Panoramica dell'eliminazione temporanea di Azure Key Vault

Importante

Se per un insieme di credenziali delle chiavi non è abilitata la protezione per l'eliminazione temporanea, l'eliminazione di una chiave lo elimina definitivamente. I clienti sono fortemente invitati a attivare l'applicazione dell'eliminazione temporanea per gli insiemi di credenziali tramite Criteri di Azure.

Importante

Quando un Key Vault viene eliminato temporaneamente, i servizi integrati con il Key Vault verranno eliminati. Ad esempio: assegnazioni di ruoli controllo degli accessi in base al ruolo di Azure e sottoscrizioni di Griglia di eventi. Il ripristino di un Key Vault eliminato temporaneamente non consente di ripristinare questi servizi, pertanto sarà necessario ricrearli.

La funzionalità di eliminazione temporanea di Key Vault consente il ripristino degli insiemi e degli oggetti degli insiemi di credenziali delle chiavi eliminati, ad esempio chiavi, segreti, certificati, noti come eliminazione temporanea. In particolare, vengono trattati i seguenti scenari collegati a questa misura di sicurezza:

  • Una volta eliminato un segreto, una chiave, un certificato o un insieme di credenziali delle chiavi, può essere recuperato per un periodo che può essere impostato tra 7 e 90 giorni di calendario. Se non viene specificata una configurazione, il periodo di recupero predefinito è impostato su 90 giorni per fornire agli utenti tempo sufficiente per notare l'eliminazione accidentale di un segreto e intervenire.
  • Devono essere eseguite due operazioni per eliminare definitivamente un segreto. Prima di tutto un utente deve eliminare l'oggetto, cosa che lo inserisce nello stato di eliminazione temporanea. In secondo luogo, un utente deve eliminare l'oggetto nello stato eliminato temporanea. Queste ulteriori protezioni riducono il rischio che un utente elimini accidentalmente o dannosamente un segreto o un insieme di credenziali delle chiavi.
  • Per eliminare un segreto, una chiave o un certificato nello stato di eliminazione temporanea, è necessario concedere a un'entità di sicurezza l'autorizzazione per l'operazione di "eliminazione" (ad esempio, con il ruolo predefinito di Key Vault"Operatore di eliminazione di Key Vault").

Supporto di interfacce

La funzionalità di eliminazione temporanea è disponibile tramite l’API REST, l'interfaccia della riga di comando di Azure, Azure PowerShell e le interfacce .NET/C#, nonché modelli di ARM.

Scenari

Gli insiemi di credenziali delle chiavi di Azure sono risorse tracciate, gestite da Azure Resource Manager. Azure Resource Manager specifica anche un comportamento ben definito per l'eliminazione, in base al quale al termine dell'operazione di eliminazione la risorsa non deve essere più accessibile. Con la funzionalità di eliminazione temporanea viene consentito invece il ripristino dell'oggetto eliminato, indipendentemente dal fatto che l'eliminazione sia stata intenzionale o accidentale.

  1. In uno scenario tipico, un utente elimina accidentalmente un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi. Se l'insieme di credenziali delle chiavi o l'oggetto dell'insieme era recuperabile entro un periodo predeterminato, l'utente può annullare l'eliminazione e ripristinare i dati.

  2. In uno scenario diverso, un utente non autorizzato può tentare di eliminare un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi, ad esempio una chiave in un insieme di credenziali, per provocare un'interruzione delle attività. In questo caso, separare l'eliminazione dell'insieme di credenziali delle chiavi o dell'oggetto dell'insieme di credenziali delle chiavi dall'eliminazione effettiva dei dati sottostanti può rappresentare una misura di sicurezza, poiché consente, ad esempio, di limitare le autorizzazioni di eliminazione dei dati solo a un ruolo attendibile. Con questo approccio, infatti, è necessario un quorum per un'operazione che, altrimenti, determinerebbe una perdita immediata di dati.

Comportamento della funzione di eliminazione temporanea

Quando l'eliminazione temporanea è abilitata, le risorse contrassegnate come eliminate vengono conservate per un periodo specificato (90 giorni per impostazione predefinita). Il servizio offre anche un meccanismo per il ripristino dell'oggetto eliminato, essenzialmente annullando l'operazione di eliminazione.

