Управление восстановлением Azure Key Vault с обратимым удалением и защитой от очистки

В этой статье рассматриваются две функции восстановления Azure Key Vault: обратимое удаление и защита от очистки. В этом документе представлен обзор этих функций и показано, как управлять ими с помощью портала Azure, Azure CLI и Azure PowerShell.

Внимание

Если в хранилище ключей не включена защита обратимого удаления, удаление ключа удаляется окончательно. Клиентам настоятельно рекомендуется включить принудительное применение обратимого удаления для своих хранилищ через Политика Azure.

Для получения дополнительных сведений о Key Vault см.

Необходимые компоненты

  • Подписка Azure — создайте бесплатную учетную запись.

  • Azure PowerShell.

  • Azure CLI

  • Хранилище Key Vault можно создать с помощью портала Azure, Azure CLI или Azure PowerShell.

  • Пользователю требуются следующие разрешения (на уровне подписки) для выполнения операций с обратимо удаленными хранилищами:

    Разрешение Description
    Microsoft.KeyVault/locations/deletedVaults/read Отображает свойства обратимо удаленного Key Vault.
    Microsoft.KeyVault/locations/deletedVaults/purge/action Очищает обратимо удаленное хранилище Key Vault.
    Microsoft.KeyVault/locations/operationResults/read Проверка состояния очистки хранилища
    Участник Key Vault Восстановление обратимо удаленного хранилища

Понимание обратимого удаления и защиты от очистки

Обратимое удаление и защита от очистки – это две разные функции восстановления хранилища ключей.

Обратимое удаление предназначено для предотвращения случайного удаления хранилища ключей, а также ключей, секретов и сертификатов, хранящихся в хранилище ключей. Обратимое удаление по принципу работы подобно корзине. При удалении хранилища ключей или объекта хранилища ключей он остается доступным для настраиваемого пользователем периода хранения или по умолчанию 90 дней. Хранилища ключей в обратимом удаленном состоянии также можно очистить (безвозвратно удалить), что позволяет воссоздать хранилища ключей и объекты хранилища ключей с тем же именем. Как для восстановления, так и для удаления хранилищ ключей и объектов требуются разрешения политики расширенного доступа. После включения обратимого удаления его отключение невозможно.

Важно отметить, что имена хранилищ ключей глобально уникальны, поэтому вы не можете создать хранилище ключей с таким же именем, как хранилище ключей в обратимом удаленном состоянии. Точно так же имена ключей, секретов и сертификатов уникальны в пределах хранилища ключей. Вы не можете создать секрет, ключ или сертификат с тем же именем, что и другой в обратимом удаленном состоянии.

Защита от очистки предназначена для предотвращения удаления хранилища ключей, ключей, секретов и сертификатов внутренним злоумышленником. Подумайте об этом как корзине с блокировкой на основе времени. Можно восстановить элементы в любой момент в течение настраиваемого периода хранения. Не удастся окончательно удалить или очистить хранилище ключей до истечения периода хранения. После истечения периода хранения объект хранилища ключей или хранилища ключей очищается автоматически.

Примечание.

Защита от очистки разработана таким образом, что никакая роль или разрешение администратора не может переопределять, отключать или обходить защиту от очистки. Если защита от очистки включена, она не может быть отключена или переопределена любым пользователем, включая Корпорацию Майкрософт. Это означает, что требуется восстановить удаленное хранилище ключей или дождаться истечения срока хранения, прежде чем повторно использовать имя хранилища ключей.

Дополнительные сведения по обратимому удалению см. в статье Общие сведения об обратимом удалении Azure Key Vault.

Проверка включения обратимого удаления для хранилище ключей и включение обратимого удаления

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите колонку "Свойства".
  4. Убедитесь, что переключатель рядом с параметром обратимого удалением установлен в положение "Включить восстановление".
  5. Если обратимое удаление не включено в хранилище ключей, нажмите переключатель, чтобы включить обратимое удаление и нажмите кнопку "Сохранить".

В колонке

Предоставление доступа субъекту- службе для очистки и восстановления удаленных секретов

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите колонку "Политика доступа".
  4. В таблице найдите строку субъекта безопасности, которому требуется предоставить доступ (или добавьте нового субъекта безопасности).
  5. Выберите раскрывающийся список ключей, сертификатов и секретов.
  6. Прокрутите вниз раскрывающегося списка и выберите "Восстановить" и "Очистить"
  7. Для выполнения большинства операций также требуются функции get и list.

На левой панели навигации выделена политика доступа. В политиках доступа отображается раскрывающийся список

Создание списков, восстановление или очистка хранилища ключей с обратимым удалением

  1. Войдите на портал Azure.
  2. Выберите панель поиска в верхней части страницы.
  3. Найдите сервис "Хранилище ключей". Не выбирайте отдельные хранилища ключей.
  4. В верхней части экрана выберите параметр "Управление удаленными хранилищами"
  5. Откроется область контекста в правой части экрана.
  6. Выберите свою подписку.
  7. Если хранилище ключей было обратимо удалено, оно отображается в области контекста справа.
  8. Если есть слишком много хранилищ, можно выбрать "Загрузить больше" в нижней части области контекста или использовать CLI или PowerShell, чтобы получить результаты.
  9. Установите флажок для хранилища, которое требуется восстановить или очистить.
  10. Выберите параметр Восстановить в нижней части контекстной панели, если требуется восстановить хранилище ключей.
  11. Выберите параметр очистки, если необходимо окончательно удалить хранилище ключей.

Для хранилищ ключей выделен параметр

В разделе

Создание списков, восстановление или очистка обратимо удаленных секретов, ключей и сертификатов

  1. Войдите на портал Azure.
  2. Выберите нужное хранилище ключей.
  3. Выберите колонку, соответствующую типу секрета, которым требуется управлять (ключи, секреты или сертификаты).
  4. В верхней части экрана выберите "Управление удаленными (ключи, секреты или сертификаты)
  5. Область контекста отображается справа от экрана.
  6. Если секрет, ключ или сертификат не отображаются в списке, значит, он для него не использовалось обратимое удаление.
  7. Выберите секрет, ключ или сертификат, которым требуется управлять.
  8. Выберите параметр восстановления или очистки внизу контекстной панели.

Для ключей выделен параметр

Следующие шаги