Översikt av mjuk borttagning för Azure Key Vault

Viktigt!

Om ett nyckelvalv inte har aktiverat skydd för mjuk borttagning tas den bort permanent om du tar bort en nyckel. Kunder uppmanas starkt att aktivera mjuk borttagning för sina valv via Azure Policy.

Viktigt!

När ett Key Vault är mjukt borttaget tas tjänster som är integrerade med Key Vault bort. Exempel: Tilldelningar av Azure RBAC-roller och Event Grid-prenumerationer. Om du återställer ett mjukt borttaget Key Vault återställs inte dessa tjänster. De måste återskapas.

Funktionen för mjuk borttagning i Key Vault gör att du kan återställa borttagna valv och nyckelvalvsobjekt (till exempel nycklar, hemligheter och certifikat). Mer specifikt tar vi itu med följande scenarier: Det här skyddet erbjuder följande skydd:

  • När en hemlighet, nyckel, ett certifikat eller ett nyckelvalv har tagits bort kan det fortfarande återställas under en konfigurerbar period på 7 till 90 kalenderdagar. Om ingen konfiguration har angetts är standardåterställningsperioden inställd på 90 dagar för att ge användarna tillräckligt med tid för att märka att en oavsiktlig hemlighet tas bort och svarar.
  • Det krävs två åtgärder för att ta bort en hemlighet permanent. Först måste en användare ta bort objektet, och då placeras det i läget för mjuk borttagning. Sedan måste en användare rensa objektet från läget för mjuk borttagning. Dessa skydd minskar risken för att en användare oavsiktligt eller skadligt tar bort en hemlighet eller ett nyckelvalv.
  • Om du vill rensa en hemlighet, nyckel, certifikat i tillståndet för mjuk borttagning måste ett säkerhetsobjekt beviljas behörighet att rensa (med den inbyggda rollen Key Vault Purge Operator( key vault purge operator).

Stödgränssnitt

Funktionen för mjuk borttagning är tillgänglig via REST-API:et, Azure CLI, Azure PowerShell och .NET/C#-gränssnitten samt ARM-mallar.

Scenarier

Azure Key Vaults spåras resurser som hanteras av Azure Resource Manager. Azure Resource Manager anger också ett väldefinierat beteende för borttagning, vilket kräver att en lyckad DELETE-åtgärd måste resultera i att resursen inte längre är tillgänglig. Funktionen mjuk borttagning åtgärdar återställningen av det borttagna objektet, oavsett om borttagningen var oavsiktlig eller avsiktlig.

  1. I det vanliga scenariot tar en användare oavsiktligt bort ett nyckelvalv eller ett key vault-objekt. Om nyckelvalvet eller nyckelvalvet kunde återställas under en fördefinierad period kan användaren ångra borttagningen och återställa sina data.

  2. I ett annat scenario kan en obehörig användare försöka ta bort ett nyckelvalv eller ett nyckelvalvobjekt, till exempel en nyckel i ett valv, för att orsaka avbrott i verksamheten. Om du separerar borttagningen av nyckelvalvet eller key vault-objektet från den faktiska borttagningen av underliggande data kan du använda som ett säkerhetsmått genom att till exempel begränsa behörigheter för borttagning av data till en annan betrodd roll. Den här metoden kräver effektivt kvorum för en åtgärd som annars kan leda till omedelbar dataförlust.

Beteende vid mjuk borttagning

När mjuk borttagning är aktiverat behålls resurser som markerats som borttagna resurser under en angiven period (90 dagar som standard). Tjänsten tillhandahåller ytterligare en mekanism för att återställa det borttagna objektet, vilket i huvudsak återställer borttagningen.

När du skapar ett nytt nyckelvalv är mjuk borttagning aktiverat som standard. När mjuk borttagning har aktiverats i ett nyckelvalv kan det inte inaktiveras.

Kvarhållningsprincipintervallet kan bara konfigureras när nyckelvalvet skapas och kan inte ändras efteråt. Du kan ange den var som helst från 7 till 90 dagar, med 90 dagar som standard. Samma intervall gäller för både mjuk borttagning och kvarhållningsprincipen för rensningsskydd.

Du kan inte återanvända namnet på ett nyckelvalv som har tagits bort mjukt förrän kvarhållningsperioden upphör att gälla.

Rensa skydd

Rensningsskydd är ett valfritt Key Vault-beteende och är inte aktiverat som standard. Rensningsskydd kan bara aktiveras när mjuk borttagning har aktiverats. Rensningsskydd rekommenderas när du använder nycklar för kryptering för att förhindra dataförlust. De flesta Azure-tjänster som integreras med Azure Key Vault, till exempel Storage, kräver rensningsskydd för att förhindra dataförlust.

När rensningsskyddet är aktiverat kan ett valv eller ett objekt i borttaget tillstånd inte rensas förrän kvarhållningsperioden har passerat. Mjukt borttagna valv och objekt kan fortfarande återställas, vilket säkerställer att kvarhållningsprincipen följs.

Standardkvarhållningsperioden är 90 dagar, men det går att ange kvarhållningsprincipintervallet till ett värde från 7 till 90 dagar till och med Azure Portal. När kvarhållningsprincipintervallet har angetts och sparats kan det inte ändras för valvet.

