Správa obnovení Azure Key Vault s obnovitelným odstraněním a ochranou před vymazáním
Článek
Tento článek popisuje dvě funkce obnovení Azure Key Vault, obnovitelné odstranění a ochranu před vymazáním. Tento dokument obsahuje přehled těchto funkcí a ukazuje, jak je spravovat prostřednictvím Azure Portal, Azure CLI a Azure PowerShell.
Co je obnovitelné odstranění a ochrana před vymazáním
Obnovitelné odstranění a ochrana před vymazáním jsou dvě různé funkce obnovení trezoru klíčů.
Obnovitelné odstranění je navržené tak, aby se zabránilo náhodnému odstranění trezoru klíčů a klíčů, tajných klíčů a certifikátů uložených v trezoru klíčů. Obnovitelné odstranění si můžete představit jako koš. Když odstraníte trezor klíčů nebo objekt trezoru klíčů, zůstane možné je obnovit po dobu uživatele konfigurovatelného uchovávání nebo po výchozí dobu 90 dnů. Trezory klíčů ve stavu obnovitelného odstranění je také možné vymazat , což znamená, že se odstraní trvale. To vám umožní znovu vytvořit trezory klíčů a objekty trezoru klíčů se stejným názvem. Obnovení i odstranění trezorů klíčů a objektů vyžaduje zvýšená oprávnění zásad přístupu. Jakmile je obnovitelné odstranění povolené, nelze ho zakázat.
Důležité
Obnovitelné odstranění trezorů klíčů musíte povolit okamžitě. Možnost vyjádřit výslovný nesouhlas s obnovitelným odstraněním je zastaralá a v únoru 2025 se odebere. Úplné podrobnosti najdete tady.
Je důležité si uvědomit, že názvy trezorů klíčů jsou globálně jedinečné, takže nebudete moct vytvořit trezor klíčů se stejným názvem jako trezor klíčů ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů, tajných klíčů a certifikátů jedinečné v rámci trezoru klíčů. Nebudete moct vytvořit tajný klíč, klíč nebo certifikát se stejným názvem jako jiný ve stavu obnovitelného odstranění.
Ochrana před vymazáním je navržená tak, aby zabránila odstranění trezoru klíčů, klíčů, tajných klíčů a certifikátů ze strany insiderů se zlými úmysly. Představte si to jako koš s časovým zámkem. Položky můžete obnovit kdykoli během konfigurovatelné doby uchovávání. Trezor klíčů nebudete moct trvale odstranit ani vymazat, dokud neuplyne doba uchovávání. Po uplynutí doby uchovávání bude trezor klíčů nebo objekt trezoru klíčů vymazán automaticky.
Poznámka
Ochrana před vymazáním je navržená tak, aby žádná role nebo oprávnění správce nemůže ochranu před vymazáním přepsat, zakázat ani obejít. Jakmile je povolena ochrana před vymazáním, nemůže ji zakázat nebo přepsat nikdo jiný včetně Microsoftu. To znamená, že musíte obnovit odstraněný trezor klíčů nebo před opětovným využitím názvu trezoru klíčů počkat na uplynutí doby uchovávání.
Ověření, jestli je pro trezor klíčů povolené obnovitelné odstranění, a povolení obnovitelného odstranění
Přihlaste se k webu Azure Portal.
Vyberte váš trezor klíčů.
Klikněte na okno Vlastnosti.
Ověřte, jestli je přepínač vedle obnovitelného odstranění nastavený na Povolit obnovení.
Pokud v trezoru klíčů není povolené obnovitelné odstranění, kliknutím na přepínač obnovitelné odstranění povolte a klikněte na Uložit.
Udělení přístupu k instančnímu objektu za účelem vymazání a obnovení odstraněných tajných kódů
Přihlaste se k webu Azure Portal.
Vyberte váš trezor klíčů.
Klikněte na okno Zásady přístupu.
V tabulce vyhledejte řádek objektu zabezpečení, ke které chcete udělit přístup (nebo přidejte nový objekt zabezpečení).
Klikněte na rozevírací seznam pro klíče, certifikáty a tajné kódy.
Posuňte se do dolní části rozevíracího seznamu a klikněte na Obnovit a Vyprázdnit.
K provádění většiny operací budou objekty zabezpečení také potřebovat funkce get a list.
Výpis, obnovení nebo vymazání obnovitelně odstraněného trezoru klíčů
Přihlaste se k webu Azure Portal.
Klikněte na panel hledání v horní části stránky.
Vyhledejte službu "Key Vault". Neklikejte na jednotlivé trezory klíčů.
V horní části obrazovky klikněte na možnost Spravovat odstraněné trezory.
Na pravé straně obrazovky se otevře kontextové podokno.
Vyberte své předplatné.
Pokud došlo k obnovitelnému odstranění trezoru klíčů, zobrazí se v kontextovém podokně na pravé straně.
Pokud je trezorů příliš mnoho, můžete buď kliknout na Načíst další v dolní části kontextového podokna, nebo pomocí rozhraní příkazového řádku nebo PowerShellu získat výsledky.
Jakmile najdete trezor, který chcete obnovit nebo vyprázdnit, zaškrtněte políčko vedle něj.
Pokud chcete obnovit trezor klíčů, vyberte možnost obnovení v dolní části kontextového podokna.
Pokud chcete trezor klíčů trvale odstranit, vyberte možnost vyprázdnění.
Výpis, obnovení nebo vymazání obnovitelně odstraněných tajných kódů, klíčů a certifikátů
Přihlaste se k webu Azure Portal.
Vyberte váš trezor klíčů.
Vyberte okno odpovídající typu tajného kódu, který chcete spravovat (klíče, tajné klíče nebo certifikáty).
V horní části obrazovky klikněte na Spravovat odstraněné (klíče, tajné klíče nebo certifikáty).
Na pravé straně obrazovky se zobrazí kontextové podokno.
Pokud se tajný klíč, klíč nebo certifikát v seznamu nezobrazí, nejsou ve stavu obnovitelného odstranění.
Vyberte tajný klíč, klíč nebo certifikát, který chcete spravovat.
Vyberte možnost obnovení nebo vymazání v dolní části kontextového podokna.
Key Vault (CLI)
Ověření, jestli má trezor klíčů povolené obnovitelné odstranění
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}
Povolení obnovitelného odstranění v trezoru klíčů
Všechny nové trezory klíčů mají ve výchozím nastavení povolené obnovitelné odstranění. Pokud aktuálně máte trezor klíčů, který nemá povolené obnovitelné odstranění, pomocí následujícího příkazu obnovitelné odstranění povolte.