Přehled obnovitelného odstranění ve službě Azure Key Vault

Důležité

U trezorů klíčů musíte okamžitě povolit obnovitelné odstranění. Možnost odhlášení z obnovitelného odstranění je zastaralá a bude odebrána v únoru 2025. Podrobnosti najdete tady.

Důležité

Při obnovitelném odstranění služby Key Vault se odstraní služby integrované se službou Key Vault. Příklad: Přiřazení rolí Azure RBAC a odběry Event Gridu. Obnovení obnovitelně odstraněné služby Key Vault tyto služby neobnoví. Bude potřeba je znovu vytvořit.

Funkce obnovitelného odstranění služby Key Vault umožňuje obnovit odstraněné trezory a objekty trezoru klíčů (například klíče, tajné kódy a certifikáty). Konkrétně řešíme následující scénáře: Tato ochrana nabízí následující ochranu:

• Jakmile dojde k odstranění tajného kódu, klíče, certifikátu nebo trezoru klíčů, bude možné ho obnovit po konfigurovatelné období 7 až 90 kalendářních dnů. Pokud není zadána žádná konfigurace, bude výchozí období obnovení nastaveno na 90 dnů. To uživatelům poskytuje dostatek času, aby si všimli náhodného odstranění tajného kódu a zareagovali.
• Tajný kód je trvale odstraněn po provedení dvou operací. Nejprve musí uživatel odstranit objekt, čímž ho uvede do stavu obnovitelného odstranění. Pak musí uživatel objekt ve stavu obnovitelného odstranění vymazat. Tyto dodatečné ochrany snižují riziko toho, že tajný kód nebo trezor klíčů odstraní nechtěně uživatel nebo někdo jiný se škodlivými úmysly.
• Pokud chcete vyprázdnit tajný klíč, certifikát ve stavu obnovitelného odstranění, musí být objekt zabezpečení udělen oprávnění operace vyprázdnění.

Podpůrná rozhraní

Funkce obnovitelného odstranění je dostupná prostřednictvím rozhraní REST API, Azure CLI, Azure PowerShellu a rozhraní .NET/C# a šablon ARM.

Scénáře

Azure Key Vaults se sledují prostředky spravované Pomocí Azure Resource Manageru. Azure Resource Manager také určuje dobře definované chování pro odstranění, které vyžaduje, aby úspěšná operace DELETE už neměla být přístupná k danému prostředku. Funkce obnovitelného odstranění řeší obnovení odstraněného objektu bez ohledu na to, jestli bylo odstranění náhodné nebo úmyslné.

1. V typickém scénáři může uživatel neúmyslně odstranit trezor klíčů nebo objekt trezoru klíčů; Pokud by se tento trezor klíčů nebo objekt trezoru klíčů po předem určené období mohl obnovit, může uživatel odstranění vrátit zpět a obnovit jejich data.

2. V jiném scénáři se může podvodný uživatel pokusit o odstranění trezoru klíčů nebo objektu trezoru klíčů, například klíče uvnitř trezoru, a způsobit tak narušení provozu. Odstranění trezoru klíčů nebo objektu trezoru klíčů od skutečného odstranění podkladových dat lze použít jako bezpečnostní opatření například omezením oprávnění k odstranění dat na jinou důvěryhodnou roli. Tento přístup efektivně vyžaduje kvorum pro operaci, která by jinak mohla způsobit okamžitou ztrátu dat.

Chování obnovitelného odstranění

Pokud je povolené obnovitelné odstranění, prostředky označené jako odstraněné prostředky se zachovají po zadané období (ve výchozím nastavení je to 90 dnů). Služba dále poskytuje mechanismus pro obnovení odstraněného objektu, v podstatě vrácení odstranění zpět.

Při vytváření nového trezoru klíčů je ve výchozím nastavení zapnuté obnovitelné odstranění. Po povolení obnovitelného odstranění v trezoru klíčů není možné ho zakázat.

Interval zásad uchovávání informací je možné nakonfigurovat jenom během vytváření trezoru klíčů a potom ho nejde změnit. Máte možnost nastavit ji kdekoli od 7 do 90 dnů, přičemž výchozí hodnota je 90 dnů. Stejný interval platí pro obnovitelné odstranění i zásady uchovávání ochrany před vymazáním.

Název trezoru klíčů, který byl obnovený, nemůžete opakovaně použít, dokud neuplyne doba uchovávání.

Ochrana před vymazáním

Ochrana před vymazáním je volitelné chování služby Key Vault a ve výchozím nastavení není povolené. Ochranu před vymazáním je možné povolit pouze po povolení obnovitelného odstranění. Ochrana před vymazáním se doporučuje při použití klíčů pro šifrování, aby se zabránilo ztrátě dat. Většina služeb Azure, které se integrují se službou Azure Key Vault, jako je například Storage, vyžadují ochranu před vymazáním, aby se zabránilo ztrátě dat.

Když je ochrana před vymazáním zapnutá, trezor nebo objekt v odstraněném stavu se nedají vyprázdnit, dokud doba uchovávání neproběhla. Obnovitelně odstraněné trezory a objekty je možné obnovit a zajistit, aby zásady uchovávání informací byly dodrženy.

Výchozí doba uchovávání je 90 dnů, ale na webu Azure Portal je možné nastavit interval zásad uchovávání informací na hodnotu od 7 do 90 dnů. Jakmile je nastavený interval zásad uchovávání informací a uloží se pro tento trezor, nejde ho změnit.

