Pencadangan dan pemulihan penuh

Catatan

Fitur ini hanya tersedia untuk jenis sumber daya HSM terkelola.

HSM terkelola mendukung pembuatan cadangan penuh seluruh konten HSM yang mencakup semua kunci, versi, atribut, tag, dan penetapan peran. Cadangan dienkripsi dengan kunci kriptografi yang terkait dengan domain keamanan HSM.

Cadangan adalah operasi sarana data. Penelepon yang memulai operasi pencadangan harus memiliki izin untuk melakukan dataAction Microsoft.KeyVault/managedHsm/backup/start/action.

Hanya peran bawaan berikut yang memiliki izin untuk melakukan pencadangan penuh:

  • Administrator HSM Terkelola
  • Pencadangan HSM Terkelola

Anda harus menyediakan informasi berikut untuk menjalankan pencadangan penuh:

  • Nama atau URL HSM
  • Nama akun penyimpanan
  • Kontainer penyimpanan blob akun penyimpanan
  • Token SAS kontainer penyimpanan dengan izin crdw

Menggunakan Azure Cloud Shell

Azure meng-hosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini tanpa harus menginstal apa pun di lingkungan lokal Anda.

Untuk memulai Azure Cloud Shell:

Opsi Contoh/Tautan
Pilih Coba di sudut kanan atas blok kode. Memilih Coba tidak secara otomatis menyalin kode ke Cloud Shell. Contoh Coba untuk Azure Cloud Shell
Buka https://shell.azure.com, atau pilih tombol Luncurkan Cloud Shell untuk membuka Cloud Shell di browser Anda. Luncurkan Cloud Shell di jendela baru
Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Microsoft Azure. Tombol Cloud Shell di portal Microsoft Azure

Untuk menjalankan kode dalam artikel ini di Azure Cloud Shell:

  1. Mulai Cloud Shell.

  2. Pilih tombol Salin pada blok kode untuk menyalin kode.

  3. Tempelkan kode ke sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux atau dengan memilih Cmd+Shift+V di macOS.

  4. Pilih Enter untuk menjalankan kode.

Pencadangan penuh

Pencadangan adalah operasi yang berjalan lama, tetapi akan langsung memberikan ID Pekerjaan. Anda dapat memeriksa status proses pencadangan menggunakan ID Pekerjaan ini. Proses pencadangan membuat folder di dalam kontainer yang ditentukan dengan pola penamaan mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS} , yang mana HSM_NAME adalah nama HSM terkelola yang dicadangkan dan YYYY, MM, DD, HH, MM, mm, SS adalah tahun, bulan, tanggal, jam, menit, dan detik untuk tanggal/waktu dalam zona UTC ketika perintah pencadangan diterima.

Saat pencadangan berlangsung, HSM mungkin tidak beroperasi pada throughput penuh karena beberapa partisi HSM akan sibuk melakukan operasi pencadangan.

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription 361da5d4-a47a-4c79-afdd-d66f684f4070

Pemulihan penuh

Pemulihan penuh memungkinkan Anda memulihkan konten HSM sepenuhnya dengan cadangan sebelumnya, termasuk semua kunci, versi, atribut, tag, dan penetapan peran. Semua yang saat ini disimpan di HSM akan dihapuskan dan kembali ke keadaan yang sama ketika cadangan sumber dibuat.

Penting

Pemulihan penuh adalah operasi yang sangat merusak dan mengganggu. Oleh karena itu, cadangan penuh wajib diselesaikan dalam 30 menit terakhir sebelum operasi restore dapat dilakukan.

Pemulihan adalah operasi data plane. Penelepon yang memulai operasi pemulihan harus memiliki izin untuk melakukan dataAction Microsoft.KeyVault/managedHsm/backup/start/action. HSM sumber tempat cadangan dibuat dan HSM tujuan tempat pemulihan akan dilakukan harus memiliki Domain Keamanan yang sama. Lihat selengkapnya tentang Domain Keamanan HSM Terkelola.

Anda harus menyediakan informasi berikut untuk menjalankan pemulihan penuh:

  • Nama atau URL HSM
  • Nama akun penyimpanan
  • Kontainer blob akun penyimpanan
  • Token SAS kontainer penyimpanan dengan izin rl
  • Nama folder kontainer penyimpanan tempat cadangan sumber disimpan

Pemulihan adalah operasi yang berjalan lama, tetapi akan langsung memberikan ID Pekerjaan. Anda dapat memeriksa status proses pemulihan menggunakan ID Pekerjaan ini. Ketika proses pemulihan sedang berlangsung, HSM memasuki mode pemulihan dan semua perintah data plane (kecuali status pemulihan pemeriksaan) dinonaktifkan.

#### time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

Memulihkan HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Langkah berikutnya