Vorläufiges Löschen wird für alle Schlüsseltresore aktiviert

  • Artikel

Warnung

Breaking Change: Sie müssen vorläufiges Löschen für Ihre Schlüsseltresore sofort aktivieren. Einzelheiten finden Sie unten.

Wenn ein Geheimnis gelöscht wird und der Schutz durch vorläufiges Löschen für den Schlüsseltresor nicht aktiviert ist, wird es dauerhaft gelöscht. Benutzer haben zwar die Möglichkeit, das vorläufige Löschen beim Erstellen eines Schlüsseltresors abzuwählen, diese Option ist jedoch veraltet. Im Februar 2025 aktiviert Microsoft den Schutz durch vorläufiges Löschen für alle Schlüsseltresore, und Benutzer können vorläufiges Löschen nicht mehr abwählen oder deaktivieren. Dadurch werden Geheimnisse vor versehentlicher oder böswilliger Löschung durch einen Benutzer geschützt.

Diagramm: Löschen eines Schlüsseltresors mit und ohne Schutz durch vorläufiges Löschen

Vollständige Details zur Funktion für vorläufiges Löschen finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.

Funktioniert meine Anwendung mit aktiviertem vorläufigem Löschen?

Schlüsseltresornamen sind global eindeutig. Die Namen von Geheimnissen, die in einem Schlüsseltresor gespeichert sind, sind ebenfalls eindeutig. Der Name eines Schlüsseltresors oder Schlüsseltresorobjekts im vorläufig gelöschten Zustand kann nicht wiederverwendet werden.

Wenn von Ihrer Anwendung beispielsweise programmgesteuert ein Schlüsseltresor mit dem Namen „Tresor A“ erstellt und später dann gelöscht wird, wird er in den vorläufig gelöschten Zustand versetzt. Von Ihrer Anwendung kann kein weiterer Schlüsseltresor mit dem Namen „Vault A“ erstellt werden, bis der vorläufig gelöschte Schlüsseltresor endgültig gelöscht wurde.

Wenn Ihre Anwendung einen Schlüssel mit dem Namen test key im Schlüsseltresor A erstellt und den Schlüssel später aus Tresor A löscht, kann von Ihrer Anwendung außerdem erst dann ein neuer Schlüssel mit dem Namen test key im Schlüsseltresor A erstellt werden, nachdem das vorläufig gelöschte Objekt test key endgültig gelöscht wurde.

Wenn Sie versuchen, ein Schlüsseltresorobjekt zu löschen und es mit demselben Namen neu zu erstellen, ohne es zuerst endgültig zu löschen, können Konfliktfehler auftreten. Diese Fehler können zum Fehlschlagen Ihrer Anwendungen oder der Automatisierung führen. Wenden Sie sich an Ihr Entwicklungsteam, bevor Sie die folgenden erforderlichen Anwendungs- und Verwaltungsänderungen vornehmen.

Anwendungsänderungen

Wenn von Ihrer Anwendung die Deaktivierung des vorläufiges Löschens vorausgesetzt und erwartet wird, dass gelöschte Geheimnis- oder Schlüsseltresornamen für die sofortige Wiederverwendung verfügbar sind, müssen Sie die folgenden Änderungen an Ihrer Anwendungslogik vornehmen.

  1. Löschen Sie den ursprünglichen Schlüsseltresor oder das Geheimnis.
  2. Endgültiges Löschen des Schlüsseltresors oder Geheimnisses im vorläufig gelöschten Zustand.
  3. Warten Sie, bis das endgültige Löschen abgeschlossen ist. Die sofortige Neuerstellung kann zu einem Konflikt führen.
  4. Erstellen Sie den Schlüsseltresor erneut mit demselben Namen.
  5. Falls während des Erstellungsvorgangs weiterhin ein Namenskonflikt auftritt, sollten Sie versuchen, den Schlüsseltresor neu zu erstellen. Die Aktualisierung von Azure DNS-Datensätzen kann maximal zehn Minuten dauern.

Verwaltungsänderungen

Sicherheitsprinzipalen, die Zugriff benötigen, um Geheimnisse endgültig zu löschen, müssen zusätzliche Zugriffsrichtlinienberechtigungen gewährt werden, damit diese Geheimnisse und der Schlüsseltresor endgültig gelöscht werden können.

Deaktivieren Sie alle Azure Policy-Zuweisungen für Ihre Schlüsseltresore, in denen festgelegt ist, dass das vorläufige Löschen deaktiviert werden soll. Unter Umständen müssen Sie dieses Problem an einen Administrator eskalieren, der die auf Ihre Umgebung angewendeten Azure Policy-Zuweisungen kontrolliert. Wenn diese Richtlinienzuweisung nicht deaktiviert wird, verlieren Sie ggf. die Möglichkeit, neue Schlüsseltresore im Gültigkeitsbereich der angewendeten Richtlinienzuweisung zu erstellen.

Wenn für Ihre Organisation gesetzliche Complianceanforderungen gelten und nicht zugelassen werden kann, dass gelöschte Schlüsseltresore und Geheimnisse über einen längeren Zeitraum in einem wiederherstellbaren Zustand verbleiben, müssen Sie den Aufbewahrungszeitraum für das vorläufige Löschen anpassen, um die Standards Ihrer Organisation zu erfüllen. Sie können für den Aufbewahrungszeitraum eine Dauer von 7 bis 90 Tagen konfigurieren.

