Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen

Wichtig

Wenn bei einem Schlüsseltresor kein Schutz für vorläufiges Löschen aktiviert ist, wird ein Schlüssel durch Löschen dauerhaft gelöscht. Kunden wird dringend empfohlen, das Erzwingen von vorläufigem Löschen für ihre Tresore über Azure Policy zu aktivieren.

Wichtig

Wenn ein Schlüsseltresor vorläufig gelöscht wird, werden Dienste gelöscht, die mit dem Schlüsseltresor integriert sind. Beispiele hierfür sind Azure RBAC-Rollenzuweisungen und Event Grid-Abonnements. Durch das Wiederherstellen eines vorläufig gelöschten Schlüsseltresors werden diese Dienste nicht wiederhergestellt. Sie müssen neu erstellt werden.

Das Key Vault-Feature für vorläufiges Löschen ermöglicht die Wiederherstellung der gelöschten Tresore und Tresorobjekte, z. B. Schlüssel, Geheimnisse und Zertifikate. Insbesondere geht es um die folgenden Szenarios. Diese Sicherheitsmaßnahmen bieten den folgenden Schutz:

  • Nachdem Geheimnisse, Schlüssel, Zertifikate oder Schlüsseltresore gelöscht wurden, können sie wiederhergestellt werden. Dies ist je nach Ihrer Konfiguration für einen Zeitraum von sieben bis 90 Kalendertagen möglich. Wenn keine Konfiguration angegeben ist, wird der Standardwiederherstellungszeitraum auf 90 Tage festgelegt, um Benutzern ausreichend Zeit zu geben, um einen versehentlichen geheimen Löschvorgang zu bemerken und darauf zu reagieren.
  • Zwei Vorgänge müssen durchgeführt werden, um ein Geheimnis dauerhaft zu löschen. Zuerst muss ein Benutzer das Objekt löschen. Dadurch weist es den Zustand einer vorläufigen Löschung auf. Dann muss ein Benutzer das Objekt im Zustand der vorläufigen Löschung endgültig löschen. Diese Schutzmaßnahmen verringern das Risiko, dass Benutzer*innen versehentlich oder böswillig ein Geheimnis oder einen Schlüsseltresor löschen.
  • Um einen geheimen Schlüssel oder ein Zertifikat im vorläufig gelöschten Zustand zu löschen, muss einem Sicherheitsprinzipal die Berechtigung zum Löschen des Vorgangs erteilt werden (z. B. mit der in Key Vault integrierten Rolle Key Vault Purge Operator).

Unterstützende Schnittstellen

Das Feature für vorläufiges Löschen ist über die REST-API, die Azure CLI, über Azure PowerShell und über die .NET/C#-Schnittstellen sowie über die ARM-Vorlagen verfügbar.

Szenarien

Azure-Schlüsseltresore sind nachverfolgte Ressourcen, die von Azure Resource Manager verwaltet werden. Azure Resource Manager gibt auch ein klar definiertes Verhalten für Löschvorgänge an, das erfordert, dass ein erfolgreicher DELETE-Vorgang dazu führt, dass auf die jeweilige Ressource nicht mehr zugegriffen werden kann. Bei der Funktion für vorläufiges Löschen geht es um die Wiederherstellung des gelöschten Objekts, unabhängig davon, ob der Löschvorgang versehentlich oder absichtlich erfolgte.

  1. In einem typischen Szenario löscht ein Benutzer versehentlich einen Schlüsseltresor oder ein Schlüsseltresorobjekt. Wenn dieser Schlüsseltresor oder dieses Schlüsseltresorobjekt für einen vorbestimmten Zeitraum wiederherstellbar war, kann der Benutzer den Löschvorgang rückgängig machen und seine Daten wiederherstellen.

  2. In einem anderen Szenario versuchen nicht autorisierte Benutzer*innen, einen Schlüsseltresor oder ein Schlüsseltresorobjekt (z. B. einen Schlüssel in einem Tresor) zu löschen, um eine Unterbrechung des Geschäftsbetriebs zu verursachen. Die Trennung der Löschung des Schlüsseltresors oder Key Vault-Objekts vom tatsächlichen Löschen der zugrunde liegenden Daten kann als Sicherheitsmaßnahme verwendet werden, indem z. B. die Berechtigungen für das Löschen von Daten auf eine andere vertrauenswürdige Rolle beschränkt werden. Dieser Ansatz erfordert effektiv ein Quorum für einen Vorgang, der andernfalls zu einem sofortigen Datenverlust führen könnte.

