Azure Key Vault — omówienie usuwania nietrwałego

  • Artykuł

Ważne

Należy natychmiast włączyć usuwanie nietrwałe w magazynach kluczy. Możliwość rezygnacji z usuwania nietrwałego jest przestarzała i zostanie usunięta w lutym 2025 r. Zobacz pełne szczegóły tutaj

Ważne

Gdy usługa Key Vault zostanie usunięta nietrwale, usługi zintegrowane z usługą Key Vault zostaną usunięte. Na przykład: przypisania ról RBAC platformy Azure i subskrypcje usługi Event Grid. Odzyskanie nietrwale usuniętego magazynu kluczy nie spowoduje przywrócenia tych usług. Należy je ponownie utworzyć.

Funkcja usuwania nietrwałego w usłudze Key Vault umożliwia odzyskiwanie usuniętych magazynów i usuniętych obiektów magazynów kluczy (np. kluczy, wpisów tajnych, certyfikatów). W szczególności omówimy następujące scenariusze: Ta ochrona oferuje następujące zabezpieczenia:

  • Po usunięciu wpisu tajnego, klucza, certyfikatu lub magazynu kluczy można go odzyskać przez konfigurowalny okres od 7 do 90 dni kalendarzowych. Jeśli nie określono konfiguracji, domyślny okres odzyskiwania zostanie ustawiony na 90 dni. Zapewnia to użytkownikom wystarczający czas, aby zauważyć przypadkowe usunięcie wpisu tajnego i zareagować.
  • Aby trwale usunąć wpis tajny, należy wykonać dwie operacje. Najpierw użytkownik musi usunąć obiekt, co powoduje przejście obiektu w stan usunięcia nietrwałego. Następnie użytkownik musi przeczyścić obiekt w stanie usunięcia nietrwałego. Te dodatkowe zabezpieczenia zmniejszają ryzyko przypadkowego lub złośliwego usunięcia wpisu tajnego lub magazynu kluczy.
  • Aby przeczyścić klucz tajny, klucz, certyfikat w stanie usunięcia nietrwałego, podmiot zabezpieczeń musi mieć przyznane uprawnienie operacji "przeczyszczania".

Interfejsy pomocnicze

Funkcja usuwania nietrwałego jest dostępna za pośrednictwem interfejsu API REST, interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell i interfejsów .NET/C#, a także szablonów usługi ARM.

Scenariusze

Usługi Azure Key Vault są śledzone zasoby zarządzane przez usługę Azure Resource Manager. Usługa Azure Resource Manager określa również dobrze zdefiniowane zachowanie usuwania, które wymaga pomyślnej operacji DELETE, co spowoduje, że ten zasób nie będzie już dostępny. Funkcja usuwania nietrwałego rozwiązuje problem z odzyskiwaniem usuniętego obiektu, niezależnie od tego, czy usunięcie było przypadkowe, czy zamierzone.

  1. W typowym scenariuszu użytkownik może przypadkowo usunąć magazyn kluczy lub obiekt magazynu kluczy; Jeśli ten magazyn kluczy lub obiekt magazynu kluczy miały być możliwe do odzyskania przez wstępnie określony okres, użytkownik może cofnąć usunięcie i odzyskać swoje dane.

  2. W innym scenariuszu nieuczciwy użytkownik może podjąć próbę usunięcia magazynu kluczy lub obiektu magazynu kluczy, takiego jak klucz wewnątrz magazynu, w celu wystąpienia zakłóceń w działalności biznesowej. Oddzielenie usunięcia magazynu kluczy lub obiektu magazynu kluczy z rzeczywistego usunięcia danych bazowych może być używane jako środek bezpieczeństwa, na przykład ograniczenie uprawnień do usuwania danych do innej, zaufanej roli. Takie podejście skutecznie wymaga kworum dla operacji, która w przeciwnym razie może spowodować natychmiastową utratę danych.

