Sekilas tentang soft-delete di Azure Key Vault

Penting

Anda harus segera mengaktifkan soft-delete pada key vault Anda. Kemampuan untuk menolak soft-delete akan segera dihentikan. Lihat detail selengkapnya di sini

Penting

Vault yang dihapus sementara memicu pengaturan penghapusan agar terintegrasi dengan layanan Key Vault yaitu penetapan peran Azure RBAC, langganan Event Grid. Setelah pemulihan Key Vault yang dihapus sementara pengaturan untuk layanan terintegrasi harus dibuat ulang secara manual.

Fitur soft-delete Key Vault memungkinkan pemulihan vault yang dihapus dan objek key vault yang dihapus (misalnya, kunci, rahasia, sertifikat), yang dikenal sebagai soft-delete. Secara khusus, kami menjawab skenario berikut: Pengamanan ini menawarkan perlindungan berikut:

  • Setelah rahasia, kunci, sertifikat, atau key vault dihapus, semuanya tetap dapat dipulihkan dalam periode yang dapat dikonfigurasi selama 7 hingga 90 hari kalender. Jika tidak ada konfigurasi yang ditentukan, periode pemulihan default akan diatur ke 90 hari. Ini memberi pengguna cukup waktu untuk melihat penghapusan rahasia yang tidak disengaja dan menanggapinya.
  • Dua operasi harus dilakukan untuk menghapus rahasia secara permanen. Pertama pengguna harus menghapus objek, yang memasukkannya ke dalam status dihapus sementara. Kedua, pengguna harus membersihkan objek yang dalam status dihapus sementara. Operasi penghapusan menyeluruh memerlukan izin kebijakan akses tambahan. Perlindungan tambahan ini mengurangi risiko pengguna secara tidak sengaja atau dengan jahat menghapus rahasia atau key vault.
  • Untuk menghapus secara menyeluruh rahasia dalam status dihapus sementara, perwakilan layanan harus diberikan izin kebijakan akses “penghapusan menyeluruh” tambahan. Izin kebijakan akses penghapusan menyeluruh tidak diberikan secara default kepada perwakilan layanan mana pun termasuk pemilik key vault dan langganan serta harus dengan sengaja ditetapkan. Dengan mengharuskan adanya izin kebijakan akses yang ditinggikan untuk membersihkan rahasia yang dihapus sementara, itu mengurangi kemungkinan secara tidak sengaja menghapus rahasia.

Antarmuka yang mendukung

Fitur soft-delete tersedia melalui antarmuka REST API,Azure CLI, Azure PowerShell, dan .NET/C#, serta templat ARM.

Skenario

Azure Key Vault adalah sumber daya terlacak, yang dikelola oleh Azure Resource Manager. Azure Resource Manager juga menentukan perilaku yang terdefinisi dengan baik untuk penghapusan, yang mengharuskan operasi DELETE yang sukses harus mengakibatkan sumber daya tersebut tidak dapat diakses lagi. Fitur soft-delete menjawab pemulihan objek yang dihapus, terlepas apakah penghapusan itu tidak disengaja atau disengaja.

  1. Dalam skenario umum, pengguna mungkin secara tidak sengaja menghapus key vault atau objek key vault; jika key vault atau objek key vault tersebut dapat dipulihkan selama periode yang telah ditentukan, pengguna dapat membatalkan penghapusan dan memulihkan data mereka.

  2. Dalam skenario yang berbeda, pengguna nakal dapat mencoba menghapus key vault atau objek key vault, seperti kunci di dalam vault, untuk menyebabkan gangguan bisnis. Memisahkan penghapusan key vault atau objek key vault dari penghapusan aktual data yang mendasarinya dapat digunakan sebagai langkah keamanan oleh, misalnya, membatasi izin penghapusan data ke peran tepercaya yang berbeda. Pendekatan ini secara efektif memerlukan kuorum untuk operasi yang mungkin mengakibatkan kehilangan data segera.

Perilaku soft-delete

Saat soft-delete diaktifkan, sumber daya yang ditandai sebagai sumber daya yang dihapus akan disimpan selama periode tertentu (90 hari secara default). Layanan ini selanjutnya menyediakan mekanisme untuk memulihkan objek yang dihapus, yang pada dasarnya membatalkan penghapusan.

Saat membuat key vault baru, soft-delete menyala secara default. Setelah diaktifkan di key vault, penghapusan sementara tidak dapat dinonaktifkan.

Periode penyimpanan default adalah 90 hari tetapi, selama pembuatan key vault, dimungkinkan untuk mengatur interval kebijakan penyimpanan ke nilai dari 7 hingga 90 hari melalui portal Azure. Kebijakan penyimpanan perlindungan penghapusan menyeluruh menggunakan interval yang sama. Setelah ditetapkan, interval kebijakan penyimpanan tidak dapat diubah.

Anda tidak dapat menggunakan kembali nama key vault yang telah dihapus sementara hingga periode penyimpanan berlalu.

Perlindungan purge

Perlindungan purge (penghapusan menyeluruh) adalah perilaku Key Vault opsional dan tidak diaktifkan secara default. Perlindungan penghapusan menyeluruh hanya dapat diaktifkan setelah soft-delete diaktifkan. Ini dapat dinyalakan melalui CLI atau PowerShell.

Saat perlindungan penghapusan menyeluruh menyala, vault atau objek dalam keadaan dihapus tidak dapat dihapus secara menyeluruh hingga periode penyimpanan berlalu. Vault dan objek yang dihapus sementara masih dapat dipulihkan, yang memastikan bahwa kebijakan penyimpanan akan diikuti.

