Správa obnovení Azure Key Vault s obnovitelným odstraněním a ochranou před vymazáním

Tento článek popisuje dvě funkce obnovení Azure Key Vault, obnovitelné odstranění a ochranu před vymazáním. Tento dokument obsahuje přehled těchto funkcí a ukazuje, jak je spravovat prostřednictvím Azure Portal, Azure CLI a Azure PowerShell.

Další informace o Key Vault najdete v tématu

Požadavky

  • Předplatné Azure – vytvořte si ho zdarma

  • Azure PowerShell.

  • Azure CLI

  • Key Vault – můžete ho vytvořit pomocí Azure PortalAzure CLI nebo Azure PowerShell

  • Uživatel bude potřebovat následující oprávnění (na úrovni předplatného) k provádění operací s obnovitelně odstraněnými trezory:

    Oprávnění Popis
    Microsoft.KeyVault/locations/deletedVaults/read Zobrazení vlastností obnovitelně odstraněného trezoru klíčů
    Microsoft.KeyVault/locations/deletedVaults/purge/action Vymazání obnovitelně odstraněného trezoru klíčů
    Microsoft.KeyVault/locations/operationResults/read Kontrola stavu vymazání trezoru
    Přispěvatel Key Vault Obnovení obnovitelně odstraněného trezoru

Co je obnovitelné odstranění a ochrana před vymazáním

Obnovitelné odstranění a ochrana před vymazáním jsou dvě různé funkce obnovení trezoru klíčů.

Obnovitelné odstranění je navržené tak, aby se zabránilo náhodnému odstranění trezoru klíčů a klíčů, tajných klíčů a certifikátů uložených v trezoru klíčů. Obnovitelné odstranění si můžete představit jako koš. Když odstraníte trezor klíčů nebo objekt trezoru klíčů, zůstane možné je obnovit po dobu uživatele konfigurovatelného uchovávání nebo po výchozí dobu 90 dnů. Trezory klíčů ve stavu obnovitelného odstranění je také možné vymazat , což znamená, že se odstraní trvale. To vám umožní znovu vytvořit trezory klíčů a objekty trezoru klíčů se stejným názvem. Obnovení i odstranění trezorů klíčů a objektů vyžaduje zvýšená oprávnění zásad přístupu. Jakmile je obnovitelné odstranění povolené, nelze ho zakázat.

Důležité

Obnovitelné odstranění trezorů klíčů musíte povolit okamžitě. Možnost vyjádřit výslovný nesouhlas s obnovitelným odstraněním je zastaralá a v únoru 2025 se odebere. Úplné podrobnosti najdete tady.

Je důležité si uvědomit, že názvy trezorů klíčů jsou globálně jedinečné, takže nebudete moct vytvořit trezor klíčů se stejným názvem jako trezor klíčů ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů, tajných klíčů a certifikátů jedinečné v rámci trezoru klíčů. Nebudete moct vytvořit tajný klíč, klíč nebo certifikát se stejným názvem jako jiný ve stavu obnovitelného odstranění.

Ochrana před vymazáním je navržená tak, aby zabránila odstranění trezoru klíčů, klíčů, tajných klíčů a certifikátů ze strany insiderů se zlými úmysly. Představte si to jako koš s časovým zámkem. Položky můžete obnovit kdykoli během konfigurovatelné doby uchovávání. Trezor klíčů nebudete moct trvale odstranit ani vymazat, dokud neuplyne doba uchovávání. Po uplynutí doby uchovávání bude trezor klíčů nebo objekt trezoru klíčů vymazán automaticky.

Poznámka

Ochrana před vymazáním je navržená tak, aby žádná role nebo oprávnění správce nemůže ochranu před vymazáním přepsat, zakázat ani obejít. Jakmile je povolena ochrana před vymazáním, nemůže ji zakázat nebo přepsat nikdo jiný včetně Microsoftu. To znamená, že musíte obnovit odstraněný trezor klíčů nebo před opětovným využitím názvu trezoru klíčů počkat na uplynutí doby uchovávání.

