Obnovitelné odstranění bude povolené ve všech trezorech klíčů.

  • Článek

Upozornění

Zásadní změna: Obnovitelné odstranění trezorů klíčů musíte povolit okamžitě. Podrobnosti najdete níže.

Pokud dojde k odstranění tajného kódu a trezor klíčů nemá ochranu obnovitelného odstranění, odstraní se trvale. I když uživatelé můžou při vytváření trezoru klíčů vyjádřit výslovný nesouhlas s obnovitelným odstraněním, tato možnost je zastaralá. V únoru 2025 microsoft povolí ochranu obnovitelného odstranění u všech trezorů klíčů a uživatelé už nebudou moct obnovitelné odstranění odhlásit nebo vypnout. Tím ochráníte tajné kódy před náhodným nebo škodlivým odstraněním uživatelem.

Diagram znázorňující odstranění trezoru klíčů s ochranou proti obnovitelnému odstranění v porovnání s ochranou proti obnovitelnému odstranění

Úplné podrobnosti o funkcích obnovitelného odstranění najdete v tématu Přehled obnovitelného odstranění Azure Key Vault.

Může moje aplikace pracovat s povoleným obnovitelným odstraněním?

Názvy trezoru klíčů jsou globálně jedinečné. Názvy tajných kódů uložených v trezoru klíčů jsou také jedinečné. Nebudete moct znovu použít název trezoru klíčů nebo objektu trezoru klíčů, který existuje ve stavu obnovitelného odstranění.

Pokud například aplikace programově vytvoří trezor klíčů s názvem Trezor A a později odstraní trezor klíčů A, přesune se trezor klíčů do stavu obnovitelného odstranění. Vaše aplikace nebude moct znovu vytvořit další trezor klíčů s názvem "Trezor A", dokud se trezor klíčů nevymaže ze stavu obnovitelného odstranění.

Navíc pokud vaše aplikace vytvoří klíč s názvem test key v trezoru A a později ho odstraní, nebude vaše aplikace moct vytvořit nový klíč s názvem test key v trezoru A, dokud test key se objekt nevymaže ze stavu obnovitelného odstranění.

Pokus o odstranění objektu trezoru klíčů a jeho opětovné vytvoření se stejným názvem, aniž by se nejprve vymazal ze stavu obnovitelného odstranění, může způsobit konfliktní chyby. Tyto chyby můžou způsobit selhání aplikací nebo automatizace. Než provedete následující požadované změny aplikací a správy, obraťte se na vývojový tým.

Změny aplikace

Pokud vaše aplikace předpokládá, že obnovitelné odstranění není povolené, a očekává, že odstraněné tajné klíče nebo názvy trezoru klíčů budou k dispozici pro okamžité opakované použití, budete muset v logice aplikace provést následující změny.

  1. Odstraňte původní trezor klíčů nebo tajný kód.
  2. Vyprázdněte trezor klíčů nebo tajný klíč ve stavu obnovitelného odstranění.
  3. Počkejte, až se vyprázdnění dokončí. Okamžité opětovné vytvoření může vést ke konfliktu.
  4. Znovu vytvořte trezor klíčů se stejným názvem.
  5. Pokud operace vytvoření stále vede k chybě konfliktu názvů, zkuste trezor klíčů vytvořit znovu. V nejhorším případě může aktualizace záznamů Azure DNS trvat až 10 minut.

Změny správy

Objekty zabezpečení, které potřebují přístup k trvalému odstranění tajných kódů, musí mít udělená více oprávnění zásad přístupu k vymazání těchto tajných kódů a trezoru klíčů.

Zakažte u trezorů klíčů všechna přiřazení Azure Policy, která vyžadují vypnutí obnovitelného odstranění. Možná budete muset tento problém eskalovat správci, který řídí přiřazení Azure Policy použitá ve vašem prostředí. Pokud toto přiřazení zásad není zakázané, můžete ztratit možnost vytvářet nové trezory klíčů v oboru použitého přiřazení zásad.

