Gerenciamento de recuperação do Azure Key Vault com proteção de exclusão e limpeza suave

Artigo
10/04/2024

Este artigo aborda dois recursos de recuperação do Cofre de Chaves do Azure, exclusão suave e proteção contra limpeza. Este documento fornece uma visão geral desses recursos e mostra como gerenciá-los por meio do portal do Azure, da CLI do Azure e do Azure PowerShell.

Importante

Se um cofre de chaves não tiver a proteção de exclusão suave habilitada, excluir uma chave a excluirá permanentemente. Os clientes são fortemente incentivados a ativar a imposição de exclusão suave para seus cofres por meio da Política do Azure.

Para obter mais informações sobre o Cofre da Chave, consulte

Pré-requisitos

Uma subscrição do Azure - crie uma gratuitamente
Azure PowerShell.
CLI do Azure
Um Cofre da Chave - você pode criar um usando o portal do Azure, CLI do Azure ou o Azure PowerShell

O usuário precisa das seguintes permissões (no nível de assinatura) para executar operações em cofres excluídos por software:

Permissão	Description
Microsoft.KeyVault/locations/deletedVaults/read	Exibir as propriedades de um cofre de chave excluído suavemente
Microsoft.KeyVault/locations/deletedVaults/purge/action	Limpar um cofre de chaves apagado suavemente
Microsoft.KeyVault/locations/operationResults/read	Para verificar o estado de limpeza do cofre
Contribuidor do Key Vault	Para recuperar cofre excluído por software

O que são soft-delete e purge protection

A proteção contra exclusão suave e limpeza são dois recursos diferentes de recuperação do cofre de chaves.

A exclusão suave foi projetada para evitar a exclusão acidental do cofre de chaves e chaves, segredos e certificados armazenados dentro do cofre de chaves. Pense em soft-delete como uma lixeira. Quando você exclui um cofre de chaves ou um objeto de cofre de chaves, ele permanece recuperável por um período de retenção configurável pelo usuário ou um padrão de 90 dias. Os cofres de chaves no estado de exclusão suave também podem ser limpos (excluídos permanentemente), permitindo que você recrie cofres de chaves e objetos de cofre de chaves com o mesmo nome. Tanto a recuperação quanto a exclusão de cofres de chaves e objetos exigem permissões de política de acesso elevadas. Uma vez que a exclusão suave tenha sido ativada, ela não poderá ser desativada.

É importante notar que os nomes dos cofres de chaves são globalmente exclusivos, portanto, você não pode criar um cofre de chaves com o mesmo nome de um cofre de chaves no estado de exclusão suave. Da mesma forma, os nomes de chaves, segredos e certificados são exclusivos dentro de um cofre de chaves. Não é possível criar um segredo, chave ou certificado com o mesmo nome de outro no estado de exclusão suave.

A proteção contra limpeza foi projetada para impedir a exclusão do cofre de chaves, chaves, segredos e certificados por um insider mal-intencionado. Pense nisso como uma lixeira com um bloqueio baseado no tempo. Você pode recuperar itens a qualquer momento durante o período de retenção configurável. Você não poderá excluir ou limpar permanentemente um cofre de chaves até que o período de retenção termine. Uma vez decorrido o período de retenção, o objeto do cofre da chave ou do cofre da chave é limpo automaticamente.

Nota

A Proteção contra Limpeza foi projetada para que nenhuma função ou permissão de administrador possa substituir, desabilitar ou contornar a proteção contra limpeza. Quando a proteção contra limpeza está ativada, não pode ser desativada ou substituída por ninguém, incluindo a Microsoft. Isto significa que tem de recuperar um cofre de chaves eliminado ou aguardar que o período de retenção termine antes de reutilizar o nome do cofre de chaves.

Para obter mais informações sobre a exclusão suave, consulte Visão geral da exclusão suave do Azure Key Vault

Verifique se a exclusão suave está habilitada em um cofre de chaves e habilite a exclusão suave

Inicie sessão no portal do Azure.
Selecione o cofre das chaves.
Selecione a folha "Propriedades".
Verifique se o botão de opção ao lado de soft-delete está definido como "Enable Recovery".
Se a exclusão suave não estiver habilitada no cofre de chaves, selecione o botão de opção para ativar a exclusão suave e selecione "Salvar".

Em Propriedades, Soft-delete é realçado, assim como o valor para habilitá-lo.

Conceder acesso a uma entidade de serviço para limpar e recuperar segredos excluídos

Inicie sessão no portal do Azure.
Selecione o cofre das chaves.
Selecione a folha "Política de acesso".
Na tabela, localize a linha da entidade de segurança à qual você deseja conceder acesso (ou adicione uma nova entidade de segurança).
Selecione a lista suspensa para chaves, certificados e segredos.
Role até a parte inferior da lista suspensa e selecione "Recuperar" e "Limpar"
As entidades de segurança também precisam das funcionalidades "get" e "list" para executar a maioria das operações.

