Yönetilen HSM geçici silme ve temizleme koruması

Makale
08/07/2024

Bu makalede, Yönetilen HSM'nin iki kurtarma özelliği açıklanmaktadır: geçici silme ve temizleme koruması. Bu özelliklere genel bir bakış sağlar ve Azure CLI ve Azure PowerShell kullanarak bunların nasıl yönetileceğini gösterir.

Daha fazla bilgi için bkz . Yönetilen HSM'ye genel bakış.

Önkoşullar

Azure aboneliği. Ücretsiz bir tane oluşturun.
PowerShell modülü.
Azure CLI 2.25.0 veya üzeri. Hangi sürüme sahip olduğunuzu belirlemek için komutunu çalıştırın az --version . Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.
Yönetilen bir HSM. Azure CLI veya Azure PowerShell kullanarak oluşturabilirsiniz.

Kullanıcıların geçici olarak silinen HSM'lerde veya anahtarlarda işlem gerçekleştirmek için aşağıdaki izinlere sahip olması gerekir:

Rol ataması	Açıklama
Yönetilen HSM Katkıda Bulunanı	Geçici olarak silinen HSM'leri listeleme, kurtarma ve temizleme
Yönetilen HSM Şifreleme Kullanıcısı	Geçici olarak silinen anahtarları listeleme
Yönetilen HSM Şifreleme Yetkilisi	Geçici olarak silinen anahtarları temizleme ve kurtarma

Geçici silme ve temizleme koruması nedir?

Geçici silme ve temizleme koruması kurtarma özellikleridir.

Geçici silme , HSM'nizin ve anahtarlarınızın yanlışlıkla silinmesini önlemek için tasarlanmıştır. Geçici silme, geri dönüşüm kutusu gibi çalışır. Bir HSM'yi veya anahtarı sildiğinizde, yapılandırılabilir saklama süresi veya varsayılan olarak 90 günlük bir süre boyunca kurtarılabilir durumda kalır. Geçici olarak silinmiş durumdaki HSM'ler ve anahtarlar da temizlenebilir ve bu da kalıcı olarak silindikleri anlamına gelir. Temizleme, temizlenir öğeyle aynı ada sahip HSM'leri ve anahtarları yeniden oluşturmanıza olanak tanır. HSM'lerin ve anahtarların hem kurtarılması hem de silinmesi için belirli rol atamaları gerekir. Geçici silme devre dışı bırakılamaz.

Not

Temel alınan kaynaklar silinmiş durumda olsa bile HSM'nize ayrılmış olarak kaldığından, HSM kaynağı bu durumdayken saatlik ücretler tahakkuk etmeye devam eder.

Yönetilen HSM adları her bulut ortamında genel olarak benzersizdir. Bu nedenle, geçici olarak silinmiş durumdaki bir HSM ile aynı ada sahip yönetilen bir HSM oluşturamazsınız. Benzer şekilde, anahtarların adları bir HSM içinde benzersizdir. Geçici olarak silinmiş durumda bulunan anahtarla aynı ada sahip bir anahtar oluşturamazsınız.

Daha fazla bilgi için bkz . Yönetilen HSM geçici silmeye genel bakış.

Temizleme koruması , kötü amaçlı bir insider tarafından HSM'lerinizin ve anahtarlarınızın silinmesini önlemek için tasarlanmıştır. Zaman tabanlı kilidi olan bir geri dönüşüm kutusu gibidir. Öğeleri yapılandırılabilir saklama süresi boyunca herhangi bir noktada kurtarabilirsiniz. Saklama süresi sona erene kadar HSM'yi veya anahtarı kalıcı olarak silemez veya temizleyemezsiniz. Saklama süresi sona erdiğinde HSM veya anahtar otomatik olarak temizlenir.

Not

Hiçbir yönetici rolü veya izni temizleme korumasını geçersiz kılabilir, devre dışı bırakemez veya atlayabilir. Temizleme koruması etkinse, Microsoft dahil olmak üzere hiç kimse tarafından devre dışı bırakılamaz veya geçersiz kılınamaz. Bu nedenle, silinen bir HSM'yi kurtarmanız veya HSM adını yeniden kullanabilmeniz için bekletme süresinin bitmesini beklemeniz gerekir.

Anahtarları ve yönetilen HSM'leri yönetme

Azure CLI
Azure PowerShell

Yönetilen HSM'ler (CLI)

Yönetilen HSM için geçici silme ve temizleme korumasının durumunu denetlemek için:

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}

HSM'yi silmek için:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Geçici silme varsayılan olarak açık olduğundan bu eylem kurtarılabilir.

Geçici olarak silinen tüm HSM'leri listelemek için:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Geçici olarak silinen bir HSM'yi kurtarmak için:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Geçici olarak silinen bir HSM'yi temizlemek için:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Uyarı

Bu işlem HSM'nizi kalıcı olarak siler.

HSM'de temizleme korumasını etkinleştirmek için:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Anahtarlar (CLI)

Anahtarı silmek için:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Silinen anahtarları listelemek için:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Silinen anahtarı kurtarmak için:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Geçici olarak silinen bir anahtarı temizlemek için:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Uyarı

Bu işlem anahtarınızı kalıcı olarak siler.

Yönetilen HSM'ler (PowerShell)

Yönetilen HSM için geçici silme ve temizleme korumasının durumunu denetlemek için:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
HSM'yi silmek için:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Geçici silme varsayılan olarak açık olduğundan bu eylem kurtarılabilir.

Anahtarlar (PowerShell)

Anahtarı silmek için:

Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'

Silinen tüm anahtarları listelemek için:

Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState

Geçici olarak silinen bir anahtarı kurtarmak için:

Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey

Geçici olarak silinen bir anahtarı temizlemek için:
```
Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
```
Uyarı

Bu işlem anahtarınızı kalıcı olarak siler.

Aracılığıyla paylaş