Herstelbeheer van Azure Key Vault met voorlopig verwijderen en beveiliging tegen opschonen

Artikel
02/20/2024

In dit artikel worden twee herstelfuncties van Azure Key Vault behandeld: voorlopig verwijderen en beveiliging tegen opschonen. Dit document bevat een overzicht van deze functies en laat zien hoe u deze kunt beheren via de Azure Portal, Azure CLI en Azure PowerShell.

Zie voor meer informatie over Key Vault

Vereisten

Een Azure-abonnement - Een gratis abonnement maken
Azure PowerShell.
Azure-CLI
Een Key Vault: u kunt er een maken met Azure Portal Azure CLI of Azure PowerShell

De gebruiker heeft de volgende machtigingen (op abonnementsniveau) nodig om bewerkingen uit te voeren op voorlopig verwijderde kluizen:

Machtiging	Beschrijving
Microsoft.KeyVault/locations/deletedVaults/read	De eigenschappen van een voorlopig verwijderde sleutelkluis weergeven
Microsoft.KeyVault/locations/deletedVaults/purge/action	Een voorlopig verwijderde sleutelkluis opschonen
Microsoft.KeyVault/locations/operationResults/read	De opschoonstatus van de kluis controleren
Key Vault inzender	Voorlopig verwijderde kluis herstellen

Wat zijn beveiliging tegen voorlopig verwijderen en opschonen?

Voorlopig verwijderen en beveiliging tegen opschonen zijn twee verschillende functies voor herstel van de sleutelkluis.

Voorlopig verwijderen is ontworpen om onbedoelde verwijdering van uw sleutelkluis en sleutels, geheimen en certificaten die zijn opgeslagen in de sleutelkluis te voorkomen. U kunt voorlopig verwijderen beschouwen als een prullenbak. Wanneer u een sleutelkluis of een sleutelkluisobject verwijdert, blijft het herstelbaar voor een door de gebruiker configureerbare bewaarperiode of een standaardperiode van 90 dagen. Sleutelkluizen met de status Voorlopig verwijderd kunnen ook worden opgeschoond , wat betekent dat ze permanent worden verwijderd. Hiermee kunt u sleutelkluizen en sleutelkluisobjecten met dezelfde naam opnieuw maken. Voor zowel het herstellen als verwijderen van sleutelkluizen en -objecten zijn verhoogde toegangsbeleidsmachtigingen vereist. Zodra voorlopig verwijderen is ingeschakeld, kan dit niet meer worden uitgeschakeld.

Belangrijk

U moet voorlopig verwijderen van uw sleutelkluizen onmiddellijk inschakelen. De mogelijkheid om u af te melden voor voorlopig verwijderen is afgeschaft en wordt in februari 2025 verwijderd. Bekijk hier de volledige details

Het is belangrijk om te weten dat namen van sleutelkluisen wereldwijd uniek zijn, zodat u geen sleutelkluis met dezelfde naam kunt maken als een sleutelkluis met de status Voorlopig verwijderd. Op dezelfde manier zijn de namen van sleutels, geheimen en certificaten uniek binnen een sleutelkluis. U kunt geen geheim, sleutel of certificaat maken met dezelfde naam als een ander geheim, sleutel of certificaat met de status Voorlopig verwijderd.

Beveiliging tegen opschonen is ontworpen om te voorkomen dat uw sleutelkluis, sleutels, geheimen en certificaten door een kwaadwillende insider worden verwijderd. U kunt dit zien als een prullenbak met een vergrendeling op basis van tijd. U kunt items op elk gewenst moment tijdens de configureerbare bewaarperiode herstellen. U kunt een sleutelkluis pas definitief verwijderen of opschonen als de bewaarperiode is verstreken. Zodra de bewaarperiode is verstreken, wordt het sleutelkluis- of sleutelkluisobject automatisch opgeschoond.