Periode penyimpanan default adalah 90 hari, tetapi dimungkinkan untuk mengatur interval kebijakan penyimpanan ke nilai dari 7 hingga 90 hari melalui portal Azure. Setelah interval kebijakan penyimpanan diatur dan disimpan, interval kebijakan tidak dapat diubah untuk vault tersebut.

Penghapusan menyeluruh yang diizinkan

Menghapus, menghapus secara menyeluruh, sebuah key vault secara permanen dimungkinkan melalui operasi POST pada sumber daya proxy dan memerlukan hak istimewa. Umumnya, hanya pemilik langganan yang dapat menghapus key vault secara menyeluruh. Operasi POST memicu penghapusan vault itu dengan segera dan tidak dapat dipulihkan.

Pengecualian adalah:

  • Saat langganan Azure telah ditandai sebagai tidak dapat dihapus. Dalam hal ini, hanya layanan yang kemudian dapat melakukan penghapusan aktual, dan melakukannya sebagai proses terjadwal.
  • Ketika --enable-purge-protection flag diaktifkan pada vault itu sendiri. Dalam hal ini, Key Vault akan menunggu selama 90 hari sejak objek rahasia asli ditandai untuk dihapus sebelum menghapus objek secara permanen.

Untuk langkah-langkah, lihat Cara menggunakan soft-delete Key Vault dengan CLI: Menghapus key vault secara menyeluruh atau Cara menggunakan soft-delete Key Vault dengan PowerShell: Menghapus key vault secara menyeluruh.

Pemulihan key vault

Setelah menghapus key vault, layanan membuat sumber daya proksi di bawah langganan, menambahkan metadata yang memadai untuk pemulihan. Sumber daya proksi adalah objek yang disimpan, tersedia di lokasi yang sama dengan key vault yang dihapus.

Pemulihan objek key vault

Setelah menghapus objek key vault, seperti kunci, layanan akan menempatkan objek dalam keadaan dihapus, sehingga tidak dapat diakses oleh operasi pengambilan apa pun. Sementara dalam keadaan ini, objek key vault hanya dapat dicantumkan, dipulihkan, atau dihapus secara paksa/permanen. Untuk melihat objek, gunakan perintah Azure CLI az keyvault key list-deleted (seperti yang didokumentasikan dalam Cara menggunakan soft-delete Key Vault dengan CLI), atau parameter Azure PowerShell -InRemovedState (seperti yang dijelaskan dalam Cara menggunakan soft-delete Key Vault dengan PowerShell).

Pada saat yang sama, Key Vault akan menjadwalkan penghapusan data yang mendasari sesuai dengan key vault atau objek key vault yang dihapus untuk dieksekusi setelah interval penyimpanan yang telah ditentukan sebelumnya. Catatan DNS yang terkait dengan vault juga disimpan selama interval penyimpanan.

Periode penyimpanan soft-delete

Sumber daya yang dihapus sementara disimpan selama jangka waktu yang ditetapkan, 90 hari. Selama interval penyimpanan soft-delete, hal berikut ini berlaku:

  • Anda dapat mencantumkan semua key vault dan objek key vault dalam status soft-delete untuk langganan Anda serta mengakses informasi penghapusan dan pemulihan tentangnya.
    • Hanya pengguna dengan izin khusus yang dapat mencantumkan vault yang dihapus. Kami menyarankan agar pengguna kami membuat peran khusus dengan izin khusus ini untuk menangani vault yang dihapus.
  • Key vault dengan nama yang sama tidak dapat dibuat di lokasi yang sama; sama dengannya, objek key vault tidak dapat dibuat dalam vault tertentu jika key vault tersebut berisi objek dengan nama yang sama dan yang dalam keadaan dihapus.
  • Hanya pengguna istimewa khusus yang dapat memulihkan key vault atau objek key vault dengan mengeluarkan perintah pemulihan pada sumber daya proksi yang sesuai.
    • Pengguna, anggota peran kustom, yang memiliki hak istimewa untuk membuat key vault di bawah grup sumber daya yang dapat memulihkan vault.
  • Hanya pengguna istimewa khusus yang dapat menghapus paksa key vault atau objek key vault dengan mengeluarkan perintah hapus pada sumber daya proksi yang sesuai.

Kecuali jika key vault atau objek key vault dipulihkan, di akhir interval penyimpanan, layanan akan melakukan penghapusan menyeluruh key vault atau objek key vault yang dihapus sementara beserta kontennya. Penghapusan sumber daya tidak dapat dijadwalkan ulang.

Implikasi penagihan

Secara umum, ketika objek (key vault atau kunci atau rahasia) dalam keadaan dihapus, hanya ada dua operasi yang mungkin: ‘purge’ (hapus menyeluruh) dan 'recover’ (pulihkan). Semua operasi lainnya akan gagal. Oleh karena itu, meskipun objeknya ada, tidak ada operasi yang dapat dilakukan dan karenanya tidak ada penggunaan yang akan terjadi, jadi tidak ada tagihan. Namun ada pengecualian berikut:

  • Tindakan 'purge' dan 'recover' akan diperhitungkan dalam operasi key vault normal dan akan ditagih.
  • Jika objeknya adalah HSM-key, biaya 'HSM Protected key' per versi kunci per bulan akan berlaku jika versi kunci telah digunakan dalam 30 hari terakhir. Setelah itu, karena objek dalam keadaan dihapus tidak ada operasi yang dapat dilakukan terhadapnya, sehingga tidak ada biaya yang akan berlaku.

Langkah berikutnya

Dua panduan berikut ini menawarkan beberapa skenario penggunaan utama dalam menggunakan soft-delete.