Přehled obnovitelného odstranění ve službě Azure Key Vault

Důležité

Pokud trezor klíčů nemá povolenou ochranu obnovitelného odstranění, odstranění klíče ho trvale odstraní. Zákazníkům se důrazně doporučuje zapnout vynucení obnovitelného odstranění pro své trezory prostřednictvím služby Azure Policy.

Důležité

Při obnovitelném odstranění služby Key Vault se odstraní služby integrované se službou Key Vault. Příklad: Přiřazení rolí Azure RBAC a odběry Event Gridu. Obnovení obnovitelně odstraněné služby Key Vault tyto služby neobnoví. Bude potřeba je znovu vytvořit.

Funkce obnovitelného odstranění služby Key Vault umožňuje obnovit odstraněné trezory a objekty trezoru klíčů (například klíče, tajné kódy a certifikáty). Konkrétně řešíme následující scénáře: Tato ochrana nabízí následující ochranu:

  • Jakmile se tajný klíč, klíč, certifikát nebo trezor klíčů odstraní, zůstane obnovitelný po konfigurovatelné období 7 až 90 kalendářních dnů. Pokud není zadána žádná konfigurace, výchozí doba obnovení je nastavená na 90 dnů, aby uživatelům poskytla dostatek času, aby si všimli náhodného odstranění tajného kódu a reagovali na ně.
  • Tajný kód je trvale odstraněn po provedení dvou operací. Nejprve musí uživatel odstranit objekt, čímž ho uvede do stavu obnovitelného odstranění. Pak musí uživatel objekt ve stavu obnovitelného odstranění vymazat. Tato ochrana snižuje riziko náhodného nebo škodlivého odstranění tajného kódu nebo trezoru klíčů uživatele.
  • Pokud chcete vyprázdnit tajný klíč, klíč, certifikát ve stavu obnovitelného odstranění, musí být instančnímu objektu zabezpečení uděleno oprávnění operace "vyprázdnění" (například s integrovanou rolí key vaultu"Operátor vymazání služby Key Vault").

Podpůrná rozhraní

Funkce obnovitelného odstranění je dostupná prostřednictvím rozhraní REST API, Azure CLI, Azure PowerShellu a rozhraní .NET/C# a šablon ARM.

Scénáře

Azure Key Vaults se sledují prostředky spravované Pomocí Azure Resource Manageru. Azure Resource Manager také určuje dobře definované chování pro odstranění, které vyžaduje, aby úspěšná operace DELETE už neměla být přístupná k danému prostředku. Funkce obnovitelného odstranění řeší obnovení odstraněného objektu bez ohledu na to, jestli bylo odstranění náhodné nebo úmyslné.

  1. V typickém scénáři uživatel neúmyslně odstraní trezor klíčů nebo objekt trezoru klíčů; Pokud byl tento trezor klíčů nebo objekt trezoru klíčů obnovitelný po předem určené období, může uživatel odstranění vrátit zpět a obnovit jeho data.

  2. V jiném scénáři se může podvodný uživatel pokusit o odstranění trezoru klíčů nebo objektu trezoru klíčů, například klíče uvnitř trezoru, a způsobit tak narušení provozu. Odstranění trezoru klíčů nebo objektu trezoru klíčů od skutečného odstranění podkladových dat lze použít jako bezpečnostní opatření například omezením oprávnění k odstranění dat na jinou důvěryhodnou roli. Tento přístup efektivně vyžaduje kvorum pro operaci, která by jinak mohla způsobit okamžitou ztrátu dat.

Chování obnovitelného odstranění

Pokud je povolené obnovitelné odstranění, prostředky označené jako odstraněné prostředky se zachovají po zadané období (ve výchozím nastavení je to 90 dnů). Služba dále poskytuje mechanismus pro obnovení odstraněného objektu, v podstatě vrácení odstranění zpět.

Při vytváření nového trezoru klíčů je ve výchozím nastavení zapnuté obnovitelné odstranění. Jakmile je v trezoru klíčů povolené obnovitelné odstranění, nedá se zakázat.

Interval zásad uchovávání informací je možné nakonfigurovat jenom během vytváření trezoru klíčů a potom ho nejde změnit. Můžete ho nastavit kdekoli od 7 do 90 dnů, přičemž výchozí hodnota je 90 dnů. Stejný interval platí pro obnovitelné odstranění i zásady uchovávání ochrany před vymazáním.

Dokud nevyprší doba uchovávání, nemůžete znovu použít název trezoru klíčů, který byl obnovitelně odstraněn.

Ochrana před vymazáním

Ochrana před vymazáním je volitelné chování služby Key Vault a ve výchozím nastavení není povolené. Ochranu před vymazáním je možné povolit pouze po povolení obnovitelného odstranění. Ochrana před vymazáním se doporučuje při použití klíčů pro šifrování, aby se zabránilo ztrátě dat. Většina služeb Azure, které se integrují se službou Azure Key Vault, jako je například Storage, vyžadují ochranu před vymazáním, aby se zabránilo ztrátě dat.

Když je ochrana před vymazáním zapnutá, trezor nebo objekt v odstraněném stavu se nedá vyprázdnit, dokud doba uchovávání neproběhne. Obnovitelně odstraněné trezory a objekty je možné obnovit a zajistit, aby zásady uchovávání informací byly dodrženy.

