Omówienie usuwania nietrwałego zarządzanego modułu HSM

Funkcja usuwania nietrwałego zarządzanego modułu HSM umożliwia odzyskiwanie usuniętych modułów HSM i kluczy. W szczególności ta funkcja zapewnia następujące zabezpieczenia:

• Po usunięciu modułu HSM lub klucza można go odzyskać przez konfigurowalny okres od 7 do 90 dni kalendarzowych. Okres przechowywania można ustawić podczas tworzenia modułu HSM. Jeśli nie określisz wartości, zostanie użyty domyślny okres przechowywania 90 dni. Ten okres daje użytkownikom wystarczająco dużo czasu, aby zauważyć przypadkowe usunięcie klucza lub moduł HSM i odpowiedzieć.
• Aby trwale usunąć klucz, użytkownicy muszą wykonać dwie akcje. Najpierw muszą usunąć klucz, który umieszcza go w stanie usunięcia nietrwałego. Po drugie, muszą przeczyścić klucz w stanie usunięcia nietrwałego. Operacja przeczyszczania wymaga roli zarządzanego oficera kryptograficznego HSM. Te dodatkowe zabezpieczenia zmniejszają ryzyko przypadkowego lub złośliwego usunięcia klucza lub modułu HSM przez użytkownika.

Zachowanie usuwania nietrwałego

Nie można wyłączyć usuwania nietrwałego dla zarządzanych zasobów modułu HSM.

Zasoby oznaczone jako usunięte są przechowywane przez określony okres. Istnieje również mechanizm odzyskiwania usuniętych modułów HSM lub kluczy, dzięki czemu można cofnąć usuwanie.

Domyślny okres przechowywania wynosi 90 dni. Podczas tworzenia zasobu HSM można ustawić interwał zasad przechowywania na wartość z 7 do 90 dni. Zasady przechowywania ochrony przed przeczyszczania używają tego samego interwału. Po ustawieniu zasad przechowywania nie można go zmienić.

Nie można ponownie użyć nazwy zasobu HSM, który został usunięty nietrwale do momentu zakończenia okresu przechowywania i przeczyszczania zasobu HSM (trwale usuniętego).

Ochrona przed przeczyszczaniem

Ochrona przed przeczyszczaniem jest opcjonalnym zachowaniem. Nie jest ona domyślnie włączona. Można ją włączyć przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Gdy ochrona przed przeczyszczaniem jest włączona, nie można przeczyścić magazynu ani klucza w stanie usunięcia, dopóki nie upłynie okres przechowywania. Nietrwałe moduły HSM i klucze mogą być nadal odzyskiwane, co gwarantuje, że zasady przechowywania będą obowiązywać.

Domyślny okres przechowywania wynosi 90 dni. Interwał zasad przechowywania można ustawić na wartość z 7 do 90 dni podczas tworzenia modułu HSM. Interwał zasad przechowywania można ustawić tylko podczas tworzenia modułu HSM. Nie można go zmienić później.

Zobacz Jak używać zarządzanego usuwania nietrwałego modułu HSM za pomocą interfejsu wiersza polecenia lub Jak używać zarządzanego usuwania nietrwałego modułu HSM za pomocą programu PowerShell.

Odzyskiwanie zarządzanego modułu HSM

Po usunięciu modułu HSM usługa tworzy zasób serwera proxy w subskrypcji, dodając wystarczającą ilość metadanych w celu włączenia odzyskiwania. Zasób serwera proxy jest przechowywanym obiektem. Jest ona dostępna w tej samej lokalizacji co usunięty moduł HSM.

Odzyskiwanie klucza

Po usunięciu klucza usługa umieści ją w stanie usuniętym, dzięki czemu będzie niedostępna dla wszystkich operacji. W tym stanie klucze mogą być wyświetlane, odzyskiwane lub czyszczone. Aby wyświetlić obiekty, użyj polecenia interfejsu wiersza polecenia az keyvault key list-deleted platformy Azure (opisanego w temacie Managed HSM soft-delete and purge protection with CLI) lub azure PowerShell parametr (opisany w temacie Managed HSM soft-delete and purge protection with PowerShell(Zarządzanie usuwaniem nietrwałym modułem HSM i przeczyszczanie za pomocą programu PowerShell-InRemovedState).

Po usunięciu klucza zarządzany moduł HSM zaplanuje usunięcie danych bazowych odpowiadających usuniętemu modułowi HSM lub kluczowi, które ma wystąpić po wstępnie określonym interwale przechowywania. Rekord DNS odpowiadający modułowi HSM jest również przechowywany w interwale przechowywania.

Okres przechowywania usuwania nietrwałego

Zasoby usunięte nietrwale są przechowywane przez określony czas: 90 dni. Podczas interwału przechowywania usuwania nietrwałego obowiązują następujące warunki:

• Wszystkie moduły HSM i klucze można wyświetlić w stanie usuwania nietrwałego dla subskrypcji. Możesz również uzyskać dostęp do informacji o usuwaniu i odzyskiwaniu.
• Tylko użytkownicy z rolą Współautor zarządzanego modułu HSM mogą wyświetlać listę usuniętych modułów HSM. Zalecamy utworzenie roli niestandardowej z tymi uprawnieniami do obsługi usuniętych magazynów.
• Nazwy zarządzanego modułu HSM muszą być unikatowe w danej lokalizacji. Podczas tworzenia klucza nie można użyć nazwy, jeśli moduł HSM zawiera klucz o tej nazwie w stanie usuniętym.
• Tylko użytkownicy z rolą Współautor zarządzanego modułu HSM mogą wyświetlać, wyświetlać, odzyskiwać i czyścić zarządzane moduły HSM.
• Tylko użytkownicy z rolą zarządzanego oficera kryptograficznego HSM mogą wyświetlać, wyświetlać, odzyskiwać i czyścić klucze.

Jeśli zarządzany moduł HSM lub klucz nie zostanie odzyskany, na końcu interwału przechowywania usługa wykonuje przeczyszczenie nietrwałego modułu HSM lub klucza. Nie można ponownie zaplanować usunięcia zasobów.

Implikacje dotyczące rozliczeń

Zarządzany moduł HSM to usługa z jedną dzierżawą. Podczas tworzenia zarządzanego modułu HSM usługa rezerwuje zasoby bazowe przydzielone do modułu HSM. Te zasoby pozostają przydzielone nawet wtedy, gdy moduł HSM jest w stanie usunięcia. Opłaty będą naliczane za moduł HSM w stanie usuniętym.

Następne kroki

W tych artykułach opisano główne scenariusze używania usuwania nietrwałego:

• Jak używać zarządzanego usuwania nietrwałego modułu HSM za pomocą programu PowerShell
• Jak używać zarządzanego usuwania nietrwałego modułu HSM za pomocą interfejsu wiersza polecenia platformy Azure