Yönetilen HSM geçici silmeye genel bakış
Önemli
Yönetilen HSM kaynakları için geçici silme kapatılamaz.
Önemli
Geçici olarak silinen Yönetilen HSM kaynakları temizlenene kadar saatlik tam ücretle faturalandırılmaya devam eder.
Yönetilen HSM geçici silme özelliği, silinen HSM'lerin ve anahtarların kurtarılmasına olanak tanır. Özellikle, bu özellik aşağıdaki korumaları sağlar:
- Bir HSM veya anahtar silindikten sonra, 7 ila 90 takvim günü yapılandırılabilir bir süre boyunca kurtarılabilir kalır. HSM oluştururken bekletme süresini ayarlayabilirsiniz. Bir değer belirtmezseniz, 90 günlük varsayılan saklama süresi kullanılır. Bu süre, kullanıcılara yanlışlıkla bir anahtarı veya HSM silme işlemini fark etmek ve yanıtlamak için yeterli süre verir.
- Bir anahtarı kalıcı olarak silmek için kullanıcıların iki eylem gerçekleştirmesi gerekir. İlk olarak anahtarı silmeleri gerekir ve bu da anahtarı geçici olarak silinmiş duruma getirir. İkinci olarak, anahtarı geçici olarak silinmiş durumda temizlemeleri gerekir. Temizleme işlemi, Yönetilen HSM Şifreleme Yetkilisi rolünü gerektirir. Bu ek korumalar, kullanıcının bir anahtarı veya HSM'yi yanlışlıkla veya kötü amaçlı olarak silme riskini azaltır.
Geçici silme davranışı
Yönetilen HSM kaynakları için geçici silme kapatılamaz.
Silinmiş olarak işaretlenen kaynaklar belirli bir süre boyunca tutulur. Silinen HSM'leri veya anahtarları kurtarmak için de bir mekanizma vardır, böylece silmeleri geri alabilirsiniz.
Varsayılan saklama süresi 90 gündür. Bir HSM kaynağı oluşturduğunuzda, bekletme ilkesi aralığını 7 ile 90 gün arasında bir değere ayarlayabilirsiniz. Temizleme koruması bekletme ilkesi aynı aralığı kullanır. Bekletme ilkesini ayarladıktan sonra değiştiremezsiniz.
Bekletme süresi sona erene ve HSM kaynağı temizlenene (kalıcı olarak silinene) kadar geçici olarak silinmiş bir HSM kaynağının adını yeniden kullanamazsınız.
Temizleme koruması
Temizleme koruması isteğe bağlı bir davranıştır. Varsayılan olarak etkin değildir. Azure CLI veya PowerShell kullanarak bu özelliği açabilirsiniz.
Temizleme koruması etkinleştirildiğinde, silinmiş durumdaki bir HSM veya anahtar saklama süresi sona erene kadar temizlenemez. Geçici olarak silinen HSM'ler ve anahtarlar kurtarılabilir ve bu da bekletme ilkesinin geçerli olmasını sağlar.
Varsayılan saklama süresi 90 gündür. Bir HSM oluşturduğunuzda bekletme ilkesi aralığını 7 ile 90 gün arasında bir değere ayarlayabilirsiniz. Bekletme ilkesi aralığı yalnızca bir HSM oluşturduğunuzda ayarlanabilir. Bu, daha sonra değiştirilemez.
Bkz . Cli ile Yönetilen HSM geçici silmeyi kullanma veya PowerShell ile Yönetilen HSM geçici silmeyi kullanma.
Yönetilen HSM kurtarma
Bir HSM'yi sildiğinizde, hizmet abonelikte bir proxy kaynağı oluşturur ve kurtarmayı etkinleştirmek için yeterli meta verileri ekler. Ara sunucu kaynağı depolanan bir nesnedir. Silinen HSM ile aynı konumda kullanılabilir.
Anahtar kurtarma
Bir anahtarı sildiğinizde, hizmet anahtarı silinmiş duruma getirerek herhangi bir işlem için erişilemez hale getirir. Bu durumdayken anahtarlar listelenebilir, kurtarılabilir veya temizlenebilir. Nesneleri görüntülemek için Azure CLI az keyvault key list-deleted
komutunu (Yönetilen HSM geçici silme ve CLI ile temizleme koruması bölümünde açıklanmıştır) veya Azure PowerShell parametresini (PowerShell -InRemovedState
ile Yönetilen HSM geçici silme ve temizleme koruması bölümünde açıklanmıştır) kullanın.
Anahtarı sildiğinizde, Yönetilen HSM silinen HSM'ye veya anahtara karşılık gelen temel alınan verilerin silinmesini önceden belirlenmiş bir saklama aralığından sonra gerçekleşecek şekilde zamanlar. HSM'ye karşılık gelen DNS kaydı da bekletme aralığı boyunca tutulur.
Geçici silme saklama süresi
Geçici olarak silinen kaynaklar belirli bir süre boyunca tutulur: 90 gün. Geçici silme bekletme aralığı boyunca şu koşullar geçerlidir:
- Aboneliğinizin geçici silme durumundaki tüm HSM'leri ve anahtarları listeleyebilirsiniz. Ayrıca, bunlar hakkındaki silme ve kurtarma bilgilerine de erişebilirsiniz.
- Yalnızca Yönetilen HSM Katkıda Bulunanı rolüne sahip kullanıcılar silinen HSM'leri listeleyebilir. Silinen kasaları işlemek için bu izinlere sahip özel bir rol oluşturmanızı öneririz.
- Yönetilen HSM adları belirli bir konumda benzersiz olmalıdır. Bir anahtar oluşturduğunuzda, HSM silinmiş durumda bu ada sahip bir anahtar içeriyorsa bir ad kullanamazsınız.
- Yalnızca Yönetilen HSM Katkıda Bulunanı rolüne sahip kullanıcılar yönetilen HSM'leri listeleyebilir, görüntüleyebilir, kurtarabilir ve temizleyebilir.
- Yalnızca Yönetilen HSM Şifreleme Yetkilisi rolüne sahip kullanıcılar anahtarları listeleyebilir, görüntüleyebilir, kurtarabilir ve temizleyebilir.
Yönetilen bir HSM veya anahtar kurtarılmadığı sürece, bekletme aralığının sonunda hizmet geçici olarak silinen HSM veya anahtarı temizler. Kaynakların silinmesini yeniden zamanlayamazsınız.
Faturalamanın etkileri
Yönetilen HSM tek kiracılı bir hizmettir. Yönetilen bir HSM oluşturduğunuzda, hizmet HSM'nize ayrılan temel kaynakları ayırır. HSM silinmiş durumda olsa bile bu kaynaklar ayrılmış durumda kalır. HSM silinmiş durumdayken faturalandırılırsınız.
Sonraki adımlar
Bu makalelerde geçici silme kullanımına yönelik ana senaryolar açıklanmaktadır: