Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz

In diesem Artikel werden die beiden Wiederherstellungsfeatures vorläufiges Löschen und Löschschutz von Azure Key Vault behandelt. Dieses Dokument enthält eine Übersicht über diese Features und zeigt, wie Sie sie über das Azure-Portal, die Azure-Befehlszeilenschnittstelle und Azure PowerShell verwalten.

Wichtig

Wenn ein Schlüsseltresor keinen Schutz für vorläufiges Löschen aktiviert hat, wird ein Schlüssel durch Löschen dauerhaft gelöscht. Kunden wird dringend empfohlen, das Erzwingen für vorläufiges Löschen für ihre Tresore über Azure Policy zu aktivieren.

Weitere Informationen zu Key Vault finden Sie unter

Voraussetzungen

  • Azure-Abonnement: Kostenloses Azure-Konto

  • Azure PowerShell.

  • Azure-Befehlszeilenschnittstelle

  • Eine Key Vault-Instanz. Diese kann über das Azure-Portal, mithilfe der Azure CLI oder per Azure PowerShell erstellt werden.

  • Der Benutzer benötigt die folgenden Berechtigungen (auf Abonnementebene), um Vorgänge an vorläufig gelöschten Tresoren durchzuführen:

    Berechtigung BESCHREIBUNG
    Microsoft.KeyVault/locations/deletedVaults/read Dient zum Anzeigen der Eigenschaften eines vorläufig gelöschten Schlüsseltresors.
    Microsoft.KeyVault/locations/deletedVaults/purge/action Dient zum endgültigen Löschen eines vorläufig gelöschten Schlüsseltresors.
    Microsoft.KeyVault/locations/operationResults/read So überprüfen Sie den Bereinigungsstatus des Tresors
    Key Vault-Mitwirkender So stellen Sie vorläufig gelöschte Daten wieder her

Vorläufiges Löschen und Löschschutz

Vorläufiger Löschen und Löschschutz sind zwei verschiedene Key Vault-Wiederherstellungsfeatures.

Vorläufiges Löschen soll verhindern, dass Ihr Schlüsseltresor oder die in ihm gespeicherten Schlüssel, Geheimnisse und Zertifikate versehentlich gelöscht werden. Stellen Sie sich das vorläufige Löschen wie einen Papierkorb vor. Wenn Sie einen Schlüsseltresor oder ein Schlüsseltresorobjekt löschen, kann dieser oder dieses für eine vom Benutzer konfigurierbare Dauer (Aufbewahrungszeitraum, standardmäßig 90 Tage) wiederhergestellt werden. Schlüsseltresore im vorläufig gelöschten Zustand können auch gelöscht (endgültig gelöscht) werden, sodass Sie Schlüsseltresor und Schlüsseltresorobjekte mit demselben Namen neu erstellen können. Sowohl das Wiederherstellen als auch das Löschen von Schlüsseltresoren und -objekten erfordert erweiterte Zugriffsrichtlinienberechtigungen. Wenn das vorläufige Löschen aktiviert wurde, kann es nicht mehr deaktiviert werden.

Beachten Sie auch, dass Schlüsseltresornamen global eindeutig sind. Aus diesem Grund können Sie keinen Schlüsseltresor mit dem gleichen Namen wie ein vorläufig gelöschter Schlüsseltresor erstellen. Auch die Namen von Schlüsseln, Geheimnissen und Zertifikaten sind innerhalb eines Schlüsseltresors eindeutig. Sie können kein Geheimnis, keinen Schlüssel und kein Zertifikat mit demselben Namen wie ein anderes vorläufig gelöschtes Objekt erstellen.

Der Löschschutz soll das Löschen von Schlüsseltresoren, Schlüsseln, Geheimnissen und Zertifikaten durch böswillige interne Benutzer verhindern. Stellen Sie sich dieses Features als einen Papierkorb mit einem Zeitschloss vor. Sie können Elemente während des konfigurierbaren Aufbewahrungszeitraums jederzeit wiederherstellen. Sie können einen Schlüsseltresor erst dann dauerhaft löschen oder bereinigen, wenn der Aufbewahrungszeitraum abgelaufen ist. Nach Ablauf des Aufbewahrungszeitraums wird der Schlüsseltresor oder das Schlüsseltresorobjekt automatisch bereinigt.

Hinweis

Der Löschschutz ist so konzipiert, dass er von keiner Administratorrolle oder Berechtigung überschrieben, deaktiviert und umgangen werden kann. Wenn der Löschschutz aktiviert ist, kann er nicht mehr deaktiviert oder überschrieben werden, auch nicht von Microsoft. Dies bedeutet, dass Sie einen gelöschten Schlüsseltresor entweder wiederherstellen oder warten müssen, bis der Aufbewahrungszeitraum abläuft, bevor Sie den Schlüsseltresornamen wiederverwenden können.

