Správa obnovení služby Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním

Článek
10/04/2024

Tento článek se věnuje dvěma funkcím obnovení služby Azure Key Vault, obnovitelnému odstranění a ochraně před vymazáním. Tento dokument obsahuje přehled těchto funkcí a ukazuje, jak je spravovat prostřednictvím webu Azure Portal, Azure CLI a Azure PowerShellu.

Důležité

Pokud trezor klíčů nemá povolenou ochranu obnovitelného odstranění, odstranění klíče ho trvale odstraní. Zákazníkům se důrazně doporučuje zapnout vynucení obnovitelného odstranění pro své trezory prostřednictvím služby Azure Policy.

Další informace o službě Key Vault najdete v tématu

Požadavky

Předplatné Azure – vytvořte si ho zdarma
Azure PowerShell:
Azure CLI
Key Vault – Můžete ho vytvořit pomocí Azure Cli webu Azure Portal nebo Azure PowerShellu.

Uživatel potřebuje k provádění operací s obnovitelně odstraněným trezorem následující oprávnění (na úrovni předplatného):

Oprávnění	Popis
Microsoft.KeyVault/locations/deletedVaults/read	Zobrazení vlastností trezoru klíčů s obnovitelném odstraněním
Microsoft.KeyVault/locations/deletedVaults/purge/action	Vymazání obnovitelného odstraněného trezoru klíčů
Microsoft.KeyVault/locations/operationResults/read	Kontrola stavu vymazání trezoru
Přispěvatel služby Key Vault	Obnovení obnovitelného odstraněného trezoru

Co je ochrana proti obnovitelnému odstranění a vymazání

Obnovitelné odstranění a ochrana před vymazáním jsou dvě různé funkce obnovení trezoru klíčů.

Obnovitelné odstranění je navržené tak, aby zabránilo náhodnému odstranění trezoru klíčů, klíčů, tajných klíčů a certifikátů uložených v trezoru klíčů. Obnovitelné odstranění si můžete představit jako koš. Když odstraníte trezor klíčů nebo objekt trezoru klíčů, zůstane obnovitelný pro uživatele konfigurovatelnou dobu uchovávání nebo výchozí dobu 90 dnů. Trezory klíčů ve stavu obnovitelného odstranění se dají také vyprázdnit (trvale odstranit), což vám umožní znovu vytvořit trezory klíčů a objekty trezoru klíčů se stejným názvem. Obnovení a odstranění trezorů klíčů a objektů vyžadují zvýšená oprávnění zásad přístupu. Jakmile je povolené obnovitelné odstranění, nedá se zakázat.

Je důležité si uvědomit, že názvy trezorů klíčů jsou globálně jedinečné, takže nemůžete vytvořit trezor klíčů se stejným názvem jako trezor klíčů ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů, tajných klíčů a certifikátů jedinečné v rámci trezoru klíčů. V obnovitelném odstraněném stavu nemůžete vytvořit tajný klíč, klíč nebo certifikát se stejným názvem jako jiný.

Ochrana před vymazáním je navržená tak, aby zabránila odstranění trezoru klíčů, klíčů, tajných kódů a certifikátů škodlivým účastníky programu Insider. Představte si ho jako koš se zámkem založeným na čase. Položky můžete obnovit v libovolném okamžiku během konfigurovatelné doby uchovávání. Dokud neuplyne doba uchovávání, nebudete moct trezor klíčů trvale odstranit ani vyprázdnit. Po uplynutí doby uchovávání trezoru klíčů nebo objektu trezoru klíčů se automaticky vyprázdní.

Poznámka:

Ochrana před vymazáním je navržená tak, aby žádná role správce nebo oprávnění mohly přepsat, zakázat nebo obejít ochranu před vymazáním. Pokud je ochrana před vymazáním povolená, nemůže ji zakázat ani přepsat nikdo včetně Microsoftu. To znamená, že musíte odstraněný trezor klíčů obnovit nebo počkat na uplynutí doby uchovávání a teprve potom název trezoru klíčů znovu použít.