Verhalten des vorläufigen Löschens

Wenn vorläufiges Löschen aktiviert ist, werden Ressourcen, die als gelöscht gekennzeichnet wurden, für einen bestimmten Zeitraum (standardmäßig 90 Tage) aufbewahrt. Der Dienst bietet darüber hinaus einen Mechanismus zur Wiederherstellung des gelöschten Objekts, bei dem der Löschvorgang im Wesentlichen rückgängig gemacht wird.

Beim Erstellen eines neuen Schlüsseltresors ist vorläufiges Löschen standardmäßig aktiviert. Wenn vorläufiges Löschen in einem Schlüsseltresor aktiviert ist, kann es nicht mehr deaktiviert werden.

Das Aufbewahrungsrichtlinienintervall kann nur während der Erstellung des Schlüsseltresors konfiguriert und danach nicht geändert werden. Sie können ihn zwischen 7 und 90 Tagen einstellen, wobei 90 Tage die Standardeinstellung ist. Das gleiche Intervall gilt sowohl für vorläufiges Löschen als auch für die Aufbewahrungsrichtlinie für den Löschschutz.

Sie können den Namen eines vorläufig gelöschten Schlüsseltresors nicht wiederverwenden, bis die Aufbewahrungsfrist abgelaufen ist.

Bereinigungsschutz

Der Bereinigungsschutz ist ein optionales Key Vault-Verhalten und ist standardmäßig nicht aktiviert. Der Schutz vor dem endgültigen Löschen kann nur aktiviert werden, wenn das vorläufige Löschen aktiviert ist. Der Bereinigungsschutz wird empfohlen, wenn Schlüssel für die Verschlüsselung verwendet werden, um Datenverlust zu verhindern. Die meisten in Azure Key Vault integrierten Dienste, wie z. B. Azure Storage, erfordern einen Bereinigungsschutz, um Datenverlust zu vermeiden.

Bei aktiviertem Bereinigungsschutz kann ein Tresor oder ein Objekt im gelöschten Zustand erst nach Ablauf der Aufbewahrungsdauer endgültig gelöscht werden. Vorläufig gelöschte Tresore und Objekte können dennoch unter Einhaltung der Aufbewahrungsrichtlinie wiederhergestellt werden.

Der Standardaufbewahrungszeitraum beträgt 90 Tage. Über das Azure-Portal kann das Intervall der Aufbewahrungsrichtlinie jedoch auf einen Wert zwischen sieben und 90 Tagen festgelegt werden. Nachdem das Intervall für die Aufbewahrungsrichtlinie festgelegt und gespeichert wurde, kann es für diesen Tresor nicht mehr geändert werden.

Der Löschschutz kann mithilfe der Befehlszeilenschnittstelle, mit PowerShell oder das Portal aktiviert werden.

Erlaubtes endgültiges Löschen

Das endgültige Löschen eines Schlüsseltresors kann über einen POST-Vorgang für die Proxyressource erfolgen und erfordert spezielle Berechtigungen. Im Allgemeinen kann nur der Abonnementbesitzer oder ein Benutzer mit der RBAC-Rolle "Key Vault Purge Operator" einen Schlüsseltresor löschen. Der POST-Vorgang löst die sofortige Löschung dieses Tresors aus, die nicht rückgängig gemacht werden kann.

Es gelten folgende Ausnahmen:

  • Wenn das Azure-Abonnement ist als nicht löschbar markiert. In diesem Fall kann der eigentliche Löschvorgang nur vom Dienst ausgeführt werden, und dies erfolgt als geplanter Prozess.
  • Wenn das Argument --enable-purge-protection im Tresor selbst aktiviert wurde. In diesem Fall wartet Key Vault 7 bis 90 Tage ab der Markierung des ursprünglichen Geheimnisobjekts zum Löschen, bevor das Objekt vollständig gelöscht wird.

Informationen zu den erforderlichen Schritten finden Sie unter Verwenden des vorläufigen Löschens in Key Vault mit der CLI: Bereinigen eines Schlüsseltresors oder Verwenden des vorläufigen Löschens in Key Vault mit PowerShell: Bereinigen eines Schlüsseltresors.

Schlüsseltresor-Wiederherstellung

Beim Löschen eines Schlüsseltresors erstellt der Dienst eine Proxyressource unter dem Abonnement, wobei genügend Metadaten für die Wiederherstellung hinzugefügt werden. Die Proxyressource ist ein gespeichertes Objekt, das am gleichen Speicherort wie der gelöschte Schlüsseltresor verfügbar ist.