Quando si crea un nuovo insieme di credenziali delle chiavi, l'eliminazione temporanea è attivata per impostazione predefinita. Una volta abilitata l'eliminazione temporanea in un insieme di credenziali delle chiavi, non può essere disabilitata.

L'intervallo dei criteri di conservazione può essere configurato solo durante la creazione dell'insieme di credenziali delle chiavi e non può essere modificato in seguito. È possibile impostarlo da 7 a 90 giorni, con 90 giorni come impostazione predefinita. Lo stesso intervallo si applica sia all'eliminazione temporanea che ai criteri di conservazione della protezione dall'eliminazione.

Non è possibile riutilizzare il nome di un insieme di credenziali delle chiavi eliminato temporaneamente fino alla scadenza del periodo di conservazione.

Protezione dalla rimozione definitiva

La protezione dalla rimozione è un comportamento facoltativo di Key Vault e non è abilitato per impostazione predefinita. La protezione dalla rimozione definitiva può essere abilitata solo dopo l'abilitazione dell'eliminazione temporanea. La protezione dall'eliminazione è consigliata quando si usano chiavi per la crittografia per evitare la perdita di dati. La maggior parte dei servizi di Azure che si integrano con Azure Key Vault, ad esempio Archiviazione, richiede la protezione dall'eliminazione per evitare la perdita di dati.

Quando la protezione dell'eliminazione è attivata, non è possibile eliminare un insieme di credenziali o un oggetto nello stato eliminato finché non viene superato il periodo di conservazione. Gli insiemi di credenziali e gli oggetti eliminati temporaneamente possono comunque essere recuperati, assicurandosi che i criteri di conservazione siano seguiti.

Il periodo di conservazione predefinito è di 90 giorni, ma è possibile impostare l'intervallo dei criteri di conservazione su un valore compreso tra 7 e 90 giorni attraverso il portale di Azure. Dopo aver impostato e salvato l'intervallo dei criteri di conservazione, non può essere modificato per tale insieme di credenziali.

La protezione dall'eliminazione può essere attivata tramite interfaccia della riga di comando, PowerShell o Portal.

Ripulitura consentita

L'eliminazione permanente di un insieme di credenziali delle chiavi non è possibile tramite un'operazione POST sulla risorsa proxy e richiede privilegi speciali. In generale, solo il proprietario della sottoscrizione o un utente con il ruolo controllo degli accessi in base al ruolo RBAC "Operatore di eliminazione di Key Vault" può eliminare un insieme di credenziali delle chiavi. L'operazione POST attiva l'eliminazione immediata e irreversibile dell'insieme di credenziali delle chiavi.

Le eccezioni sono:

  • Quando la sottoscrizione di Azure è contrassegnata come non cancellabile. In questo caso solo il servizio può eseguire l'eliminazione effettiva, sotto forma di processo pianificato.
  • Quando l'argomento --enable-purge-protection è abilitato nell'insieme di credenziali stesso. In questo caso, Key Vault attenderà da 7 a 90 giorni da quando l'oggetto segreto originale è stato contrassegnato per l'eliminazione definitiva dell'oggetto.

Per la procedura, vedere Come usare l'eliminazione temporanea di Key Vault con l'interfaccia della riga di comando: rimozione di un insieme di credenziali delle chiavi o Come usare l'eliminazione temporanea di Key Vault con PowerShell: rimozione di un insieme di credenziali delle chiavi.

Recupero di un insieme di credenziali delle chiavi

In seguito all'eliminazione di un insieme di credenziali delle chiavi, il servizio crea una risorsa proxy nella sottoscrizione, a cui aggiungerà metadati sufficienti per il ripristino. La risorsa proxy è un oggetto archiviato disponibile nello stesso percorso dell'insieme di credenziali delle chiavi eliminato.

