Panoramica di eliminazione temporanea di Azure Key VaultAzure Key Vault soft-delete overview

Importante

È necessario abilitare immediatamente l'eliminazione temporanea sugli insiemi di credenziali delle chiavi.You must enable soft-delete on your key vaults immediately. La possibilità di rifiutare esplicitamente l'eliminazione temporanea sarà deprecata entro la fine dell'anno e la protezione dell'eliminazione temporanea verrà attivata automaticamente per tutti gli insiemi di credenziali delle chiavi.The ability to opt out of soft-delete will be deprecated by the end of the year, and soft-delete protection will automatically be turned on for all key vaults. Vedi i dettagli completi quiSee full details here

La funzionalità di eliminazione temporanea di Key Vault consente di recuperare gli insiemi di credenziali eliminati ed eliminare gli oggetti dell'insieme di credenziali delle chiavi (ad esempio, chiavi, segreti e certificati), noti come soft-delete.Key Vault's soft-delete feature allows recovery of the deleted vaults and deleted key vault objects (for example, keys, secrets, certificates), known as soft-delete. In particolare, vengono affrontati gli scenari seguenti: questa garanzia offre le seguenti protezioni:Specifically, we address the following scenarios: This safeguard offer the following protections:

  • Una volta che un segreto, una chiave, un certificato o un insieme di credenziali delle chiavi viene eliminato, rimarrà reversibile per un periodo configurabile da 7 a 90 giorni di calendario.Once a secret, key, certificate, or key vault is deleted, it will remain recoverable for a configurable period of 7 to 90 calendar days. Se non viene specificata alcuna configurazione, il periodo di recupero predefinito verrà impostato su 90 giorni.If no configuration is specified the default recovery period will be set to 90 days. In questo modo gli utenti hanno tempo sufficiente per rilevare un'eliminazione accidentale del segreto e rispondere.This provides users with sufficient time to notice an accidental secret deletion and respond.
  • Per eliminare definitivamente un segreto, è necessario effettuare due operazioni.Two operations must be made to permanently delete a secret. Per prima cosa, un utente deve eliminare l'oggetto, che lo inserisce nello stato di eliminazione temporanea.First a user must delete the object, which puts it into the soft-deleted state. In secondo luogo, l'utente deve eliminare l'oggetto nello stato di eliminazione temporanea.Second, a user must purge the object in the soft-deleted state. Per l'operazione di ripulitura sono necessarie autorizzazioni aggiuntive per i criteri di accesso.The purge operation requires additional access policy permissions. Queste protezioni aggiuntive riducono il rischio di eliminazione accidentale di un segreto o di un insieme di credenziali delle chiavi da parte di un utente.These additional protections reduce the risk of a user accidentally or maliciously deleting a secret or a key vault.
  • Per eliminare un segreto nello stato di eliminazione temporanea, a un'entità servizio deve essere concessa un'ulteriore autorizzazione per i criteri di accesso "ripulitura".To purge a secret in the soft-deleted state, a service principal must be granted an additional "purge" access policy permission. L'autorizzazione per l'eliminazione dei criteri di accesso non viene concessa per impostazione predefinita a qualsiasi entità servizio, inclusi l'insieme di credenziali delle chiavi e i proprietari delle sottoscrizioni e deve essere impostata intenzionalmente.The purge access policy permission is not granted by default to any service principal including key vault and subscription owners and must be deliberately set. Richiedendo un'autorizzazione per i criteri di accesso con privilegi elevati per eliminare un segreto eliminato temporaneamente, si riduce la probabilità di eliminare accidentalmente un segreto.By requiring an elevated access policy permission to purge a soft-deleted secret, it reduces the probability of accidentally deleting a secret.

Supporto di interfacceSupporting interfaces

La funzionalità di eliminazione temporanea è inizialmente disponibile attraverso le interfacce Rest, CLI, PowerShelle .NET/C# , oltre ai modelli ARM.The soft-delete feature is initially available through the REST, CLI, PowerShell, and .NET/C# interfaces, as well as ARM templates.

ScenariScenarios

Gli insiemi di credenziali delle chiavi di Azure sono risorse tracciate, gestite da Azure Resource Manager.Azure Key Vaults are tracked resources, managed by Azure Resource Manager. Azure Resource Manager specifica anche un comportamento ben definito per l'eliminazione, in base al quale al termine dell'operazione di eliminazione la risorsa non deve essere più accessibile.Azure Resource Manager also specifies a well-defined behavior for deletion, which requires that a successful DELETE operation must result in that resource not being accessible anymore. Con la funzionalità di eliminazione temporanea viene consentito invece il ripristino dell'oggetto eliminato, indipendentemente dal fatto che l'eliminazione sia stata intenzionale o accidentale.The soft-delete feature addresses the recovery of the deleted object, whether the deletion was accidental or intentional.

