Gestione del ripristino di Azure Key Vault con protezione dall'eliminazione temporanea e dalla rimozione definitiva

Questo articolo illustra due funzionalità di ripristino di Azure Key Vault, protezione dall'eliminazione temporanea e la protezione dalla rimozione definitiva. Questo documento offre una panoramica di queste funzionalità e illustra come gestirle tramite il portale di Azure, l'interfaccia della riga di comando di Azure e Azure PowerShell.

Importante

Se per un insieme di credenziali delle chiavi non è abilitata la protezione per l'eliminazione temporanea, l'eliminazione di una chiave lo elimina definitivamente. I clienti sono fortemente invitati a attivare l'applicazione dell'eliminazione temporanea per gli insiemi di credenziali tramite Criteri di Azure.

Per altre informazioni su Key Vault, vedere:

Prerequisiti

Informazioni sulla protezione dall'eliminazione temporanea e dalla rimozione definitiva

La protezione dall'Eliminazione temporanea e dalla rimozione definitiva sono due funzionalità diverse del ripristino dell'insieme di credenziali delle chiavi.

L'eliminazione temporanea è progettata per impedire l'eliminazione accidentale dell'insieme di credenziali delle chiavi e delle chiavi, dei segreti e dei certificati archiviati all'interno dell'insieme di credenziali delle chiavi. Si pensi all'eliminazione temporanea come un cestino. Quando si elimina un insieme di credenziali delle chiavi o un oggetto key vault, rimane recuperabile per un periodo di conservazione configurabile dall'utente o per un valore predefinito di 90 giorni. Gli insiemi di credenziali delle chiavi nello stato di eliminazione temporanea possono anche essere eliminati definitivamente, consentendo di ricreare insiemi di credenziali delle chiavi e oggetti dell'insieme di credenziali delle chiavi con lo stesso nome. Sia il ripristino sia l'eliminazione di insiemi di credenziali delle chiavi e oggetti richiedono autorizzazioni dei criteri di accesso elevate. Dopo l'abilitazione dell'eliminazione temporanea, non sarà possibile disabilitarla.

È importante notare che i nomi dell'insieme di credenziali delle chiavi sono globalmente univoci, quindi non è possibile creare un insieme di credenziali delle chiavi con lo stesso nome di un insieme di credenziali delle chiavi nello stato eliminato temporaneamente. Analogamente, i nomi di chiavi, segreti e certificati sono univoci all'interno di un insieme di credenziali delle chiavi. Non è possibile creare un segreto, una chiave o un certificato con lo stesso nome di un altro nello stato eliminato temporaneamente.

La protezione dalla rimozione definitiva è stata progettata per impedire l'eliminazione dell'insieme di credenziali delle chiavi, di chiavi, segreti e certificati da parte di utenti malintenzionati interni. Si pensi a un cestino con un blocco basato sul tempo. È possibile ripristinare gli elementi in qualsiasi momento durante il periodo di conservazione configurabile. Non sarà possibile eliminare o rimuovere definitivamente un insieme di credenziali delle chiavi fino al termine del periodo di conservazione. Una volta trascorso il periodo di conservazione, l'insieme di credenziali delle chiavi o l'oggetto insieme di credenziali delle chiavi viene eliminato automaticamente.

Nota

La protezione dalla rimozione definitiva è stata progettata in modo che nessun ruolo amministratore o autorizzazione possa eseguire l'override, disabilitare o aggirare la protezione dalla rimozione definitiva. Quando la protezione dall'eliminazione è abilitata, non può essere disabilitata o sottoposta a override da altri utenti, incluso Microsoft. Ciò significa che è necessario ripristinare un insieme di credenziali delle chiavi eliminato o attendere che il periodo di conservazione sia trascorso prima di riutilizzare il nome dell'insieme di credenziali delle chiavi.