Ochranu před vymazáním je možné zapnout prostřednictvím rozhraní příkazového řádku, PowerShellu nebo portálu.

Povolené vyprázdnění

Trvalé odstranění, vymazání trezoru klíčů je možné prostřednictvím operace POST na prostředku proxy serveru a vyžaduje zvláštní oprávnění. Obecně platí, že trezor klíčů bude moct vyprázdnit jenom vlastník předplatného. Operace POST aktivuje okamžité a nenapravitelné odstranění tohoto trezoru.

Mezi výjimky patří:

• Pokud je předplatné Azure označeno jako nesložitelné. V tomto případě může skutečné odstranění provést pouze služba a provést to jako naplánovaný proces.
• --enable-purge-protection Pokud je argument v samotném trezoru povolený. V takovém případě bude služba Key Vault čekat 7 až 90 dnů od doby, kdy byl původní tajný objekt označen k odstranění, aby se objekt trvale odstranil.

Postup najdete v tématu Použití obnovitelného odstranění služby Key Vault pomocí rozhraní příkazového řádku: Vymazání trezoru klíčů nebo použití obnovitelného odstranění služby Key Vault pomocí PowerShellu: Vymazání trezoru klíčů.

Obnovení trezoru klíčů

Po odstranění trezoru klíčů služba vytvoří prostředek proxy serveru v rámci předplatného a přidá dostatečná metadata pro obnovení. Prostředek proxy je uložený objekt, který je k dispozici ve stejném umístění jako odstraněný trezor klíčů.

Obnovení objektu trezoru klíčů

Po odstranění objektu trezoru klíčů, jako je například klíč, služba umístí objekt do odstraněného stavu a znepřístupní všechny operace načítání. V tomto stavu je možné objekt trezoru klíčů vypisovat, obnovit nebo vynutit nebo trvale odstranit. Pokud chcete zobrazit objekty, použijte příkaz Azure CLI az keyvault key list-deleted (jak je popsáno v tématu Použití obnovitelného odstranění služby Key Vault s rozhraním příkazového řádku) nebo příkaz Azure PowerShellu Get-AzKeyVault -InRemovedState (jak je popsáno v tématu Použití obnovitelného odstranění služby Key Vault pomocí PowerShellu).

Služba Key Vault zároveň naplánuje odstranění podkladových dat odpovídajících odstraněným trezoru klíčů nebo objektu trezoru klíčů ke spuštění po předem určeném intervalu uchovávání. Záznam DNS odpovídající trezoru se také uchovává po dobu trvání intervalu uchovávání.

Doba uchovávání obnovitelného odstranění

Obnovitelné odstraněné prostředky se uchovávají po stanovenou dobu 90 dnů. Během intervalu uchovávání obnovitelného odstranění platí následující:

• Můžete uvést všechny trezory klíčů a objekty trezoru klíčů ve stavu obnovitelného odstranění vašeho předplatného a také informace o odstranění a obnovení přístupu.
  • Odstraněné trezory můžou vypsat jenom uživatelé se speciálními oprávněními. Doporučujeme, aby naši uživatelé vytvořili vlastní roli s těmito zvláštními oprávněními pro zpracování odstraněných trezorů.
• Trezor klíčů se stejným názvem nejde vytvořit ve stejném umístění; Objekt trezoru klíčů nelze v daném trezoru vytvořit, pokud tento trezor klíčů obsahuje objekt se stejným názvem a který je ve stavu odstranění.
• Pouze konkrétní privilegovaný uživatel může obnovit trezor klíčů nebo objekt trezoru klíčů tak, že na příslušném prostředku proxy serveru vydá příkaz pro obnovení.
  • Uživatel, člen vlastní role, který má oprávnění k vytvoření trezoru klíčů v rámci skupiny prostředků, může trezor obnovit.
• Pouze konkrétní privilegovaný uživatel může vynutit odstranění trezoru klíčů nebo objektu trezoru klíčů vydáním příkazu delete na příslušném prostředku proxy serveru.

Pokud se neobnoví trezor klíčů nebo objekt trezoru klíčů, služba na konci intervalu uchovávání provede vymazání obnovitelného odstraněného trezoru klíčů nebo objektu trezoru klíčů a jeho obsahu. Odstranění prostředku nelze přeplánovat.

Důsledky fakturace

Obecně platí, že pokud je objekt (trezor klíčů nebo klíč nebo tajný klíč) ve stavu odstranění, je možné provést pouze dvě operace: "vyprázdnit" a "obnovit". Všechny ostatní operace selžou. Proto i když objekt existuje, není možné provádět žádné operace, a proto nedojde k žádnému využití, takže se nic neúčtuje. Existují však následující výjimky:

• Akce vyprázdnění a obnovení se počítají do normálních operací trezoru klíčů a budou se účtovat.
• Pokud je objekt klíčem HSM, bude se účtovat poplatek za chráněný klíč HSM na verzi klíče za měsíc, pokud se za posledních 30 dnů použila verze klíče. Poté, protože objekt je ve stavu odstranění, nelze s ním provádět žádné operace, takže se nebudou účtovat žádné poplatky.

Další kroky

Následující tři příručky nabízejí primární scénáře použití pro použití obnovitelného odstranění.

• Použití obnovitelného odstranění služby Key Vault s portálem
• Jak používat obnovitelné odstranění Key Vaultu s využitím PowerShellu
• Jak používat obnovitelné odstranění Key Vaultu s využitím CLI