Recupero di un oggetto di un insieme di credenziali delle chiavi

Quando un insieme di credenziali delle chiavi, ad esempio una chiave, viene eliminato, il servizio imposta l'oggetto su uno stato eliminato, rendendolo inaccessibile per qualsiasi operazione di recupero. In questo stato l'oggetto dell'insieme di credenziali delle chiavi può essere solo elencato, recuperato o eliminato in modo forzato o permanente. Per visualizzare gli oggetti, usare il comando az keyvault key list-deleted dell'interfaccia della riga di comando di Azure (come descritto in Come usare l'eliminazione temporanea di Key Vault con l'interfaccia della riga di comando) o il comando Get-AzKeyVault -InRemovedState di Azure PowerShell (come descritto in Come usare l'eliminazione temporanea di Key Vault con PowerShell).

Al tempo stesso, Key Vault pianificherà l'esecuzione dell'eliminazione dei dati sottostanti, corrispondenti all'insieme di credenziali delle chiavi o all'oggetto dell'insieme di credenziali delle chiavi eliminato, dopo un intervallo di memorizzazione predeterminato. Durante l'intervallo di memorizzazione viene conservato anche il record DNS corrispondente all'insieme di credenziali delle chiavi.

Periodo di memorizzazione dell'eliminazione temporanea

Le risorse eliminate in modo temporaneo vengono conservate per un periodo di tempo prestabilito di 90 giorni. Durante il periodo di memorizzazione dell'eliminazione temporanea tenere presente quanto segue:

  • È possibile elencare tutti gli insiemi di credenziali delle chiavi e gli oggetti di insiemi di credenziali delle chiavi in stato di eliminazione temporanea nella sottoscrizione, nonché accedere alle informazioni di eliminazione e recupero disponibili su di essi.
    • Gli insiemi di credenziali delle chiavi eliminati possono essere elencati solo da utenti con autorizzazioni speciali. Per la gestione degli insiemi di credenziali delle chiavi eliminati è consigliabile creare un ruolo personalizzato a cui assegnare queste autorizzazioni speciali.
  • Non è possibile creare nello stesso percorso due insiemi di credenziali delle chiavi con lo stesso nome. Analogamente, non è possibile creare un insieme di credenziali delle chiavi in un determinato insieme di credenziali se l'insieme di credenziali delle chiavi contiene un oggetto con lo stesso nome impostato sullo stato eliminato.
  • Solo un utente con privilegi specifici può recuperare un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi eseguendo un comando di ripristino sulla risorsa proxy corrispondente.
    • Può recuperare l'insieme di credenziali delle chiavi l'utente che, membro del ruolo personalizzato, dispone dei privilegi necessari per creare un insieme di credenziali delle chiavi nel gruppo di risorse.
  • Solo un utente con privilegi specifici può eliminare in modo forzato un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi eseguendo un comando di eliminazione sulla risorsa proxy corrispondente.

Se l'insieme di credenziali delle chiavi o l'oggetto dell'insieme di credenziali delle chiavi non viene recuperato, alla fine dell'intervallo di memorizzazione il servizio esegue un'operazione di ripulitura sull'insieme di credenziali delle chiavi o sull'oggetto dell'insieme eliminato in modo temporaneo, nonché sui relativi contenuti. È possibile che l'eliminazione della risorsa non venga ripianificata.

Implicazioni relative alla fatturazione

In generale, quando un oggetto (un insieme di credenziali delle chiavi o una chiave o una chiave privata) è in stato di eliminazione, esistono solo due operazioni possibili: “Ripulisci” e “Ripristina”. Tutte le altre operazioni avranno esito negativo. Pertanto, anche se l'oggetto esiste, non potrà essere eseguita alcuna operazioni e non sarà possibile utilizzarlo,quindi non vi sarà alcuna fatturazione. Tuttavia, sono presenti le seguenti eccezioni:

  • le operazioni “Ripulisci“ e '”Ripristina'” verranno considerate come normali operazioni di insieme di credenziali delle chiavi e verranno fatturate.
  • Se l'oggetto è una chiave HSM, l'addebito “Chiave protetta dal modulo di protezione hardware” verrà applicato per ogni versione della chiave per ogni mese se è stata utilizzata una versione della chiave negli ultimi 30 giorni. In seguito, poiché l'oggetto è in stato di eliminazione, non sarà possibile eseguire alcune operazioni contrastanti, pertanto non verrà applicato alcun costo.

Passaggi successivi

Le tre guide seguenti descrivono gli scenari principali di utilizzo dell'eliminazione temporanea.