Notitie

Beveiliging tegen opschonen is zo ontworpen dat geen beheerdersrol of -machtiging de beveiliging tegen opschonen kan overschrijven, uitschakelen of omzeilen. Zodra opschoningsbescherming is ingeschakeld, kan deze door niemand worden uitgeschakeld of overschreven, ook niet door Microsoft. Dit betekent dat u een verwijderde sleutelkluis moet herstellen of moet wachten tot de bewaarperiode is verstreken voordat u de naam van de sleutelkluis opnieuw gaat gebruiken.

Zie Overzicht van Azure Key Vault voorlopig verwijderen voor meer informatie over voorlopig verwijderen

Controleer of voorlopig verwijderen is ingeschakeld voor een sleutelkluis en schakel voorlopig verwijderen in

Meld u aan bij Azure Portal.
Selecteer uw sleutelkluis.
Klik op de blade Eigenschappen.
Controleer of het keuzerondje naast voorlopig verwijderen is ingesteld op 'Herstel inschakelen'.
Als voorlopig verwijderen niet is ingeschakeld voor de sleutelkluis, klikt u op het keuzerondje om voorlopig verwijderen in te schakelen en klikt u op Opslaan.

Bij Eigenschappen is Voorlopig verwijderen gemarkeerd, net als de waarde om dit in te schakelen.

Toegang verlenen aan een service-principal voor het opschonen en herstellen van verwijderde geheimen

Meld u aan bij Azure Portal.
Selecteer uw sleutelkluis.
Klik op de blade Toegangsbeleid.
Zoek in de tabel de rij van de beveiligingsprincipal waaraan u toegang wilt verlenen (of voeg een nieuwe beveiligingsprincipal toe).
Klik op de vervolgkeuzelijst voor sleutels, certificaten en geheimen.
Schuif naar de onderkant van de vervolgkeuzelijst en klik op Herstellen en Opschonen
Beveiligingsprincipals hebben ook get- en list-functionaliteit nodig om de meeste bewerkingen uit te voeren.

In het linkernavigatiedeelvenster is Toegangsbeleid gemarkeerd. Bij Toegangsbeleid wordt de vervolgkeuzelijst Geheime posities weergegeven en zijn vier items geselecteerd: Ophalen, Lijst, Herstellen en Opschonen.

Een voorlopig verwijderde sleutelkluis weergeven, herstellen of opschonen

Meld u aan bij Azure Portal.
Klik op de zoekbalk boven aan de pagina.
Zoek naar de service 'Key Vault'. Klik niet op een afzonderlijke sleutelkluis.
Klik bovenaan het scherm op de optie 'Verwijderde kluizen beheren'
Er wordt een contextvenster geopend aan de rechterkant van het scherm.
Selecteer uw abonnement.
Als uw sleutelkluis voorlopig is verwijderd, wordt deze weergegeven in het contextvenster aan de rechterkant.
Als er te veel kluizen zijn, kunt u klikken op 'Meer laden' onderaan het contextvenster of CLI of PowerShell gebruiken om de resultaten op te halen.
Zodra u de kluis hebt gevonden die u wilt herstellen of opschonen, schakelt u het selectievakje ernaast in.
Selecteer de hersteloptie onderaan het contextvenster als u de sleutelkluis wilt herstellen.
Selecteer de optie opschonen als u de sleutelkluis definitief wilt verwijderen.

Bij Sleutelkluizen is de optie Verwijderde kluizen beheren gemarkeerd.

In Verwijderde sleutelkluizen beheren is de enige vermelde sleutelkluis gemarkeerd en geselecteerd en is de knop Herstellen gemarkeerd.

Voorlopig verwijderde geheimen, sleutels en certificaten weergeven, herstellen of opschonen

Meld u aan bij Azure Portal.
Selecteer uw sleutelkluis.
Selecteer de blade die overeenkomt met het type geheim dat u wilt beheren (sleutels, geheimen of certificaten).
Klik boven aan het scherm op 'Verwijderen beheren (sleutels, geheimen of certificaten)
Aan de rechterkant van het scherm wordt een contextvenster weergegeven.
Als uw geheim, sleutel of certificaat niet in de lijst wordt weergegeven, heeft het niet de status Voorlopig verwijderd.
Selecteer het geheim, de sleutel of het certificaat dat u wilt beheren.
Selecteer de optie voor herstellen of opschonen onderaan het contextvenster.

