Как использовать обратимое удаление в Key Vault с помощью интерфейса командной строки

Внимание

Если в хранилище ключей не включена защита обратимого удаления, удаление ключа удаляется окончательно. Клиентам настоятельно рекомендуется включить принудительное применение обратимого удаления для своих хранилищ через Политика Azure.

Внимание

При обратимом удалении Key Vault удаляются службы, интегрированные с Key Vault. Например: назначения ролей Azure RBAC и подписки Сетки событий. Восстановление обратимо удаленного Key Vault не восстановит эти службы. Их потребуются создать повторно.

Функция обратимого удаления Key Vault позволяет восстанавливать удаленные хранилища и удаленные объекты хранилища ключей (например, ключи, секреты, сертификаты). Это называется обратимым удалением. В частности, мы разрешаем следующие сценарии. Программа защиты предлагает указанные ниже меры.

  • После удаления секрета, ключа, сертификата или хранилища ключей он остается доступным для восстановления в течение настраиваемого периода от 7 до 90 календарных дней. Если конфигурация не указана, период восстановления по умолчанию имеет значение 90 дней, чтобы предоставить пользователям достаточно времени, чтобы заметить случайное удаление секрета и ответить.
  • Для окончательного удаления секрета необходимо выполнить две операции. Сначала пользователь должен удалить объект, что помещает его в обратимо удаленное состояние. Во-вторых, пользователь должен очистить объект, который находится в состоянии обратимого удаления. Эти защиты снижают риск случайного или вредоносного удаления секрета или хранилища ключей.
  • Чтобы очистить секрет, ключ, сертификат в обратимом удаленном состоянии, субъект безопасности должен быть предоставлен разрешение на очистку операции (например, с встроенной ролью Key Vault Purge Operator).

Поддержка интерфейсов

Функция обратимого удаления доступна через REST API, Azure CLI, Azure PowerShellи интерфейсы .NET/C#, а также шаблоны ARM.

Сценарии

Azure Key Vault — это отслеживаемые ресурсы, управляемые Azure Resource Manager. Azure Resource Manager также задает четко определенное поведение для удаления, которое требует, чтобы после успешной операции удаления этот ресурс больше не был доступен. Функция обратимого восстановления восстанавливает удаленный объект независимо от того, было ли удаление случайным или преднамеренным.

  1. В типичном сценарии пользователь непреднамеренно удаляет хранилище ключей или объект хранилища ключей; Если это хранилище ключей или объект хранилища ключей можно восстановить в течение предопределенного периода, пользователь может отменить удаление и восстановить свои данные.

  2. В другом сценарии пользователь-изгой может попытаться удалить хранилище ключей или объект хранилища ключей, например ключ внутри хранилища, чтобы привести к нарушению бизнес-процессов. Разделение удаления Key Vault или его объектов и удаления базовых данных может использоваться как мера предосторожности, к примеру, для ограничения разрешений на удаление данных другой доверенной ролью. По существу, при таком подходе требуется кворум для операции, так как в противном случае может произойти немедленная потеря данных.

Поведение обратимого удаления

Если обратимое удаление включено, ресурсы, помеченные как удаленные, сохраняются в течение указанного периода (по умолчанию 90 дней). Затем эта служба предоставляет механизм восстановления удаленного объекта, отменяющий удаление.

При создании нового хранилища ключей обратимое удаление включено по умолчанию. После включения обратимого удаления в хранилище ключей его нельзя отключить.

Интервал политики хранения можно настроить только во время создания хранилища ключей и изменить его после этого невозможно. Его можно задать в любом месте от 7 до 90 дней, а значение по умолчанию — 90 дней. Один и тот же интервал применяется как к обратимой очистке, так и к политике хранения защиты очистки.

Вы не можете повторно использовать имя хранилища ключей, которое было обратимо удалено, до истечения срока хранения.

Защита от очистки

Защита от удаления — это дополнительная функция Key Vault, которая не включена по умолчанию. Защиту от удаления можно включить только после включения обратимого удаления. Рекомендуется включить защиту от удаления при использовании ключей шифрования, чтобы предотвратить потерю данных. Защита от удаления с целью предотвращения потери данных требуется для большинства служб Azure, которые интегрируются с Azure Key Vault, например, для службы хранилища.

Если защита от очистки включена, хранилище или объект в удаленном состоянии нельзя очистить до тех пор, пока срок хранения не пройдет. Обратимо удаленные хранилища и объекты по-прежнему могут быть восстановлены, обеспечивая соблюдение политики хранения.