Weitere Informationen zum vorläufigen Löschen finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.

Überprüfen, ob vorläufiges Löschen für einen Schlüsseltresor aktiviert ist, und Aktivieren des vorläufigen Löschens

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Wählen Sie das Blatt „Eigenschaften” aus.
  4. Überprüfen Sie, ob das Optionsfeld neben „Vorläufiges Löschen“ auf „Wiederherstellung dieses Tresors und der zugehörigen Objekte ermöglichen (empfohlen)“ festgelegt ist.
  5. Wenn für den Schlüsseltresor vorläufiges Löschen nicht aktiviert ist, wählen Sie das Optionsfeld aus, um das vorläufige Löschen zu aktivieren, und wählen Sie dann „Speichern“ aus.

Für Eigenschaften ist das vorläufige Löschen hervorgehoben, so wie auch der Wert, um es zu aktivieren.

Gewähren des Zugriffs auf einen Dienstprinzipal zum Bereinigen und Wiederherstellen gelöschter Geheimnisse

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Wählen Sie das Blatt „Zugriffsrichtlinie“ aus.
  4. Suchen Sie in der Tabelle die Zeile des Sicherheitsprinzipals, dem Sie den Zugriff gewähren möchten (oder fügen Sie einen neuen Sicherheitsprinzipal hinzu).
  5. Wählen Sie das Dropdownmenü für Schlüssel, Zertifikate und Geheimnisse aus.
  6. Scrollen Sie im Dropdownmenü ganz nach unten, und wählen Sie dann „Wiederherstellen“ und „Bereinigen“ aus.
  7. Sicherheitsprinzipale benötigen für die meisten Vorgänge auch die Funktionen „Abrufen” und „Auflisten”.

Im linken Navigationsbereich sind die Richtlinien für den Zugriff hervorgehoben. Für die Zugriffsrichtlinien wird die Dropdownliste für geheime Positionen angezeigt und es sind vier Einträge ausgewählt: Abrufen, Auflisten, Wiederherstellen und Bereinigen.

Auflisten, Wiederherstellen oder Bereinigen vorläufig gelöschter Schlüsseltresore

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie oben auf der Seite die Suchleiste aus.
  3. Suchen Sie den „Key Vault“-Dienst. Klicken Sie nicht auf einen bestimmten Schlüsseltresor.
  4. Wählen Sie oben auf dem Bildschirm auf die Option „Gelöschte Tresore verwalten“ aus.
  5. Auf der rechten Seite des Bildschirms wird ein Kontextbereich geöffnet.
  6. Wählen Sie Ihr Abonnement aus.
  7. Wenn Ihr Schlüsseltresor vorläufig gelöscht wurde, wird er im Kontextbereich auf der rechten Seite angezeigt.
  8. Wenn zu viele Tresore angezeigt werden, wählen Sie unten im Kontextbereich „Weitere laden“ aus, oder rufen Sie die Ergebnisse über die Befehlszeilenschnittstelle oder PowerShell ab.
  9. Wenn Sie den Tresor gefunden haben, den Sie wiederherstellen oder bereinigen möchten, aktivieren Sie die Checkbox daneben.
  10. Wählen Sie die Option „Wiederherstellen“ am unteren Rand des Kontextbereichs aus, wenn Sie den Schlüsseltresor wiederherstellen möchten.
  11. Wählen Sie die Option „Bereinigen“ aus, wenn Sie den Schlüsseltresor dauerhaft löschen möchten.

Für Schlüsseltresore ist die Option zum Verwalten gelöschter Tresore hervorgehoben.

Für „Gelöschte Schlüsseltresore verwalten“ ist der einzige aufgeführte Schlüsseltresor hervorgehoben und ausgewählt. Zudem ist die Schaltfläche „Wiederherstellen“ hervorgehoben.

Auflisten, Wiederherstellen oder Bereinigen vorläufig gelöschter Geheimnisse, Schlüssel und Zertifikate

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Wählen Sie das Blatt des Geheimnistyps aus, den Sie verwalten möchten (Schlüssel, Geheimnisse oder Zertifikate).
  4. Wählen Sie oben auf dem Bildschirm „Gelöschte Schlüssel (Geheimnisse, Zertifikate) verwalten“ aus.
  5. Auf der rechten Seite des Bildschirms wird ein Kontextbereich angezeigt.
  6. Wenn das Geheimnis, der Schlüssel oder das Zertifikat in der Liste nicht angezeigt wird, wurde es bzw. er nicht vorläufig gelöscht.
  7. Wählen Sie das Geheimnis, den Schlüssel oder das Zertifikat aus, den oder das Sie verwalten möchten.
  8. Wählen Sie unten im Kontextbereich eine der Optionen „Wiederherstellen“ oder „Bereinigen“ aus.

Für „Schlüssel“ ist die Option „Gelöschte Schlüssel verwalten“ hervorgehoben.

Nächste Schritte