  1. In uno scenario tipico, un utente può aver accidentalmente eliminato un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi. Se l'insieme di credenziali delle chiavi o l'oggetto dell'insieme è stato impostato in modo da essere recuperabile entro un periodo predeterminato, l'utente può annullare l'eliminazione e ripristinare i dati.In the typical scenario, a user may have inadvertently deleted a key vault or a key vault object; if that key vault or key vault object were to be recoverable for a predetermined period, the user may undo the deletion and recover their data.

  2. In uno scenario diverso, un utente non autorizzato può tentare di eliminare un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi, ad esempio una chiave in un insieme di credenziali, per provocare un'interruzione delle attività.In a different scenario, a rogue user may attempt to delete a key vault or a key vault object, such as a key inside a vault, to cause a business disruption. In questo caso, separare l'eliminazione dell'insieme di credenziali delle chiavi o dell'oggetto dell'insieme di credenziali delle chiavi dall'eliminazione effettiva dei dati sottostanti può rappresentare una misura di sicurezza, poiché consente, ad esempio, di limitare le autorizzazioni di eliminazione dei dati solo a un ruolo attendibile.Separating the deletion of the key vault or key vault object from the actual deletion of the underlying data can be used as a safety measure by, for instance, restricting permissions on data deletion to a different, trusted role. Con questo approccio, infatti, è necessario un quorum per un'operazione che, altrimenti, determinerebbe una perdita immediata di dati.This approach effectively requires quorum for an operation which might otherwise result in an immediate data loss.

Comportamento della funzione di eliminazione temporaneaSoft-delete behavior

Quando l'eliminazione temporanea è abilitata, le risorse contrassegnate come risorse eliminate vengono mantenute per un periodo di tempo specificato (90 giorni per impostazione predefinita).When soft-delete is enabled, resources marked as deleted resources are retained for a specified period (90 days by default). Il servizio offre anche un meccanismo per il ripristino dell'oggetto eliminato, essenzialmente annullando l'operazione di eliminazione.The service further provides a mechanism for recovering the deleted object, essentially undoing the deletion.

Quando si crea un nuovo insieme di credenziali delle chiavi, l'eliminazione temporanea è abilitata per impostazione predefinita.When creating a new key vault, soft-delete is on by default. È possibile creare un insieme di credenziali delle chiavi senza eliminazione temporanea tramite l'interfaccia della riga di comando di Azure o Azure PowerShell.You can create a key vault without soft-delete through the Azure CLI or Azure PowerShell. Quando l'eliminazione temporanea è abilitata in un insieme di credenziali delle chiavi, non è possibile disabilitarlaOnce soft-delete is enabled on a key vault it cannot be disabled

Il periodo di memorizzazione predefinito è 90 giorni, ma durante la creazione dell'insieme di credenziali delle chiavi è possibile impostare l'intervallo dei criteri di conservazione su un valore compreso tra 7 e 90 giorni attraverso la portale di Azure.The default retention period is 90 days but, during key vault creation, it is possible to set the retention policy interval to a value from 7 to 90 days through the Azure portal. I criteri di conservazione con protezione da eliminazione usano lo stesso intervallo.The purge protection retention policy uses the same interval. Una volta impostato, l'intervallo dei criteri di conservazione non può essere cambiato.Once set, the retention policy interval cannot be changed.

Non è possibile riutilizzare il nome di un insieme di credenziali delle chiavi che è stato eliminato temporaneamente finché non viene superato il periodo di conservazione.You cannot reuse the name of a key vault that has been soft-deleted until the retention period has passed.

Ripulisci protezionePurge protection

L'eliminazione della protezione è un comportamento di Key Vault facoltativo e non è abilitata per impostazione predefinita.Purge protection is an optional Key Vault behavior and is not enabled by default. La protezione ripulitura può essere abilitata solo quando l'eliminazione temporanea è abilitata.Purge protection can only be enabled once soft-delete is enabled. È possibile attivarla tramite l' interfaccia della riga di comando o PowerShell.It can be turned on via CLI or PowerShell.

Quando la protezione ripulisce è attiva, un insieme di credenziali o un oggetto nello stato eliminato non può essere eliminato fino a quando non viene superato il periodo di conservazione.When purge protection is on, a vault or an object in the deleted state cannot be purged until the retention period has passed. Gli insiemi di credenziali e gli oggetti eliminati temporaneamente possono comunque essere ripristinati, garantendo che i criteri di conservazione vengano seguiti.Soft-deleted vaults and objects can still be recovered, ensuring that the retention policy will be followed.

