Backup e ripristino di Azure Key Vault

  • Articolo

Questo documento spiega come eseguire il backup di segreti, chiavi e certificati archiviati nell'insieme di credenziali delle chiavi. Un backup ha lo scopo di fornire una copia offline di tutti i segreti nell'improbabile caso in cui si perda l'accesso all'insieme di credenziali delle chiavi.

Panoramica

Azure Key Vault fornisce automaticamente diverse funzionalità che aiutano a mantenere la disponibilità ed evitare la perdita di dati. Il backup dei segreti deve essere eseguito solo in presenza di una motivazione aziendale critica. Il backup dei segreti nell'insieme di credenziali delle chiavi può infatti comportare una serie di problemi operativi, come la gestione di più set di log, autorizzazioni e backup quando i segreti scadono o ruotano.

Key Vault mantiene la disponibilità in scenari di emergenza ed esegue automaticamente il failover delle richieste a un'area associata senza che sia necessario l'intervento di un utente. Per altre informazioni, vedere Disponibilità e ridondanza in Azure Key Vault.

Per proteggere i segreti da eliminazioni accidentali o dannose, configurare l'eliminazione temporanea e la protezione dall'eliminazione nell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.

Limiti

Importante

Key Vault non supporta la possibilità di eseguire il backup di più di 500 versioni passate di un oggetto chiave, segreto o certificato. Il tentativo di eseguire il backup di un oggetto chiave, segreto o certificato può generare un errore. Non è possibile eliminare le versioni precedenti di una chiave, un segreto o un certificato.

Key Vault non offre attualmente un modo per eseguire il backup di un intero insieme di credenziali delle chiavi in un'unica operazione e il backup di chiavi, segreti e certificati deve essere eseguito singolarmente.

È inoltre consigliabile considerare quanto segue:

  • Il backup di segreti con più versioni potrebbe causare errori di timeout.
  • Un backup crea uno snapshot temporizzato. I segreti potrebbero essere rinnovati durante un backup causando una mancata corrispondenza delle chiavi di crittografia.
  • Se si superano i limiti del servizio Key Vault per le richieste al secondo, l'insieme di credenziali delle chiavi verrà limitato e il backup non riuscirà.

Considerazioni relative alla progettazione

Quando si esegue il backup di un oggetto dell'insieme di credenziali delle chiavi, come un segreto, una chiave o un certificato, l'operazione di backup scarica l'oggetto come BLOB crittografato. Questo BLOB non può essere decrittografato all'esterno di Azure. Per ottenere dati utilizzabili da questo BLOB, è necessario ripristinare il BLOB in un insieme di credenziali delle chiavi all'interno della stessa sottoscrizione di Azure e della stessa area geografica di Azure.

Prerequisiti

Per eseguire il backup di un oggetto dell'insieme di credenziali delle chiavi, è necessario avere:

  • Autorizzazioni a livello di collaboratore o superiori per una sottoscrizione di Azure.
  • Insieme di credenziali delle chiavi primario che contiene i segreti di cui si vuole eseguire il backup.
  • Insieme di credenziali delle chiavi secondario in cui verranno ripristinati i segreti.

Eseguire il backup e il ripristino dal portale di Azure

Per eseguire il backup e il ripristino di oggetti usando il portale di Azure, seguire le procedure illustrate in questa sezione.

Eseguire il backup

  1. Vai al portale di Azure.

  2. Selezionare l'insieme di credenziali delle chiavi.

  3. Passare all'oggetto (segreto, chiave o certificato) di cui si vuole eseguire il backup.

    Screenshot showing where to select the Keys setting and an object in a key vault.

  4. Selezionare l'oggetto.

  5. Selezionare Scarica il backup.

    Screenshot showing where to select the Download Backup button in a key vault.

  6. Selezionare Download.

    Screenshot showing where to select the Download button in a key vault.

  7. Archiviare il BLOB crittografato in una posizione sicura.

Ripristino

  1. Vai al portale di Azure.

  2. Selezionare l'insieme di credenziali delle chiavi.

  3. Passare al tipo di oggetto (segreto, chiave o certificato) di cui si vuole eseguire il ripristino.

  4. Selezionare Ripristina il backup.

    Screenshot showing where to select Restore Backup in a key vault.

  5. Passare al percorso in cui è stato archiviato il BLOB crittografato.

  6. Seleziona OK.

Eseguire il backup e il ripristino dall'interfaccia della riga di comando di Azure o da Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

Passaggi successivi