Schlüsseltresor-Objektwiederherstellung

Wenn ein Schlüsseltresorobjekt, z. B. ein Schlüssel, gelöscht wird, versetzt der Dienst das Objekt in den gelöschten Zustand, sodass es für Abrufvorgänge nicht mehr zugänglich ist. Während sich das Key Vault-Objekt in diesem Zustand befindet, kann es nur aufgelistet, wiederhergestellt oder zwangsweise/endgültig gelöscht werden. Verwenden Sie zur Anzeige der Objekte den Azure CLI-Befehl az keyvault key list-deleted (weitere Informationen hierzu finden Sie unter Verwenden des vorläufigen Löschens in Key Vault mit der CLI) oder den Azure PowerShell-Befehl Get-AzKeyVault -InRemovedState (weitere Informationen hierzu finden Sie unter Geheimnisse).

Gleichzeitig plant Key Vault die Ausführung des Löschens der zugrunde liegenden Daten, die dem gelöschten Schlüsseltresor oder Key Vault-Objekt entsprechen, nach einem zuvor festgelegten Aufbewahrungsintervall. Der dem Tresor entsprechende DNS-Eintrag wird ebenfalls während des Aufbewahrungsintervalls beibehalten.

Aufbewahrungszeitraum für vorläufig gelöschte Ressourcen

Vorläufig gelöschte Ressourcen werden für einen festgelegten Zeitraum von 90 Tagen beibehalten. Während des Aufbewahrungsintervalls für vorläufig gelöschte Ressourcen gilt Folgendes:

  • Sie können alle im vorläufig gelöschten Schlüsseltresore und Schlüsseltresorobjekte für Ihr Abonnement auflisten sowie auf die entsprechenden Lösch- und Wiederherstellungsinformationen zugreifen.
    • Nur Benutzer mit speziellen Berechtigungen können gelöschte Tresore auflisten. Wir empfehlen unseren Benutzern das Erstellen einer benutzerdefinierten Rolle mit diesen speziellen Berechtigungen für den Umgang mit gelöschten Tresoren.
  • Es kann kein Schlüsseltresor mit demselben Namen am gleichen Speicherort erstellt werden. Dementsprechend kann auch kein Key Vault-Objekt in einem bestimmten Tresor erstellt werden, wenn dieser Schlüsseltresor ein Objekt mit demselben Namen enthält, das sich in einem gelöschten Zustand befindet.
  • Nur Benutzer*innen mit erhöhten Rechten können einen Schlüsseltresor oder ein Schlüsseltresorobjekt durch Ausführen eines Wiederherstellungsbefehls für die entsprechende Proxyressource wiederherstellen.
    • Der Benutzer, ein Mitglied der benutzerdefinierten Rolle, der über die Berechtigung zum Erstellen eines Schlüsseltresors unter der Ressourcengruppe verfügt, kann den Tresor wiederherstellen.
  • Nur Benutzer*innen mit erhöhten Rechten können das Löschen eines Schlüsseltresors oder Schlüsseltresorobjekts durch Ausführen eines Löschbefehls für die entsprechende Proxyressource erzwingen.

Sofern ein Schlüsseltresor oder Key Vault-Objekt nicht wiederhergestellt wird, löscht der Dienst am Ende des Aufbewahrungsintervalls den vorläufig gelöschten Schlüsseltresor oder das vorläufig gelöschte Key Vault-Objekt und dessen Inhalt endgültig. Das Löschen von Ressourcen kann nicht neu geplant werden.

Hinweise zur Gebührenberechnung

Im Allgemeinen gilt: Wenn sich ein Objekt (ein Schlüsseltresor oder ein Schlüssel/Geheimnis) im gelöschten Zustand befindet, sind nur zwei Vorgänge möglich: Bereinigen und Wiederherstellen. Alle anderen Vorgänge sind nicht erfolgreich. Das Objekt ist zwar vorhanden, es können jedoch keine Vorgänge dafür ausgeführt werden. Dadurch findet keine Nutzung statt, und es erfolgt auch keine Abrechnung. Es gelten allerdings folgende Ausnahmen:

  • Bereinigungs- und Wiederherstellungsaktionen gelten als normale Schlüsseltresorvorgänge und werden entsprechend in Rechnung gestellt.
  • Wenn es sich bei dem Objekt um einen HSM-Schlüssel handelt, fällt pro Schlüsselversion und Monat die Gebühr für durch den HSM geschützte Schlüssel an, sofern in den letzten 30 Tagen eine Schlüsselversion verwendet wurde. Danach gilt: Da sich das Objekt im gelöschten Zustand befindet, können keine Vorgänge dafür ausgeführt werden, und es fallen somit auch keine Gebühren an.

Nächste Schritte

Die folgenden drei Handbücher stellen die primären Verwendungsszenarien für vorläufiges Löschen vor.