Rensningsskydd kan aktiveras via CLI, PowerShell eller portalen.

Tillåten rensning

Permanent borttagning, rensning, ett nyckelvalv är möjligt via en POST-åtgärd på proxyresursen och kräver särskilda privilegier. I allmänhet kan endast prenumerationsägaren eller en användare med RBAC-rollen "Key Vault Purge Operator" rensa ett nyckelvalv. POST-åtgärden utlöser omedelbar och oåterkallelig borttagning av valvet.

Undantag är:

  • När Azure-prenumerationen har markerats som oborttagningsbar. I det här fallet kan endast tjänsten utföra den faktiska borttagningen och gör det som en schemalagd process.
  • --enable-purge-protection När argumentet är aktiverat i själva valvet. I det här fallet väntar Key Vault i 7 till 90 dagar från det datum då det ursprungliga hemliga objektet markerades för borttagning för att permanent ta bort objektet.

Anvisningar finns i Använda mjuk borttagning av Key Vault med CLI: Rensa ett nyckelvalv eller Så här använder du mjuk borttagning av Key Vault med PowerShell: Rensa ett nyckelvalv.

Återställning av nyckelvalv

När ett nyckelvalv tas bort skapar tjänsten en proxyresurs under prenumerationen och lägger till tillräckligt med metadata för återställning. Proxyresursen är ett lagrat objekt som är tillgängligt på samma plats som det borttagna nyckelvalvet.

Återställning av Key Vault-objekt

När ett key vault-objekt, till exempel en nyckel, tas bort, placerar tjänsten objektet i ett borttaget tillstånd, vilket gör det otillgängligt för alla hämtningsåtgärder. I det här tillståndet kan nyckelvalvsobjektet bara visas, återställas eller tas bort med kraft/permanent. Om du vill visa objekten använder du Azure CLI-kommandot az keyvault key list-deleted (som beskrivs i Så här använder du mjuk borttagning av Key Vault med CLI) eller Azure PowerShell-kommandot Get-AzKeyVault -InRemovedState (enligt beskrivningen i Så här använder du mjuk borttagning av Key Vault med PowerShell).

Samtidigt schemalägger Key Vault borttagningen av underliggande data som motsvarar det borttagna nyckelvalvet eller nyckelvalvsobjektet för körning efter ett fördefinierat kvarhållningsintervall. DNS-posten som motsvarar valvet behålls också under kvarhållningsintervallet.

Kvarhållningsperiod för mjuk borttagning

Mjukt borttagna resurser behålls under en viss tidsperiod, 90 dagar. Under kvarhållningsintervallet för mjuk borttagning gäller följande:

  • Du kan lista alla nyckelvalv och nyckelvalvobjekt i mjuk borttagningsstatus för din prenumeration samt åtkomstborttagnings- och återställningsinformation om dem.
    • Endast användare med särskilda behörigheter kan lista borttagna valv. Vi rekommenderar att våra användare skapar en anpassad roll med dessa särskilda behörigheter för hantering av borttagna valv.
  • Det går inte att skapa ett nyckelvalv med samma namn på samma plats. på motsvarande sätt kan ett nyckelvalvobjekt inte skapas i ett visst valv om det nyckelvalvet innehåller ett objekt med samma namn och som är i ett borttaget tillstånd.
  • Endast en specifikt privilegierad användare kan återställa ett nyckelvalv eller key vault-objekt genom att utfärda ett återställningskommando på motsvarande proxyresurs.
    • Användaren, som är medlem i den anpassade rollen, som har behörighet att skapa ett nyckelvalv under resursgruppen kan återställa valvet.
  • Endast en specifikt privilegierad användare kan med tvådutan ta bort ett nyckelvalv eller key vault-objekt genom att utfärda ett borttagningskommando på motsvarande proxyresurs.

Om inte ett nyckelvalv eller key vault-objekt återställs utför tjänsten i slutet av kvarhållningsintervallet en rensning av det mjukt borttagna nyckelvalvet eller nyckelvalvsobjektet och dess innehåll. Det går inte att schemalägga om resursborttagningen.

Faktureringskonsekvenser

När ett objekt (ett nyckelvalv eller en nyckel eller en hemlighet) i allmänhet är i borttaget tillstånd är det i allmänhet bara två åtgärder som är möjliga: "rensa" och "återställa". Alla andra åtgärder misslyckas. Även om objektet finns kan därför inga åtgärder utföras och därför sker ingen användning, så ingen faktura. Det finns dock följande undantag:

  • Åtgärderna "rensa" och "återställa" räknas mot normala nyckelvalvsåtgärder och faktureras.
  • Om objektet är en HSM-nyckel gäller avgiften "HSM-skyddad nyckel" per nyckelversion och månad om en nyckelversion har använts under de senaste 30 dagarna. Efter det, eftersom objektet är i borttaget tillstånd, kan inga åtgärder utföras mot det, så ingen avgift kommer att tillkomma.

Nästa steg

Följande tre guider erbjuder de primära användningsscenarierna för användning av mjuk borttagning.