Срок хранения по умолчанию составляет 90 дней, но можно задать интервал политики хранения значением от 7 до 90 дней до портал Azure. После установки и сохранения интервала политики хранения его нельзя изменить для этого хранилища.

Защиту от очистки можно включить с помощью интерфейса командной строки, PowerShell или портала.

Разрешенная очистка

Окончательное удаление и очистку хранилища ключей можно выполнить с помощью операции POST на прокси-ресурсе. Это требует специальных привилегий. Как правило, только владелец подписки или пользователь с ролью RBAC "Оператор очистки Key Vault" может очистить хранилище ключей. Операция POST активирует немедленное и необратимое удаление этого хранилища.

Однако имеются исключения.

  • Если подписка Azure помечена как отменяемая. В этом случае только служба может выполнить фактическое удаление и сделать это в качестве запланированного процесса.
  • Когда для хранилища установлен аргумент --enable-purge-protection. В этом случае Key Vault ожидает от 7 до 90 дней, когда исходный секретный объект был помечен для удаления, чтобы окончательно удалить объект.

Инструкции см. в статьях Использование обратимого удаления Key Vault в интерфейсе командной строки: очистка хранилища ключей и Использование обратимого удаления Key Vault в PowerShell: очистка хранилища ключей.

Восстановление Key Vault

При удалении хранилища ключей служба создает прокси-ресурс в подписке, добавляя достаточные метаданные для восстановления. Прокси-ресурс — это хранимый объект, доступный в том же месте, что и удаленное Key Vault.

Восстановление объектов Key Vault

При удалении объекта хранилища ключей, например ключа, служба помещает объект в удаленное состояние, что делает его недоступным для любых операций извлечения. В этом состоянии объект хранилища ключей можно только внести в список, восстановить, а также принудительно или окончательно удалить. Для просмотра объектов используйте команду Azure CLI az keyvault key list-deleted (как описано в ст. Использование обратимого удаления Key Vault в интерфейсе командной строки) или команды Get-AzKeyVault -InRemovedState Azure PowerShell (как описано в статье Использование обратимого удаления Key Vault в PowerShell).

В то же время Key Vault запланирует удаление базовых данных удаленного Key Vault или его объекта, чтобы удалить их по истечении предопределенного интервала хранения. Запись DNS, соответствующая хранилищу, также сохраняется во время интервала хранения.

Период хранения при обратимом удалении

Ресурсы обратимого удаления сохраняются в течение заданного периода времени — 90 дней. В течение интервала хранения применяются следующие условия:

  • Вы можете перечислить все хранилища ключей и объекты хранилища ключей в состоянии обратимого удаления для подписки, а также получить доступ к данным об удалении и восстановлении.
    • Только пользователи со специальными разрешениями могут вести список удаленных хранилищ. Мы советуем нашим пользователям создать настраиваемую роль с этими разрешениями для управления удаленными хранилищами.
  • Хранилище ключей с тем же именем не может быть создано в том же расположении; Соответственно, объект хранилища ключей не может быть создан в данном хранилище, если это хранилище ключей содержит объект с тем же именем и который находится в удаленном состоянии.
  • Только привилегированный пользователь может восстановить хранилище ключей или объект хранилища ключей, выполнив команду восстановления в соответствующем прокси-ресурсе.
    • Пользователь, участник настраиваемой роли, у которого есть привилегии создавать хранилище ключей в группе ресурсов, может восстановить хранилище.
  • Только привилегированный пользователь может принудительно удалить хранилище ключей или объект хранилища ключей, выполнив команду удаления для соответствующего прокси-ресурса.

Если хранилище ключей или его объект не будут восстановлены, служба выполнит очистку обратимо удаленного хранилища ключей или его объекта вместе с содержимым в конце периода хранения. Удаление ресурсов не может быть перепланировано.

Процесс выставления счетов

В общем случае, когда объект (хранилище ключей, ключ или секрета) находится в состоянии удаления, возможны только две операции: очистка и восстановление. Все остальные операции завершатся ошибкой. Таким образом, хотя объект существует, операции выполнять нельзя, следовательно счета за использование не выставляются. Но есть и следующие исключения.

  • Действия очистки и удаления будут считаться обычными операциями хранилища ключей, следовательно, они будут тарифицироваться.
  • Если объект является ключом HSM, ежемесячная плата за версию каждого ключа с защитой HSM будет взиматься, если версия ключа использовалась в течение последних 30 дней. После этого, так как объект находится в состоянии удаления, операции с ним невозможны, плата не будет взиматься.

Следующие шаги

Следующие три руководства содержат основные сценарии использования обратимого удаления.