Proteção gerenciada contra exclusão e limpeza suave do HSM

Artigo
08/07/2024

Este artigo descreve dois recursos de recuperação do HSM gerenciado: proteção de exclusão suave e limpeza. Ele fornece uma visão geral desses recursos e demonstra como gerenciá-los usando a CLI do Azure e o Azure PowerShell.

Para obter mais informações, consulte Visão geral do HSM gerenciado.

Pré-requisitos

Uma subscrição do Azure. Crie um gratuitamente.
O módulo PowerShell.
Azure CLI 2.25.0 ou posterior. Execute az --version para determinar qual versão você tem. Se precisar de instalar ou atualizar, veja Install Azure CLI (Instalar o Azure CLI).
Um HSM gerenciado. Você pode criar um usando a CLI do Azure ou o Azure PowerShell.

Os usuários precisarão das seguintes permissões para executar operações em HSMs ou chaves excluídas por software:

Atribuição de função	Description
Colaborador HSM gerenciado	Listar, recuperar e limpar HSMs excluídos por software
Usuário de criptografia HSM gerenciado	Listar chaves excluídas por software
Diretor de criptografia HSM gerenciado	Limpe e recupere chaves apagadas por software

O que são soft-delete e purge protection?

A proteção contra exclusão suave e limpeza são recursos de recuperação.

Soft-delete é projetado para evitar a exclusão acidental do seu HSM e chaves. A exclusão suave funciona como uma lixeira. Quando você exclui um HSM ou uma chave, ele permanecerá recuperável por um período de retenção configurável ou por um período padrão de 90 dias. HSMs e chaves no estado de exclusão suave também podem ser limpos, o que significa que eles são excluídos permanentemente. A limpeza permite recriar HSMs e chaves com o mesmo nome do item limpo. Tanto a recuperação quanto a exclusão de HSMs e chaves exigem atribuições de função específicas. A exclusão suave não pode ser desativada.

Nota

Como os recursos subjacentes permanecem alocados ao seu HSM mesmo quando ele está em um estado excluído, o recurso HSM continuará a acumular cobranças por hora enquanto estiver nesse estado.

Os nomes de HSM gerenciados são globalmente exclusivos em cada ambiente de nuvem. Portanto, você não pode criar um HSM gerenciado com o mesmo nome de um que existe em um estado de exclusão suave. Da mesma forma, os nomes das chaves são exclusivos dentro de um HSM. Não é possível criar uma chave com o mesmo nome de uma que existe no estado soft-delete.

Para obter mais informações, consulte Visão geral da exclusão suave do HSM gerenciado.

A proteção contra limpeza foi projetada para impedir a exclusão de seus HSMs e chaves por um insider mal-intencionado. É como uma lixeira com um bloqueio baseado no tempo. Você pode recuperar itens a qualquer momento durante o período de retenção configurável. Você não poderá excluir ou limpar permanentemente um HSM ou uma chave até que o período de retenção termine. Quando o período de retenção terminar, o HSM ou a chave serão limpos automaticamente.

Nota

Nenhuma função ou permissão de administrador pode substituir, desativar ou contornar a proteção contra limpeza. Se a proteção contra limpeza estiver ativada, ela não poderá ser desabilitada ou substituída por ninguém, incluindo a Microsoft. Portanto, você deve recuperar um HSM excluído ou aguardar o período de retenção terminar antes de poder reutilizar o nome do HSM.

HSMs gerenciados (CLI)

Para verificar o status da proteção de exclusão suave e limpeza para um HSM gerenciado:

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}

Para excluir um HSM:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Essa ação é recuperável porque a exclusão suave está ativada por padrão.

Para listar todos os HSMs excluídos por software:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Para recuperar um HSM excluído suavemente:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Para limpar um HSM excluído suavemente:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Aviso

Esta operação excluirá permanentemente o seu HSM.

Para habilitar a proteção contra limpeza em um HSM:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Teclas (CLI)

Para excluir uma chave:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para listar chaves excluídas:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Para recuperar uma chave excluída:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para limpar uma chave excluída por software:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Aviso

Esta operação eliminará permanentemente a sua chave.

HSMs gerenciados (PowerShell)

Para verificar o status da proteção de exclusão suave e limpeza para um HSM gerenciado:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
Para excluir um HSM:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Essa ação é recuperável porque a exclusão suave está ativada por padrão.

Chaves (PowerShell)

Para excluir uma chave:

Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'

Para listar todas as chaves excluídas:

Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState

Para recuperar uma chave soft-deleted :

Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey

Para limpar uma chave excluída por software:
```
Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
```
Aviso

Esta operação eliminará permanentemente a sua chave.

Partilhar via