Bij Sleutels is de optie Verwijderde sleutels beheren gemarkeerd.

Key Vault (CLI)

Controleren of voorlopig verwijderen is ingeschakeld voor een sleutelkluis

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Voorlopig verwijderen inschakelen voor sleutelkluis

Voor alle nieuwe sleutelkluizen is voorlopig verwijderen standaard ingeschakeld. Als u momenteel een sleutelkluis hebt waarvoor voorlopig verwijderen niet is ingeschakeld, gebruikt u de volgende opdracht om voorlopig verwijderen in te schakelen.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```

Sleutelkluis verwijderen (herstelbaar als voorlopig verwijderen is ingeschakeld)

az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Alle voorlopig verwijderde sleutelkluizen weergeven

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Voorlopig verwijderde sleutelkluis herstellen

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Voorlopig verwijderde sleutelkluis opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTELKLUIS DEFINITIEF VERWIJDERD)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Beveiliging tegen opschonen inschakelen voor sleutelkluis

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certificaten (CLI)

Toegang verlenen voor het opschonen en herstellen van certificaten

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Certificaat verwijderen

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Verwijderde certificaten weergeven

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Verwijderd certificaat herstellen

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Voorlopig verwijderd certificaat opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW CERTIFICAAT DEFINITIEF VERWIJDERD)
```
az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}
```

Sleutels (CLI)

Toegang verlenen om sleutels op te puren en te herstellen

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Sleutel verwijderen

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Verwijderde sleutels vermelden

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Verwijderde sleutel herstellen

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Voorlopig verwijderde sleutel opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTEL DEFINITIEF VERWIJDERD)
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}
```

Geheimen (CLI)

Toegang verlenen tot het opschonen en herstellen van geheimen

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Geheim verwijderen

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Verwijderde geheimen weergeven

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Verwijderd geheim herstellen

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Voorlopig verwijderd geheim opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW GEHEIM DEFINITIEF VERWIJDERD)
```
az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}
```

Key Vault (PowerShell)

Controleren of voorlopig verwijderen is ingeschakeld voor een sleutelkluis
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Sleutelkluis verwijderen

Remove-AzKeyVault -VaultName 'ContosoVault'

Alle voorlopig verwijderde sleutelkluizen weergeven
```
Get-AzKeyVault -InRemovedState
```

Voorlopig verwijderde sleutelkluis herstellen

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Voorlopig verwijderde sleutelkluis opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTELKLUIS DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Beveiliging tegen opschonen inschakelen voor sleutelkluis

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certificaten (PowerShell)

Machtigingen verlenen voor het herstellen en opschonen van certificaten

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Een certificaat verwijderen

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Alle verwijderde certificaten in een sleutelkluis weergeven

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Een certificaat met de status Verwijderd herstellen

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Een voorlopig verwijderd certificaat opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW CERTIFICAAT DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Sleutels (PowerShell)

Machtigingen verlenen voor het herstellen en opschonen van sleutels

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Een sleutel verwijderen

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Alle verwijderde sleutels in een sleutelkluis weergeven

Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState

Een voorlopig verwijderde sleutel herstellen

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Een voorlopig verwijderde sleutel leegmaken (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTEL DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Geheimen (PowerShell)

Machtigingen verlenen voor het herstellen en opschonen van geheimen

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Een geheim met de naam SQLPassword verwijderen

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Alle verwijderde geheimen in een sleutelkluis weergeven

Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState

Een geheim met de status Verwijderd herstellen

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Een geheim met de status Verwijderd opschonen (WAARSCHUWING! MET DEZE BEWERKING WORDT UW SLEUTEL DEFINITIEF VERWIJDERD)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```