Il periodo di memorizzazione predefinito è 90 giorni, ma è possibile impostare l'intervallo dei criteri di conservazione su un valore compreso tra 7 e 90 giorni attraverso la portale di Azure.The default retention period is 90 days, but it is possible to set the retention policy interval to a value from 7 to 90 days through the Azure portal. Quando l'intervallo dei criteri di conservazione viene impostato e salvato, non è possibile modificarlo per tale insieme di credenziali.Once the retention policy interval is set and saved it cannot be changed for that vault.

Ripulitura consentitaPermitted purge

L'eliminazione permanente di un insieme di credenziali delle chiavi non è possibile tramite un'operazione POST sulla risorsa proxy e richiede privilegi speciali.Permanently deleting, purging, a key vault is possible via a POST operation on the proxy resource and requires special privileges. In genere, solo il proprietario della sottoscrizione può eliminare in modo permanente un insieme di credenziali delle chiavi.Generally, only the subscription owner will be able to purge a key vault. L'operazione POST attiva l'eliminazione immediata e irreversibile dell'insieme di credenziali delle chiavi.The POST operation triggers the immediate and irrecoverable deletion of that vault.

Eccezioni:Exceptions are:

  • Quando la sottoscrizione di Azure è stata contrassegnata come undeletable.When the Azure subscription has been marked as undeletable. In questo caso solo il servizio può eseguire l'eliminazione effettiva, sotto forma di processo pianificato.In this case, only the service may then perform the actual deletion, and does so as a scheduled process.
  • Quando --enable-purge-protection flag è abilitato nell'insieme di credenziali.When the --enable-purge-protection flag is enabled on the vault itself. In questo caso, Key Vault attenderà 90 giorni da quando l'oggetto segreto originale è stato contrassegnato per l'eliminazione definitiva dell'oggetto.In this case, Key Vault will wait for 90 days from when the original secret object was marked for deletion to permanently delete the object.

Recupero di un insieme di credenziali delle chiaviKey vault recovery

In seguito all'eliminazione di un insieme di credenziali delle chiavi, il servizio crea una risorsa proxy nella sottoscrizione, a cui aggiungerà metadati sufficienti per il ripristino.Upon deleting a key vault, the service creates a proxy resource under the subscription, adding sufficient metadata for recovery. La risorsa proxy è un oggetto archiviato disponibile nello stesso percorso dell'insieme di credenziali delle chiavi eliminato.The proxy resource is a stored object, available in the same location as the deleted key vault.

Recupero di un oggetto di un insieme di credenziali delle chiaviKey vault object recovery

Quando si elimina un oggetto dell'insieme di credenziali delle chiavi, ad esempio una chiave, il servizio posiziona l'oggetto in uno stato eliminato, rendendolo inaccessibile per tutte le operazioni di recupero.Upon deleting a key vault object, such as a key, the service will place the object in a deleted state, making it inaccessible to any retrieval operations. In questo stato l'oggetto dell'insieme di credenziali delle chiavi può essere solo elencato, recuperato o eliminato in modo forzato o permanente.While in this state, the key vault object can only be listed, recovered, or forcefully/permanently deleted. Per visualizzare gli oggetti, usare il comando dell'interfaccia della riga di comando di Azure, az keyvault key list-deleted come illustrato in come usare Key Vault l'eliminazione temporanea con CLI, oppure il -InRemovedState parametro Azure PowerShell (come descritto in come usare Key Vault eliminazione temporanea con PowerShell).To view the objects, use the Azure CLI az keyvault key list-deleted command (as documented in How to use Key Vault soft-delete with CLI), or the Azure PowerShell -InRemovedState parameter (as described in How to use Key Vault soft-delete with PowerShell).

Al tempo stesso, Key Vault pianificherà l'esecuzione dell'eliminazione dei dati sottostanti, corrispondenti all'insieme di credenziali delle chiavi o all'oggetto dell'insieme di credenziali delle chiavi eliminato, dopo un intervallo di memorizzazione predeterminato.At the same time, Key Vault will schedule the deletion of the underlying data corresponding to the deleted key vault or key vault object for execution after a predetermined retention interval. Per la durata dell'intervallo di memorizzazione viene conservato anche il record DNS corrispondente all'insieme di credenziali delle chiavi.The DNS record corresponding to the vault is also retained for the duration of the retention interval.