Pokud se na vaši organizaci vztahují zákonné požadavky a nemůže povolit, aby odstraněné trezory klíčů a tajné kódy zůstaly po delší dobu v obnovitelném stavu, budete muset dobu uchovávání obnovitelného odstranění upravit tak, aby vyhovovala standardům vaší organizace. Dobu uchovávání můžete nakonfigurovat tak, aby trvala od 7 do 90 dnů.

Procedury

Auditujte trezory klíčů a zkontrolujte, jestli je povolené obnovitelné odstranění.

  1. Přihlaste se k webu Azure Portal.
  2. Vyhledejte Azure Policy.
  3. Vyberte Definice.
  4. V části Kategorie vyberte ve filtru Key Vault.
  5. Vyberte Key Vault by měly mít povolené zásady obnovitelného odstranění.
  6. Vyberte Přiřadit.
  7. Nastavte rozsah na vaše předplatné.
  8. Ujistěte se, že je účinek zásad nastavený na Audit.
  9. Vyberte Zkontrolovat a vytvořit. Úplná kontrola vašeho prostředí může trvat až 24 hodin.
  10. V podokně Azure Policy vyberte Dodržování předpisů.
  11. Vyberte zásadu, kterou jste použili.

Teď můžete filtrovat a zobrazit, které trezory klíčů mají povolené obnovitelné odstranění (vyhovující prostředky) a které trezory klíčů nemají povolené obnovitelné odstranění (nevyhovující prostředky).

Zapnutí obnovitelného odstranění pro existující trezor klíčů

  1. Přihlaste se k webu Azure Portal.
  2. Vyhledejte svůj trezor klíčů.
  3. V části Nastavení vyberte Vlastnosti.
  4. V části Obnovitelné odstranění vyberte možnost Povolit obnovení tohoto trezoru a jeho objektů .
  5. Nastavte dobu uchovávání pro obnovitelné odstranění.
  6. Vyberte Uložit.

Udělení oprávnění zásad přístupu k vyprázdnění objektu zabezpečení

  1. Přihlaste se k webu Azure Portal.
  2. Vyhledejte svůj trezor klíčů.
  3. V části Nastavení vyberte Zásady přístupu.
  4. Vyberte instanční objekt, ke které chcete udělit přístup.
  5. Procházejte jednotlivé rozevírací nabídky v části Oprávnění ke klíči, tajnému klíči a certifikátu , dokud se nezobrazí Privilegované operace. Vyberte oprávnění Vyprázdnit .

Nejčastější dotazy

Týká se mě tato změna?

Pokud už máte obnovitelné odstranění zapnuté nebo pokud neodstraníte a znovu nevytáčíte objekty trezoru klíčů se stejným názvem, pravděpodobně si žádné změny v chování trezoru klíčů nevšimnete.

Pokud máte aplikaci, která často odstraňuje a znovu vytváří objekty trezoru klíčů se stejnými zásadami vytváření názvů, budete muset v logice aplikace provést změny, aby se zachovalo očekávané chování. Viz část Změny aplikace v tomto článku.

Návody z této změny těžit?

Ochrana proti obnovitelnému odstranění poskytuje vaší organizaci další vrstvu ochrany před náhodným nebo škodlivým odstraněním. Jako správce trezoru klíčů můžete omezit přístup k oprávněním k obnovení i k vyprázdnění.

Pokud uživatel omylem odstraní trezor klíčů nebo tajný klíč, můžete mu udělit přístupová oprávnění k obnovení tajného klíče sám, aniž by tím vzniklo riziko, že tajný klíč nebo trezor klíčů trvale odstraní. Tento samoobslužný proces minimalizuje výpadky ve vašem prostředí a zajistí dostupnost tajných kódů.

Návody zjistit, jestli musím něco udělat?

Postupujte podle kroků v části Audit trezorů klíčů a zkontrolujte, jestli je povolené obnovitelné odstranění v tomto článku. Tato změna ovlivní všechny trezory klíčů, u kterých není zapnuté obnovitelné odstranění.

Jakou akci musím provést?

Jakmile ověříte, že nemusíte provádět změny logiky aplikace, zapněte obnovitelné odstranění u všech trezorů klíčů.

Kdy musím provést akci?

Abyste měli jistotu, že to nebude mít vliv na vaše aplikace, zapněte u trezorů klíčů co nejdříve obnovitelné odstranění.

Další kroky