  • Předplatné Azure – vytvořte si ho zdarma

  • Azure PowerShell:

  • Azure CLI

  • Key Vault – Můžete ho vytvořit pomocí Azure Cli webu Azure Portal nebo Azure PowerShellu.

  • Uživatel potřebuje k provádění operací s obnovitelně odstraněným trezorem následující oprávnění (na úrovni předplatného):

    Oprávnění Popis
    Microsoft.KeyVault/locations/deletedVaults/read Zobrazení vlastností trezoru klíčů s obnovitelném odstraněním
    Microsoft.KeyVault/locations/deletedVaults/purge/action Vymazání obnovitelného odstraněného trezoru klíčů
    Microsoft.KeyVault/locations/operationResults/read Kontrola stavu vymazání trezoru
    Přispěvatel služby Key Vault Obnovení obnovitelného odstraněného trezoru

Co je ochrana proti obnovitelnému odstranění a vymazání

Obnovitelné odstranění a ochrana před vymazáním jsou dvě různé funkce obnovení trezoru klíčů.

Obnovitelné odstranění je navržené tak, aby zabránilo náhodnému odstranění trezoru klíčů, klíčů, tajných klíčů a certifikátů uložených v trezoru klíčů. Obnovitelné odstranění si můžete představit jako koš. Když odstraníte trezor klíčů nebo objekt trezoru klíčů, zůstane obnovitelný pro uživatele konfigurovatelnou dobu uchovávání nebo výchozí dobu 90 dnů. Trezory klíčů ve stavu obnovitelného odstranění se dají také vyprázdnit (trvale odstranit), což vám umožní znovu vytvořit trezory klíčů a objekty trezoru klíčů se stejným názvem. Obnovení a odstranění trezorů klíčů a objektů vyžadují zvýšená oprávnění zásad přístupu. Jakmile je povolené obnovitelné odstranění, nedá se zakázat.

Je důležité si uvědomit, že názvy trezorů klíčů jsou globálně jedinečné, takže nemůžete vytvořit trezor klíčů se stejným názvem jako trezor klíčů ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů, tajných klíčů a certifikátů jedinečné v rámci trezoru klíčů. V obnovitelném odstraněném stavu nemůžete vytvořit tajný klíč, klíč nebo certifikát se stejným názvem jako jiný.

Ochrana před vymazáním je navržená tak, aby zabránila odstranění trezoru klíčů, klíčů, tajných kódů a certifikátů škodlivým účastníky programu Insider. Představte si ho jako koš se zámkem založeným na čase. Položky můžete obnovit v libovolném okamžiku během konfigurovatelné doby uchovávání. Dokud neuplyne doba uchovávání, nebudete moct trezor klíčů trvale odstranit ani vyprázdnit. Po uplynutí doby uchovávání trezoru klíčů nebo objektu trezoru klíčů se automaticky vyprázdní.

Poznámka:

Ochrana před vymazáním je navržená tak, aby žádná role správce nebo oprávnění mohly přepsat, zakázat nebo obejít ochranu před vymazáním. Pokud je ochrana před vymazáním povolená, nemůže ji zakázat ani přepsat nikdo včetně Microsoftu. To znamená, že musíte odstraněný trezor klíčů obnovit nebo počkat na uplynutí doby uchovávání a teprve potom název trezoru klíčů znovu použít.

Další informace o obnovitelném odstranění najdete v přehledu obnovitelného odstranění ve službě Azure Key Vault.

Ověřte, jestli je v trezoru klíčů povolené obnovitelné odstranění, a povolte obnovitelné odstranění.

  1. Přihlaste se k portálu Azure.
  2. Vyberte trezor klíčů.
  3. Vyberte okno Vlastnosti.
  4. Ověřte, jestli je přepínač vedle obnovitelného odstranění nastavený na Povolit obnovení.
  5. Pokud v trezoru klíčů není povolené obnovitelné odstranění, vyberte přepínač pro povolení obnovitelného odstranění a vyberte Uložit.

V části Vlastnosti je zvýrazněno obnovitelné odstranění, protože se jedná o hodnotu, která se má povolit.

Udělení přístupu k instančnímu objektu pro vymazání a obnovení odstraněných tajných kódů

  1. Přihlaste se k portálu Azure.
  2. Vyberte trezor klíčů.
  3. Vyberte okno Zásady přístupu.
  4. V tabulce najděte řádek objektu zabezpečení, ke které chcete udělit přístup (nebo přidat nový objekt zabezpečení).
  5. Vyberte rozevírací seznam pro klíče, certifikáty a tajné kódy.
  6. Posuňte se do dolní části rozevíracího seznamu a vyberte Obnovit a Vyprázdnit.
  7. K provádění většiny operací potřebují objekty zabezpečení také funkci get a list.

V levém navigačním podokně se zvýrazní zásady přístupu. V accessových zásadách se zobrazí rozevírací seznam Tajné pozice a jsou vybrány čtyři položky: Získat, Seznam, Obnovit a Vyprázdnit.

Výpis, obnovení nebo vymazání obnovitelného odstraněného trezoru klíčů

  1. Přihlaste se k portálu Azure.
  2. Vyberte panel hledání v horní části stránky.
  3. Vyhledejte službu Key Vault. Neklikejte na jednotlivé trezory klíčů.
  4. V horní části obrazovky vyberte možnost Spravovat odstraněné trezory.
  5. Na pravé straně obrazovky se otevře kontextové podokno.
  6. Vyberte své předplatné.
  7. Pokud je trezor klíčů odstraněný, zobrazí se v kontextovém podokně napravo.
  8. Pokud existuje příliš mnoho trezorů, můžete buď vybrat načíst více v dolní části kontextového podokna, nebo získat výsledky pomocí rozhraní příkazového řádku nebo PowerShellu.
  9. Jakmile najdete trezor, který chcete obnovit nebo vyprázdnit, zaškrtněte políčko vedle něj.
  10. Pokud chcete trezor klíčů obnovit, vyberte možnost obnovení v dolní části kontextového podokna.
  11. Pokud chcete trvale odstranit trezor klíčů, vyberte možnost vyprázdnění.

U trezorů klíčů je zvýrazněná možnost Spravovat odstraněné trezory.

Při správě odstraněných trezorů klíčů je zvýrazněný a vybraný jediný uvedený trezor klíčů a zvýrazněné tlačítko Obnovit.

Výpis, obnovení nebo vymazání obnovitelně odstraněných tajných klíčů, klíčů a certifikátů

  1. Přihlaste se k portálu Azure.
  2. Vyberte trezor klíčů.
  3. Vyberte okno odpovídající typu tajného kódu, který chcete spravovat (klíče, tajné kódy nebo certifikáty).
  4. V horní části obrazovky vyberte Spravovat odstraněné klíče, tajné kódy nebo certifikáty.
  5. Na pravé straně obrazovky se zobrazí kontextové podokno.
  6. Pokud se váš tajný klíč, klíč nebo certifikát v seznamu nezobrazí, není ve stavu obnovitelného odstranění.
  7. Vyberte tajný klíč, klíč nebo certifikát, který chcete spravovat.
  8. Vyberte možnost obnovení nebo vyprázdnění v dolní části kontextového podokna.

V části Klíče je zvýrazněná možnost Spravovat odstraněné klíče.

Další kroky