Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga

  • Artículo

En este artículo se explican dos características de recuperación de Azure Key Vault: la eliminación temporal y la protección de purga. En este documento se proporciona información general sobre estas características y se muestra cómo administrarlas a través de Azure Portal, la CLI de Azure y Azure PowerShell.

Para más información sobre Key Vault, consulte

Requisitos previos

  • Una suscripción a Azure: cree una cuenta gratuita.

  • Azure PowerShell.

  • CLI de Azure

  • Una instancia de Key Vault: se puede crear mediante Azure Portalla CLI de Azure o Azure PowerShell

  • El usuario necesitará los siguientes permisos (en el nivel de suscripción) para realizar operaciones en almacenes de eliminación temporal:

    Permiso Descripción
    Microsoft.KeyVault/locations/deletedVaults/read Ve las propiedades de un almacén de claves eliminado temporalmente
    Microsoft.KeyVault/locations/deletedVaults/purge/action Purga un almacén de claves eliminado temporalmente
    Microsoft.KeyVault/locations/operationResults/read Para comprobar el estado de purga del almacén
    Colaborador de almacén de claves Para recuperar el almacén eliminado temporalmente

Qué es la eliminación temporal y la protección de purga

La protección de eliminación temporal y la protección de purga son dos características de recuperación diferentes de Key Vault.

La eliminación temporal está diseñada para evitar la eliminación accidental del almacén de claves y las claves, los secretos y los certificados almacenados en el mismo. Puede considerar la eliminación temporal como una papelera de reciclaje. Cuando se elimina un almacén de claves o un objeto del mismo, podrá recuperarlo durante el período de retención que haya configurado el usuario o un valor predeterminado de 90 días. Los almacenes de claves con estado de eliminación temporal también se pueden purgar, lo que significa que se eliminan de forma permanente. Esto le permite volver a crear almacenes de claves y sus objetos con el mismo nombre. Tanto la recuperación como la eliminación de los almacenes de claves y sus objetos requieren permisos elevados de directiva de acceso. Una vez habilitada la eliminación temporal, no se puede deshabilitar.

Importante

Debe habilitar inmediatamente la eliminación temporal en los almacenes de claves. La capacidad de no participar en la eliminación temporal está en desuso y se elimina en febrero de 2025. Consulte los detalles completos aquí.

Es importante tener en cuenta que los nombres de los almacenes de claves son únicos de forma global, por lo que no podrá crear un almacén de claves que tenga el mismo nombre que un almacén de claves con estado de eliminación temporal. Del mismo modo, los nombres de claves, secretos y certificados son únicos en un almacén de claves. No podrá crear un secreto, una clave o un certificado que tenga el mismo nombre que otro que cuente con el estado de eliminación temporal.

La protección de purga está diseñada para evitar la eliminación de su almacén de claves, las claves, los secretos y los certificados de un agente interno malintencionado. Considere esto como una papelera de reciclaje con un bloqueo basado en el tiempo. Puede recuperar los elementos en cualquier momento durante el período de retención que haya configurado. Recuerde que no podrá eliminar o purgar un almacén de claves permanentemente hasta que transcurra el período de retención. Una vez que transcurra el período de retención establecido, el objeto del almacén de claves se purgará automáticamente.

Nota:

La protección de purga está diseñada para que ningún permiso o rol de administrador pueda invalidar, deshabilitar o eludir esa protección de purga. Una vez habilitada la protección de purga, ningún usuario ni Microsoft podrán deshabilitarla o invalidarla. Esto significa que deberá recuperar el almacén de claves eliminado o esperar a que transcurra el período de retención antes de reutilizar el nombre del almacén de claves.

Para más información acerca de la eliminación temporal, consulte Información general sobre la eliminación temporal de Azure Key Vault.

Comprobar si la eliminación temporal está habilitada en un almacén de claves y habilitarla

  1. Inicie sesión en el Portal de Azure.
  2. Seleccione el almacén de claves.
  3. Haga clic en la hoja "Propiedades".
  4. Compruebe si el botón de radio situado junto a eliminación temporal está establecido en "Habilitar recuperación".
  5. Si no está habilitada la eliminación temporal en el almacén de claves, haga clic en el botón de radio para habilitarla y haga clic en "Guardar".

En las propiedades, la eliminación temporal se resalta, ya que es el valor que se va a habilitar.

Conceder acceso a una entidad de servicio para purgar y recuperar los secretos eliminados

  1. Inicie sesión en el Portal de Azure.
  2. Seleccione el almacén de claves.
  3. Haga clic en la hoja "Directiva de acceso".
  4. En la tabla, busque la fila de la entidad de seguridad a la que quiere conceder acceso (o agregue una nueva entidad de seguridad).
  5. Haga clic en la lista desplegable de claves, certificados y secretos.
  6. Desplácese hasta la parte inferior de la lista desplegable y haga clic en "Recuperar" y "Purgar".
  7. Las entidades de seguridad también necesitarán las funcionalidades de obtención y lista para realizar la mayoría de las operaciones.

En el panel de navegación izquierdo, Directivas de acceso está resaltado. En Directivas de acceso se muestra la lista desplegable Secret Positions (Posiciones secretas) con cuatro elementos seleccionados: Obtener, Enumerar, Recuperar y Purgar.

Enumerar, recuperar o purgar un almacén de claves eliminado temporalmente

  1. Inicie sesión en el Portal de Azure.
  2. Haga clic en la barra de búsqueda de la parte superior de la página.
  3. Busque el servicio "Key Vault". No haga clic en un almacén de claves individual.
  4. En la parte superior de la pantalla, haga clic en la opción "Manage deleted vaults" (Administrar almacenes eliminados).
  5. Se abrirá un panel de contexto en el lado derecho de la pantalla.
  6. Seleccione su suscripción.
  7. Si el almacén de claves se ha eliminado temporalmente, aparecerá en el panel de contexto de la derecha.
  8. Si hay demasiados almacenes, puede hacer clic en "Cargar más" en la parte inferior del panel de contexto o usar la CLI o PowerShell para obtener los resultados.
  9. Una vez que encuentre el almacén que quiera recuperar o purgar, active la casilla situada junto a él.
  10. Seleccione la opción de recuperación en la parte inferior del panel de contexto si quiere recuperar el almacén de claves.
  11. Si por el contrario quiere eliminar de forma permanente el almacén de claves, seleccione la opción de purga.

En los almacenes de claves, la opción Manage deleted vaults (Administrar almacenes eliminados) está resaltada.

En Manage deleted key vaults (Administrar almacenes de claves eliminados), el único almacén de claves que aparece está resaltado y seleccionado, y el botón Recuperar, también está resaltado.

Enumerar, recuperar o purgar secretos, claves y certificados eliminados temporalmente

  1. Inicie sesión en el Portal de Azure.
  2. Seleccione el almacén de claves.
  3. Seleccione la hoja correspondiente al tipo de secreto que quiera administrar (claves, secretos o certificados).
  4. En la parte superior de la pantalla, haga clic en "Manage deleted (keys, secrets, or certificates)" (Administrar eliminados [claves, secretos o certificados]).
  5. Aparecerá un panel de contexto en el lado derecho de la pantalla.
  6. Si el secreto, la clave o el certificado no aparecen en la lista, esto quiere decir que no se encuentra en el estado de eliminación temporal.
  7. Seleccione el secreto, la clave o el certificado que quiera administrar.
  8. Seleccione la opción para recuperar o purgar que está en la parte inferior del panel de contexto.

En Claves, la opción Manage deleted keys (Administrar claves eliminadas) está resaltada.

Pasos siguientes