No painel de navegação esquerdo, as políticas do Access são realçadas. Nas políticas do Access, a lista suspensa Posições secretas é mostrada e quatro itens são selecionados: Obter, Listar, Recuperar e Limpar.

Listar, recuperar ou limpar um cofre de chaves excluído por software

Inicie sessão no portal do Azure.
Selecione a barra de pesquisa na parte superior da página.
Procure o serviço "Cofre de Chaves". Não selecione um cofre de chaves individual.
Na parte superior do ecrã, selecione a opção "Gerir cofres eliminados"
Um painel de contexto é aberto no lado direito da tela.
Selecione a sua subscrição.
Se o cofre de chaves tiver sido excluído suavemente, ele aparecerá no painel de contexto à direita.
Se houver muitos cofres, você pode selecionar "Carregar mais" na parte inferior do painel de contexto ou usar a CLI ou o PowerShell para obter os resultados.
Depois de encontrar o cofre que deseja recuperar ou limpar, marque a caixa de seleção ao lado dele.
Selecione a opção Recuperar na parte inferior do painel de contexto se pretender recuperar o cofre de chaves.
Selecione a opção de limpeza se quiser excluir permanentemente o cofre de chaves.

Nos cofres de chaves, a opção Gerenciar cofres excluídos é realçada.

Em Gerenciar cofres de chaves excluídos, o único cofre de chaves listado é realçado e selecionado, e o botão Recuperar é realçado.

Listar, recuperar ou limpar segredos, chaves e certificados excluídos por software

Inicie sessão no portal do Azure.
Selecione o cofre das chaves.
Selecione a folha correspondente ao tipo de segredo que você deseja gerenciar (chaves, segredos ou certificados).
Na parte superior da tela, selecione "Gerenciar excluídos (chaves, segredos ou certificados)
Um painel de contexto aparece no lado direito da tela.
Se o seu segredo, chave ou certificado não aparecer na lista, ele não está no estado de exclusão suave.
Selecione o segredo, a chave ou o certificado que deseja gerenciar.
Selecione a opção para recuperar ou limpar na parte inferior do painel de contexto.

Em Chaves, a opção Gerenciar chaves excluídas é realçada.

Cofre da Chave (CLI)

Verificar se um cofre de chaves tem a exclusão suave habilitada

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Ativar soft-delete no cofre de chaves

Todos os novos cofres de chaves têm exclusão suave habilitada por padrão. Se você tiver atualmente um cofre de chaves que não tenha a exclusão suave habilitada, use o seguinte comando para habilitar a exclusão suave.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```

Excluir cofre de chaves (recuperável se a exclusão suave estiver ativada)

az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Listar todos os cofres de chaves excluídos por software

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Recupere o cofre de chaves apagado por software

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Limpe o cofre de chaves excluído suavemente (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE O COFRE DAS CHAVES)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Ativar a proteção contra limpeza no cofre de chaves

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certificados (CLI)

Conceder acesso para limpar e recuperar certificados

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Excluir certificado

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Listar certificados excluídos

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar certificado excluído

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Limpar certificado apagado suavemente (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE O SEU CERTIFICADO)

az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Teclas (CLI)

Conceder acesso para limpar e recuperar chaves

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Tecla Delete

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Listar chaves excluídas

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar chave excluída

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Purge soft-deleted chave (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE A SUA CHAVE)

az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Segredos (CLI)

Conceder acesso para limpar e recuperar segredos

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Excluir segredo

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Listar segredos excluídos

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Recuperar segredo apagado

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Limpar segredo apagado suavemente (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE O SEU SEGREDO)

az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Cofre da Chave (PowerShell)

Verificar se um cofre de chaves tem a exclusão suave habilitada
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Excluir cofre de chaves

Remove-AzKeyVault -VaultName 'ContosoVault'

Listar todos os cofres de chaves excluídos por software
```
Get-AzKeyVault -InRemovedState
```

Recupere o cofre de chaves apagado por software

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Limpe o cofre de chaves excluído suavemente (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE O COFRE DAS CHAVES)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Ativar a proteção contra limpeza no cofre de chaves

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certificados (PowerShell)

Conceder permissões para recuperar e limpar certificados

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Excluir um certificado

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Listar todos os certificados excluídos em um cofre de chaves

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Recuperar um certificado no estado excluído

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Limpe um certificado excluído suavemente (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE O SEU CERTIFICADO)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Chaves (PowerShell)

Conceder permissões para recuperar e limpar chaves

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Eliminar uma chave

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Listar todas as chaves excluídas em um cofre de chaves

Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState

Para recuperar uma chave apagada suavemente

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Limpe uma chave apagada suavemente (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE A SUA CHAVE)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Segredos (PowerShell)

Conceder permissões para recuperar e limpar segredos

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Excluir um segredo chamado SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Listar todos os segredos excluídos em um cofre de chaves

Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState

Recuperar um segredo no estado excluído

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Limpar um segredo no estado excluído (AVISO! ESTA OPERAÇÃO ELIMINARÁ PERMANENTEMENTE A SUA CHAVE)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

Partilhar via