Další informace o obnovitelném odstranění najdete v tématu Přehled obnovitelného odstranění Azure Key Vault.

Ověření, jestli je pro trezor klíčů povolené obnovitelné odstranění, a povolení obnovitelného odstranění

  1. Přihlaste se k webu Azure Portal.
  2. Vyberte váš trezor klíčů.
  3. Klikněte na okno Vlastnosti.
  4. Ověřte, jestli je přepínač vedle obnovitelného odstranění nastavený na Povolit obnovení.
  5. Pokud v trezoru klíčů není povolené obnovitelné odstranění, kliknutím na přepínač obnovitelné odstranění povolte a klikněte na Uložit.

Ve vlastnostech je zvýrazněné obnovitelné odstranění a hodnota, která ho má povolit.

Udělení přístupu k instančnímu objektu za účelem vymazání a obnovení odstraněných tajných kódů

  1. Přihlaste se k webu Azure Portal.
  2. Vyberte váš trezor klíčů.
  3. Klikněte na okno Zásady přístupu.
  4. V tabulce vyhledejte řádek objektu zabezpečení, ke které chcete udělit přístup (nebo přidejte nový objekt zabezpečení).
  5. Klikněte na rozevírací seznam pro klíče, certifikáty a tajné kódy.
  6. Posuňte se do dolní části rozevíracího seznamu a klikněte na Obnovit a Vyprázdnit.
  7. K provádění většiny operací budou objekty zabezpečení také potřebovat funkce get a list.

V levém navigačním podokně jsou zvýrazněné zásady přístupu. V zásadách přístupu se zobrazí rozevírací seznam Tajné pozice a jsou vybrané čtyři položky: Získat, List, Obnovit a Vyprázdnit.

Výpis, obnovení nebo vymazání obnovitelně odstraněného trezoru klíčů

  1. Přihlaste se k webu Azure Portal.
  2. Klikněte na panel hledání v horní části stránky.
  3. Vyhledejte službu "Key Vault". Neklikejte na jednotlivé trezory klíčů.
  4. V horní části obrazovky klikněte na možnost Spravovat odstraněné trezory.
  5. Na pravé straně obrazovky se otevře kontextové podokno.
  6. Vyberte své předplatné.
  7. Pokud došlo k obnovitelnému odstranění trezoru klíčů, zobrazí se v kontextovém podokně na pravé straně.
  8. Pokud je trezorů příliš mnoho, můžete buď kliknout na Načíst další v dolní části kontextového podokna, nebo pomocí rozhraní příkazového řádku nebo PowerShellu získat výsledky.
  9. Jakmile najdete trezor, který chcete obnovit nebo vyprázdnit, zaškrtněte políčko vedle něj.
  10. Pokud chcete obnovit trezor klíčů, vyberte možnost obnovení v dolní části kontextového podokna.
  11. Pokud chcete trezor klíčů trvale odstranit, vyberte možnost vyprázdnění.

U trezorů klíčů je zvýrazněná možnost Spravovat odstraněné trezory.

Ve správě odstraněných trezorů klíčů je zvýrazněný a vybraný jediný uvedený trezor klíčů a zvýrazněné tlačítko Obnovit.

Výpis, obnovení nebo vymazání obnovitelně odstraněných tajných kódů, klíčů a certifikátů

  1. Přihlaste se k webu Azure Portal.
  2. Vyberte váš trezor klíčů.
  3. Vyberte okno odpovídající typu tajného kódu, který chcete spravovat (klíče, tajné klíče nebo certifikáty).
  4. V horní části obrazovky klikněte na Spravovat odstraněné (klíče, tajné klíče nebo certifikáty).
  5. Na pravé straně obrazovky se zobrazí kontextové podokno.
  6. Pokud se tajný klíč, klíč nebo certifikát v seznamu nezobrazí, nejsou ve stavu obnovitelného odstranění.
  7. Vyberte tajný klíč, klíč nebo certifikát, který chcete spravovat.
  8. Vyberte možnost obnovení nebo vymazání v dolní části kontextového podokna.

V části Klíče je zvýrazněná možnost Spravovat odstraněné klíče.

Další kroky