Per altre informazioni sull'eliminazione temporanea, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault

Verificare se l'eliminazione temporanea è abilitata in un insieme di credenziali delle chiavi e abilitare l'eliminazione temporanea

  1. Accedere al portale di Azure.
  2. Selezionare l'insieme di credenziali delle chiavi.
  3. Selezionare il pannello "Proprietà".
  4. Verificare se il pulsante di opzione accanto a Eliminazione temporanea è impostato su "Abilita ripristino".
  5. Se l'eliminazione temporanea non è abilitata nell'insieme di credenziali delle chiavi, selezionare il pulsante di opzione per abilitare l'eliminazione temporanea e selezionare "Salva".

In Proprietà l'eliminazione temporanea è evidenziata, come è il valore per abilitarlo.

Concedere l'accesso a un'entità servizio per rimuovere definitivamente e ripristinare i segreti eliminati

  1. Accedere al portale di Azure.
  2. Selezionare l'insieme di credenziali delle chiavi.
  3. Selezionare il pannello "Criteri di accesso".
  4. Nella tabella trovare la riga dell'entità di sicurezza a cui si vuole concedere l'accesso o aggiungere una nuova entità di sicurezza.
  5. Selezionare l'elenco a discesa per chiavi, certificati e segreti.
  6. Scorrere fino alla fine dell'elenco a discesa e selezionare "Ripristina" e "Ripulisci"
  7. Per eseguire la maggior parte delle operazioni, le entità di sicurezza richiedono anche la funzionalità "get" e "list".

Nel riquadro di spostamento sinistro i criteri di accesso sono evidenziati. In Criteri di accesso viene visualizzato l'elenco a discesa Posizioni segrete e quattro elementi sono selezionati: Recupera, Elenco, Ripristina e Ripulitura.

Elencare, ripristinare o rimuovere definitivamente un insieme di credenziali delle chiavi eliminato temporaneamente

  1. Accedere al portale di Azure.
  2. Selezionare la barra di ricerca nella parte superiore della pagina.
  3. Cercare il servizio "Key Vault". Non selezionare un singolo insieme di credenziali.
  4. Nella parte superiore della schermata selezionare l'opzione "Gestisci insiemi di credenziali eliminati"
  5. Viene aperto un riquadro di contesto sul lato destro dello schermo.
  6. Selezionare la propria sottoscrizione.
  7. Se l'insieme di credenziali delle chiavi è stato eliminato temporaneamente, viene visualizzato nel riquadro di contesto a destra.
  8. Se sono presenti troppi insiemi di credenziali, è possibile selezionare "Carica altro" nella parte inferiore del riquadro di contesto oppure usare l'interfaccia della riga di comando o PowerShell per ottenere i risultati.
  9. Dopo aver trovato il Key Vault che si desidera ripristinare o eliminare, selezionare la casella di controllo accanto.
  10. Selezionare l'opzione di ripristino nella parte inferiore del riquadro di contesto se si vuole ripristinare il key vault.
  11. Selezionare l'opzione ripulitura se si vuole eliminare definitivamente il Key Vault.

Negli insiemi di credenziali delle chiavi l'opzione Gestisci insiemi di credenziali eliminati è evidenziata.

In Gestisci insiemi di credenziali delle chiavi eliminati, l'unico insieme di credenziali delle chiavi elencato è evidenziato e selezionato e il pulsante Ripristina è evidenziato.

Elencare, ripristinare o rimuovere definitivamente segreti, chiavi e certificati eliminati temporaneamente

  1. Accedere al portale di Azure.
  2. Selezionare l'insieme di credenziali delle chiavi.
  3. Selezionare il pannello corrispondente al tipo di segreto che si vuole gestire (chiavi, segreti o certificati).
  4. Nella parte superiore della schermata selezionare "Gestisci eliminati (chiavi, segreti o certificati)
  5. Sul lato destro della schermata viene visualizzato un riquadro di contesto.
  6. Se il segreto, la chiave o il certificato non viene visualizzato nell'elenco, non si trova nello stato di eliminazione temporanea.
  7. Selezionare il segreto, la chiave o il certificato da gestire.
  8. Selezionare l'opzione per ripristinare o ripulire nella parte inferiore del riquadro di contesto.

In Chiavi l'opzione Gestisci chiavi eliminate è evidenziata.

Passaggi successivi