Výchozí doba uchovávání je 90 dnů, ale na webu Azure Portal je možné nastavit interval zásad uchovávání informací na hodnotu od 7 do 90 dnů. Jakmile je nastavený a uložený interval zásad uchovávání informací, nedá se pro tento trezor změnit.

Ochranu před vymazáním je možné zapnout prostřednictvím rozhraní příkazového řádku, PowerShellu nebo portálu.

Povolené vyprázdnění

Trvalé odstranění, vymazání trezoru klíčů je možné prostřednictvím operace POST na prostředku proxy serveru a vyžaduje zvláštní oprávnění. Obecně platí, že trezor klíčů může vyprázdnit pouze vlastník předplatného nebo uživatel s rolí RBAC "Operátor vymazání služby Key Vault". Operace POST aktivuje okamžité a nenapravitelné odstranění tohoto trezoru.

Mezi výjimky patří:

  • Pokud je předplatné Azure označeno jako nesložitelné. V tomto případě může skutečné odstranění provést pouze služba a provést to jako naplánovaný proces.
  • --enable-purge-protection Pokud je argument v samotném trezoru povolený. V takovém případě bude služba Key Vault čekat 7 až 90 dnů od doby, kdy byl původní tajný objekt označen k odstranění, aby se objekt trvale odstranil.

Postup najdete v tématu Použití obnovitelného odstranění služby Key Vault pomocí rozhraní příkazového řádku: Vymazání trezoru klíčů nebo použití obnovitelného odstranění služby Key Vault pomocí PowerShellu: Vymazání trezoru klíčů.

Obnovení trezoru klíčů

Po odstranění trezoru klíčů služba vytvoří prostředek proxy serveru v rámci předplatného a přidá dostatečná metadata pro obnovení. Prostředek proxy je uložený objekt, který je k dispozici ve stejném umístění jako odstraněný trezor klíčů.

Obnovení objektu trezoru klíčů

Když dojde k odstranění objektu trezoru klíčů, například klíče, služba umístí objekt do odstraněného stavu a znepřístupní všechny operace načítání. V tomto stavu je možné objekt trezoru klíčů vypisovat, obnovit nebo vynutit nebo trvale odstranit. Pokud chcete zobrazit objekty, použijte příkaz Azure CLI az keyvault key list-deleted (jak je popsáno v tématu Použití obnovitelného odstranění služby Key Vault s rozhraním příkazového řádku) nebo příkaz Azure PowerShellu Get-AzKeyVault -InRemovedState (jak je popsáno v tématu Použití obnovitelného odstranění služby Key Vault pomocí PowerShellu).

Služba Key Vault zároveň naplánuje odstranění podkladových dat odpovídajících odstraněným trezoru klíčů nebo objektu trezoru klíčů ke spuštění po předem určeném intervalu uchovávání. Záznam DNS odpovídající trezoru se také uchovává během intervalu uchovávání.

Doba uchovávání obnovitelného odstranění

Obnovitelné odstraněné prostředky se uchovávají po stanovenou dobu 90 dnů. Během intervalu uchovávání obnovitelného odstranění platí následující:

  • Můžete uvést všechny trezory klíčů a objekty trezoru klíčů ve stavu obnovitelného odstranění vašeho předplatného a také informace o odstranění a obnovení přístupu.
    • Odstraněné trezory můžou vypsat jenom uživatelé se speciálními oprávněními. Doporučujeme, aby naši uživatelé vytvořili vlastní roli s těmito zvláštními oprávněními pro zpracování odstraněných trezorů.
  • Trezor klíčů se stejným názvem nejde vytvořit ve stejném umístění; Objekt trezoru klíčů nelze v daném trezoru vytvořit, pokud tento trezor klíčů obsahuje objekt se stejným názvem a který je ve stavu odstranění.
  • Pouze konkrétní privilegovaný uživatel může obnovit trezor klíčů nebo objekt trezoru klíčů tak, že na příslušném prostředku proxy serveru vydá příkaz pro obnovení.
    • Uživatel, člen vlastní role, který má oprávnění k vytvoření trezoru klíčů v rámci skupiny prostředků, může trezor obnovit.
  • Pouze konkrétní privilegovaný uživatel může vynutit odstranění trezoru klíčů nebo objektu trezoru klíčů vydáním příkazu delete na příslušném prostředku proxy serveru.

Pokud se neobnoví trezor klíčů nebo objekt trezoru klíčů, služba na konci intervalu uchovávání provede vymazání obnovitelného odstraněného trezoru klíčů nebo objektu trezoru klíčů a jeho obsahu. Odstranění prostředku nelze přeplánovat.

Důsledky fakturace

Obecně platí, že pokud je objekt (trezor klíčů nebo klíč nebo tajný klíč) ve stavu odstranění, je možné provést pouze dvě operace: "vyprázdnit" a "obnovit". Všechny ostatní operace selžou. Proto i když objekt existuje, není možné provádět žádné operace, a proto nedojde k žádnému využití, takže se nic neúčtuje. Existují však následující výjimky:

  • Akce vyprázdnění a obnovení se počítají do normálních operací trezoru klíčů a budou se účtovat.
  • Pokud je objekt klíčem HSM, bude se účtovat poplatek za chráněný klíč HSM na verzi klíče za měsíc, pokud se za posledních 30 dnů použila verze klíče. Poté, protože objekt je ve stavu odstranění, nelze s ním provádět žádné operace, takže se nebudou účtovat žádné poplatky.

Další kroky

Následující tři příručky nabízejí primární scénáře použití pro použití obnovitelného odstranění.