Azure Key Vault: Sichern und Wiederherstellen

In diesem Dokument erfahren Sie, wie Sie in Ihrem Schlüsseltresor gespeicherte Geheimnisse, Schlüssel und Zertifikate sichern. Eine Sicherung soll als Offlinekopie aller Geheimnisse in dem unwahrscheinlichen Fall dienen, dass Sie keinen Zugriff mehr auf Ihren Schlüsseltresor haben.

Übersicht

Azure Key Vault stellt automatisch Features zur Gewährleistung der Verfügbarkeit und zur Vermeidung von Datenverlusten zur Verfügung. Sichern Sie Geheimnisse nur dann, wenn eine wichtige geschäftliche Begründung vorliegt. Das Sichern von Geheimnissen in Ihrem Schlüsseltresor kann betriebliche Herausforderungen mit sich bringen, etwa im Zusammenhang mit der Verwaltung von mehreren Protokoll-, Berechtigungs- und Sicherungssätzen beim Ablauf oder bei der Rotation von Geheimnissen.

Key Vault gewährleistet die Verfügbarkeit in Notfallszenarien und führt automatisch ein Failover von Anforderungen auf ein Regionspaar aus, ohne dass ein Eingreifen des Benutzers erforderlich ist. Weitere Informationen finden Sie unter Azure Key Vault: Verfügbarkeit und Redundanz.

Wenn Sie Ihre Geheimnisse vor versehentlichem oder böswilligem Löschen schützen möchten, konfigurieren Sie für Ihren Schlüsseltresor die Funktionen zum Schutz vor vorläufigem und endgültigem Löschen. Weitere Informationen finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.

Einschränkungen

Wichtig

Key Vault unterstützt nicht die Möglichkeit, mehr als 500 frühere Versionen eines Schlüssels, Geheimnisses oder Zertifikatobjekts zu sichern. Der Versuch, einen Schlüssel, ein Geheimnis oder ein Zertifikatobjekt zu sichern, kann zu einem Fehler führen. Es ist nicht möglich, frühere Versionen eines Schlüssels, Geheimnisses oder Zertifikats zu löschen.

Key Vault bietet derzeit keine Möglichkeit, einen gesamten Schlüsseltresor in einem einzigen Vorgang und Schlüssel zu sichern, geheime Schlüssel und Zertifikate müssen einzeln gesichert werden.

Berücksichtigen Sie außerdem die folgenden Punkte:

  • Das Sichern von Geheimnissen mit mehreren Versionen kann zu Timeoutfehlern führen.
  • Bei der Sicherung wird eine Point-in-Time-Momentaufnahme erstellt. Geheimnisse werden während einer Sicherung unter Umständen erneuert, was zu einem Konflikt mit den Verschlüsselungsschlüsseln führt.
  • Wenn die Grenzwerte des Schlüsseltresordiensts für Anforderungen pro Sekunde überschritten werden, wird der Schlüsseltresor gedrosselt. Dies führt zu einem Fehler bei der Sicherung.

Überlegungen zum Entwurf

Wenn Sie ein Schlüsseltresorobjekt (Geheimnis, Schlüssel oder Zertifikat) sichern, wird das Objekt beim Sicherungsvorgang als verschlüsseltes Blob heruntergeladen. Dieses Blob kann außerhalb von Azure nicht entschlüsselt werden. Um verwendbare Daten aus diesem Blob zu erhalten, müssen Sie das Blob in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und derselben Azure-Geografie wiederherstellen.

Voraussetzungen

Zum Sichern eines Schlüsseltresorobjekts benötigen Sie Folgendes:

  • Mindestens Berechtigungen auf der Ebene „Mitwirkender“ für ein Azure-Abonnement
  • Einen primären Schlüsseltresor mit den zu sichernden Geheimnissen
  • Sekundärer Schlüsseltresor, in dem Geheimnisse wiederhergestellt werden

Sichern und Wiederherstellen über das Azure-Portal

Führen Sie die Schritte in diesem Abschnitt aus, um Objekte mithilfe des Azure-Portals zu sichern und wiederherzustellen.

Sichern

  1. Öffnen Sie das Azure-Portal.

  2. Wählen Sie Ihren Schlüsseltresor aus.

  3. Navigieren Sie zu dem Objekt (Geheimnis, Schlüssel oder Zertifikat), das Sie sichern möchten.

    Screenshot: Auswählen der Schlüsseleinstellung und eines Objekts in einem Schlüsseltresor

  4. Wählen Sie das Objekt aus.

  5. Wählen Sie Sicherung herunterladen aus.

    Screenshot: Auswählen der Schaltfläche „Sicherung herunterladen“ in einem Schlüsseltresor

  6. Wählen Sie Herunterladen aus.

    Screenshot: Auswählen der Schaltfläche „Herunterladen“ in einem Schlüsseltresor

  7. Speichern Sie das verschlüsselte Blob an einem sicheren Speicherort.

Restore

  1. Öffnen Sie das Azure-Portal.

  2. Wählen Sie Ihren Schlüsseltresor aus.

  3. Navigieren Sie zu dem Typ des Objekts (Geheimnis, Schlüssel oder Zertifikat), das Sie wiederherstellen möchten.

  4. Wählen Sie Sicherung wiederherstellen aus.

    Screenshot: Auswählen von „Sicherung wiederherstellen“ in einem Schlüsseltresor

  5. Navigieren Sie zu dem Speicherort, an dem Sie das verschlüsselte Blob gespeichert haben.

  6. Klicken Sie auf OK.

Sichern und Wiederherstellen über die Azure CLI oder über Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Nächste Schritte