Prozeduren

Überwachen Ihrer Schlüsseltresore, um zu überprüfen, ob vorläufiges Löschen aktiviert ist

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Azure Policy.
  3. Wählen Sie Definitionen aus.
  4. Wählen Sie unter Kategorie im Filter die Option Key Vault aus.
  5. Wählen Sie die Richtlinie Für Key Vault sollte vorläufiges Löschen aktiviert sein aus.
  6. Wählen Sie Zuweisen aus.
  7. Legen Sie den Gültigkeitsbereich auf Ihr Abonnement fest.
  8. Stellen Sie sicher, dass die Auswirkung der Richtlinie auf Überwachung festgelegt ist.
  9. Klicken Sie auf Überprüfen + erstellen. Es kann bis zu 24 Stunden dauern, bis die vollständige Überprüfung Ihrer Umgebung abgeschlossen ist.
  10. Wählen Sie im Bereich Azure Policy die Option Konformität aus.
  11. Wählen Sie die Richtlinie aus, die Sie angewendet haben.

Sie können jetzt filtern und ermitteln, für welche Schlüsseltresore vorläufiges Löschen aktiviert ist (konforme Ressourcen) und für welche Schlüsseltresore dies nicht der Fall ist (nicht konforme Ressourcen).

Aktivieren des vorläufigen Löschens für einen vorhandenen Schlüsseltresor

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Ihrem Schlüsseltresor.
  3. Wählen Sie unter Einstellungen die Option Eigenschaften aus.
  4. Wählen Sie unter Vorläufiges Löschen die Option Wiederherstellung dieses Tresors und zugehöriger Objekte aktivieren aus.
  5. Legen Sie den Aufbewahrungszeitraum für vorläufiges Löschen fest.
  6. Wählen Sie Speichern aus.

Gewähren von „Endgültig löschen“-Zugriffsrichtlinienberechtigungen für einen Sicherheitsprinzipal

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Ihrem Schlüsseltresor.
  3. Wählen Sie unter Einstellungen die Option Zugriffsrichtlinien aus.
  4. Wählen Sie den Dienstprinzipal aus, dem Sie den Zugriff gewähren möchten.
  5. Gehen Sie die Dropdownmenüs unter Schlüssel, Geheimnis und Zertifikatberechtigungen durch, bis Privilegierte Vorgänge angezeigt wird. Wählen Sie die Berechtigung Bereinigen aus.

Häufig gestellte Fragen

Betrifft mich diese Änderung?

Wenn Sie vorläufiges Löschen bereits aktiviert haben oder Schlüsseltresorobjekte nicht löschen und unter demselben Namen neu erstellen, werden Sie wahrscheinlich keine Änderung beim Verhalten des Schlüsseltresors bemerken.

Falls Sie eine Anwendung besitzen, die häufig Schlüsseltresorobjekte löscht und mit denselben Benennungskonventionen neu erstellt, müssen Sie Änderungen an Ihrer Anwendungslogik vornehmen, um das erwartete Verhalten zu gewährleisten. Weitere Informationen finden Sie im Abschnitt Anwendungsänderungen dieses Artikels.

Wie profitiere ich von dieser Änderung?

Der Schutz durch vorläufiges Löschen ist für Ihre Organisation ein zusätzlicher Schutz vor versehentlichen oder böswilligen Löschvorgängen. Als Schlüsseltresoradministrator können Sie den Zugriff sowohl auf Wiederherstellungsberechtigungen als auch auf Berechtigungen zum endgültigen Löschen einschränken.

Wenn ein Benutzer versehentlich einen Schlüsseltresor oder ein Geheimnis löscht, können Sie ihm Zugriffsberechtigungen erteilen, damit er das Geheimnis selbst wiederherstellen kann. Hierbei besteht kein Risiko, dass er das Geheimnis oder den Schlüsseltresor endgültig löscht. Dieser Self-Service-Prozess minimiert Ausfallzeiten in Ihrer Umgebung und stellt die Verfügbarkeit Ihrer Geheimnisse sicher.

Gewusst wie: Muss ich Maßnahmen ergreifen?

Führen Sie die Schritte im Abschnitt Überwachen Ihrer Schlüsseltresore, um zu überprüfen, ob vorläufiges Löschen aktiviert ist dieses Artikels aus. Diese Änderung wirkt sich auf alle Schlüsseltresore aus, für die das vorläufige Löschen nicht aktiviert ist.

Welche Maßnahmen muss ich ergreifen?

Aktivieren Sie das vorläufige Löschen für Ihre gesamten Schlüsseltresore, nachdem Sie sich vergewissert haben, dass Sie keine Änderungen an Ihrer Anwendungslogik vornehmen müssen.

Wann muss ich Maßnahmen ergreifen?

Um sicherzustellen, dass Ihre Anwendungen nicht betroffen sind, sollten Sie das vorläufige Löschen so bald wie möglich für Ihre Schlüsseltresore aktivieren.

Nächste Schritte