Další informace o obnovitelném odstranění najdete v přehledu obnovitelného odstranění ve službě Azure Key Vault.

Ověřte, jestli je v trezoru klíčů povolené obnovitelné odstranění, a povolte obnovitelné odstranění.

Přihlaste se k portálu Azure.
Vyberte trezor klíčů.
Vyberte okno Vlastnosti.
Ověřte, jestli je přepínač vedle obnovitelného odstranění nastavený na Povolit obnovení.
Pokud v trezoru klíčů není povolené obnovitelné odstranění, vyberte přepínač pro povolení obnovitelného odstranění a vyberte Uložit.

V části Vlastnosti je zvýrazněno obnovitelné odstranění, protože se jedná o hodnotu, která se má povolit.

Udělení přístupu k instančnímu objektu pro vymazání a obnovení odstraněných tajných kódů

Přihlaste se k portálu Azure.
Vyberte trezor klíčů.
Vyberte okno Zásady přístupu.
V tabulce najděte řádek objektu zabezpečení, ke které chcete udělit přístup (nebo přidat nový objekt zabezpečení).
Vyberte rozevírací seznam pro klíče, certifikáty a tajné kódy.
Posuňte se do dolní části rozevíracího seznamu a vyberte Obnovit a Vyprázdnit.
K provádění většiny operací potřebují objekty zabezpečení také funkci get a list.

V levém navigačním podokně se zvýrazní zásady přístupu. V accessových zásadách se zobrazí rozevírací seznam Tajné pozice a jsou vybrány čtyři položky: Získat, Seznam, Obnovit a Vyprázdnit.

Výpis, obnovení nebo vymazání obnovitelného odstraněného trezoru klíčů

Přihlaste se k portálu Azure.
Vyberte panel hledání v horní části stránky.
Vyhledejte službu Key Vault. Neklikejte na jednotlivé trezory klíčů.
V horní části obrazovky vyberte možnost Spravovat odstraněné trezory.
Na pravé straně obrazovky se otevře kontextové podokno.
Vyberte své předplatné.
Pokud je trezor klíčů odstraněný, zobrazí se v kontextovém podokně napravo.
Pokud existuje příliš mnoho trezorů, můžete buď vybrat načíst více v dolní části kontextového podokna, nebo získat výsledky pomocí rozhraní příkazového řádku nebo PowerShellu.
Jakmile najdete trezor, který chcete obnovit nebo vyprázdnit, zaškrtněte políčko vedle něj.
Pokud chcete trezor klíčů obnovit, vyberte možnost obnovení v dolní části kontextového podokna.
Pokud chcete trvale odstranit trezor klíčů, vyberte možnost vyprázdnění.

U trezorů klíčů je zvýrazněná možnost Spravovat odstraněné trezory.

Při správě odstraněných trezorů klíčů je zvýrazněný a vybraný jediný uvedený trezor klíčů a zvýrazněné tlačítko Obnovit.

Výpis, obnovení nebo vymazání obnovitelně odstraněných tajných klíčů, klíčů a certifikátů

Přihlaste se k portálu Azure.
Vyberte trezor klíčů.
Vyberte okno odpovídající typu tajného kódu, který chcete spravovat (klíče, tajné kódy nebo certifikáty).
V horní části obrazovky vyberte Spravovat odstraněné klíče, tajné kódy nebo certifikáty.
Na pravé straně obrazovky se zobrazí kontextové podokno.
Pokud se váš tajný klíč, klíč nebo certifikát v seznamu nezobrazí, není ve stavu obnovitelného odstranění.
Vyberte tajný klíč, klíč nebo certifikát, který chcete spravovat.
Vyberte možnost obnovení nebo vyprázdnění v dolní části kontextového podokna.

V části Klíče je zvýrazněná možnost Spravovat odstraněné klíče.