Periodo di memorizzazione dell'eliminazione temporaneaSoft-delete retention period

Le risorse eliminate temporaneamente vengono conservate per un periodo di tempo impostato, 90 giorni.Soft-deleted resources are retained for a set period of time, 90 days. Durante il periodo di memorizzazione dell'eliminazione temporanea tenere presente quanto segue:During the soft-delete retention interval, the following apply:

  • È possibile elencare tutti gli insiemi di credenziali delle chiavi e gli oggetti di insiemi di credenziali delle chiavi in stato di eliminazione temporanea nella sottoscrizione, nonché accedere alle informazioni di eliminazione e recupero disponibili su di essi.You may list all of the key vaults and key vault objects in the soft-delete state for your subscription as well as access deletion and recovery information about them.
    • Gli insiemi di credenziali delle chiavi eliminati possono essere elencati solo da utenti con autorizzazioni speciali.Only users with special permissions can list deleted vaults. Per la gestione degli insiemi di credenziali delle chiavi eliminati è consigliabile creare un ruolo personalizzato a cui assegnare queste autorizzazioni speciali.We recommend that our users create a custom role with these special permissions for handling deleted vaults.
  • Non è possibile creare nello stesso percorso due insiemi di credenziali delle chiavi con lo stesso nome. Analogamente, non è possibile creare un insieme di credenziali delle chiavi in un determinato insieme di credenziali se l'insieme di credenziali delle chiavi contiene un oggetto con lo stesso nome impostato in uno stato eliminato.A key vault with the same name cannot be created in the same location; correspondingly, a key vault object cannot be created in a given vault if that key vault contains an object with the same name and which is in a deleted state
  • Solo un utente con privilegi specifici può recuperare un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi eseguendo un comando di ripristino sulla risorsa proxy corrispondente.Only a specifically privileged user may restore a key vault or key vault object by issuing a recover command on the corresponding proxy resource.
    • Può recuperare l'insieme di credenziali delle chiavi l'utente che, membro del ruolo personalizzato, dispone dei privilegi necessari per creare un insieme di credenziali delle chiavi nel gruppo di risorse.The user, member of the custom role, who has the privilege to create a key vault under the resource group can restore the vault.
  • Solo un utente con privilegi specifici può eliminare in modo forzato un insieme di credenziali delle chiavi o un oggetto di un insieme di credenziali delle chiavi eseguendo un comando di eliminazione sulla risorsa proxy corrispondente.Only a specifically privileged user may forcibly delete a key vault or key vault object by issuing a delete command on the corresponding proxy resource.

Se l'insieme di credenziali delle chiavi o l'oggetto dell'insieme di credenziali delle chiavi non viene recuperato, alla fine dell'intervallo di memorizzazione il servizio esegue un'operazione di ripulitura sull'insieme di credenziali delle chiavi o sull'oggetto dell'insieme eliminato in modo temporaneo, nonché sui relativi contenuti.Unless a key vault or key vault object is recovered, at the end of the retention interval the service performs a purge of the soft-deleted key vault or key vault object and its content. È possibile che l'eliminazione della risorsa non venga ripianificata.Resource deletion may not be rescheduled.

Implicazioni relative alla fatturazioneBilling implications

In generale, quando un oggetto (un insieme di credenziali delle chiavi o una chiave o una chiave privata) è in stato di eliminazione, esistono solo due operazioni possibili: “Ripulisci” e “Ripristina”.In general, when an object (a key vault or a key or a secret) is in deleted state, there are only two operations possible: 'purge' and 'recover'. Tutte le altre operazioni avranno esito negativo.All the other operations will fail. Pertanto, anche se l'oggetto esiste, non potrà essere eseguita alcuna operazioni e non sarà possibile utilizzarlo,quindi non vi sarà alcuna fatturazione.Therefore, even though the object exists, no operations can be performed and hence no usage will occur, so no bill. Tuttavia, sono presenti le seguenti eccezioni:However there are following exceptions:

  • le operazioni “Ripulisci“ e '”Ripristina'” verranno considerate come normali operazioni di insieme di credenziali delle chiavi e verranno fatturate.'purge' and 'recover' actions will count towards normal key vault operations and will be billed.
  • Se l'oggetto è una chiave HSM, l'addebito “Chiave protetta dal modulo di protezione hardware” verrà applicato per ogni versione della chiave per ogni mese se è stata utilizzata una versione della chiave negli ultimi 30 giorni.If the object is an HSM-key, the 'HSM Protected key' charge per key version per month charge will apply if a key version has been used in last 30 days. In seguito, poiché l'oggetto è in stato di eliminazione, non sarà possibile eseguire alcune operazioni contrastanti, pertanto non verrà applicato alcun costo.After that, since the object is in deleted state no operations can be performed against it, so no charge will apply.

Passaggi successiviNext steps

Le due guide seguenti descrivono gli scenari principali di utilizzo dell'eliminazione temporanea.The following two guides offer the primary usage scenarios for using soft-delete.