Key Vault (CLI)

Ověření, jestli má trezor klíčů povolený obnovitelné odstranění

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Povolení obnovitelného odstranění v trezoru klíčů

Všechny nové trezory klíčů mají ve výchozím nastavení povolené obnovitelné odstranění. Pokud aktuálně máte trezor klíčů, který nemá povolené obnovitelné odstranění, povolte obnovitelné odstranění pomocí následujícího příkazu.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```
Odstranění trezoru klíčů (obnovitelné odstranění je možné obnovit, pokud je povolené obnovitelné odstranění)
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
```

Výpis všech trezorů klíčů s obnovitelném odstraněním

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Obnovení obnovitelného odstraněného trezoru klíčů

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Vymazání obnovitelného odstraněného trezoru klíčů (UPOZORNĚNÍ! TATO OPERACE TRVALE ODSTRANÍ VÁŠ TREZOR KLÍČŮ.
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Povolení ochrany před vymazáním v trezoru klíčů

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certifikáty (CLI)

Udělení přístupu k vyprázdnění a obnovení certifikátů

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Odstranění certifikátu

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Výpis odstraněných certifikátů

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Obnovení odstraněného certifikátu

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Vyprázdnění obnovitelně odstraněného certifikátu (UPOZORNĚNÍ! TATO OPERACE TRVALE ODSTRANÍ VÁŠ CERTIFIKÁT.
```
az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
```

Klíče (CLI)

Udělení přístupu k vyprázdnění a obnovení klíčů

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Klávesa Delete

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Výpis odstraněných klíčů

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Obnovení odstraněného klíče

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Vyprázdnit obnovitelně odstraněný klíč (UPOZORNĚNÍ! TATO OPERACE TRVALE ODSTRANÍ VÁŠ KLÍČ.
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
```

Tajné kódy (CLI)

Udělení přístupu k vymazání a obnovení tajných kódů

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Odstranění tajného kódu

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Výpis odstraněných tajných kódů

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Obnovení odstraněného tajného kódu

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Vymazání obnovitelně odstraněného tajného kódu (UPOZORNĚNÍ! TATO OPERACE TRVALE ODSTRANÍ VÁŠ TAJNÝ KÓD.
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Key Vault (PowerShell)

Ověření, jestli má trezor klíčů povolený obnovitelné odstranění
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Odstranění trezoru klíčů

Remove-AzKeyVault -VaultName 'ContosoVault'

Výpis všech trezorů klíčů s obnovitelném odstraněním
```
Get-AzKeyVault -InRemovedState
```

Obnovení obnovitelného odstraněného trezoru klíčů

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Vymazání obnovitelného odstraněného trezoru klíčů (UPOZORNĚNÍ! TATO OPERACE TRVALE ODSTRANÍ VÁŠ TREZOR KLÍČŮ.
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Povolení ochrany před vymazáním v trezoru klíčů

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certifikáty (PowerShell)

Udělení oprávnění k obnovení a vymazání certifikátů

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Odstranění certifikátu

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Výpis všech odstraněných certifikátů v trezoru klíčů

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Obnovení certifikátu v odstraněném stavu

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Vyprázdnění obnovitelně odstraněného certifikátu (UPOZORNĚNÍ! TATO OPERACE TRVALE ODSTRANÍ VÁŠ CERTIFIKÁT.
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Klíče (PowerShell)

Udělení oprávnění k obnovení a vymazání klíčů

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Odstranění klíče

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Výpis všech odstraněných klíčů v trezoru klíčů

Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState

Obnovení obnovitelného odstraněného klíče

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Vyprázdnění obnovitelně odstraněného klíče (WARNING! TATO OPERACE TRVALE ODSTRANÍ VÁŠ KLÍČ.
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Tajné kódy (PowerShell)

Udělení oprávnění k obnovení a vymazání tajných kódů

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Odstranění tajného kódu s názvem SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Výpis všech odstraněných tajných kódů v trezoru klíčů
```
Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
```

Obnovení tajného kódu v odstraněném stavu

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Vyprázdnění tajného kódu v odstraněném stavu (UPOZORNĚNÍ! TATO OPERACE TRVALE ODSTRANÍ VÁŠ KLÍČ.
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

Sdílet prostřednictvím