Zachowanie usuwania nietrwałego

Po włączeniu usuwania nietrwałego zasoby oznaczone jako usunięte zasoby są zachowywane przez określony okres (domyślnie 90 dni). Usługa dodatkowo udostępnia mechanizm odzyskiwania usuniętego obiektu, zasadniczo cofania usuwania.

Podczas tworzenia nowego magazynu kluczy usuwanie nietrwałe jest domyślnie włączone. Po włączeniu usuwania nietrwałego w magazynie kluczy nie można go wyłączyć.

Interwał zasad przechowywania można skonfigurować tylko podczas tworzenia magazynu kluczy i nie można go później zmienić. Możesz ustawić go w dowolnym miejscu z zakresu od 7 do 90 dni, a wartość domyślna to 90 dni. Ten sam interwał dotyczy zarówno usuwania nietrwałego, jak i zasad przechowywania ochrony przed przeczyszczania.

Nie można ponownie użyć nazwy magazynu kluczy, który został usunięty nietrwale, dopóki okres przechowywania nie upłynął.

Ochrona przed przeczyszczaniem

Ochrona przed przeczyszczeniem jest opcjonalnym zachowaniem usługi Key Vault i nie jest domyślnie włączona. Ochronę przeczyszczania można włączyć tylko po włączeniu usuwania nietrwałego. Ochrona przed przeczyszczaniem jest zalecana w przypadku używania kluczy do szyfrowania, aby zapobiec utracie danych. Większość usług platformy Azure, które integrują się z usługą Azure Key Vault, takich jak Storage, wymaga ochrony przed przeczyszczeniem, aby zapobiec utracie danych.

Gdy ochrona przed przeczyszczeniem jest włączona, magazyn lub obiekt w stanie usuniętym nie może zostać przeczyszczone do momentu upływu okresu przechowywania. Magazyny i obiekty usunięte nietrwale mogą być nadal odzyskiwane, dzięki czemu będą przestrzegane zasady przechowywania.

Domyślny okres przechowywania wynosi 90 dni, ale można ustawić interwał zasad przechowywania na wartość z zakresu od 7 do 90 dni w witrynie Azure Portal. Po ustawieniu interwału zasad przechowywania i zapisaniu go nie można zmienić dla tego magazynu.

Przeczyszczanie ochrony można włączyć za pomocą interfejsu wiersza polecenia, programu PowerShell lub portalu.

Dozwolone przeczyszczanie

Trwałe usuwanie, przeczyszczanie magazynu kluczy jest możliwe za pośrednictwem operacji POST w zasobie serwera proxy i wymaga specjalnych uprawnień. Ogólnie rzecz biorąc, tylko właściciel subskrypcji będzie mógł przeczyścić magazyn kluczy. Operacja POST wyzwala natychmiastowe i nieodzyskiwalne usunięcie tego magazynu.

Wyjątki to:

  • Gdy subskrypcja platformy Azure została oznaczona jako cofniętą. W takim przypadku tylko usługa może wykonać rzeczywiste usunięcie i wykonać to jako zaplanowany proces.
  • --enable-purge-protection Gdy argument jest włączony w samym magazynie. W takim przypadku usługa Key Vault będzie czekać od 7 do 90 dni od momentu, gdy oryginalny obiekt tajny został oznaczony do usunięcia, aby trwale usunąć obiekt.

Aby uzyskać instrukcje, zobacz How to use Key Vault soft-delete with CLI: Purging a key vault or How to use Key Vault soft-delete with PowerShell: Purging a key vault (Jak używać usuwania nietrwałego usługi Key Vault za pomocą programu PowerShell: przeczyszczanie magazynu kluczy).

Odzyskiwanie magazynu kluczy

Po usunięciu magazynu kluczy usługa tworzy zasób serwera proxy w ramach subskrypcji, dodając wystarczające metadane do odzyskiwania. Zasób serwera proxy jest przechowywanym obiektem dostępnym w tej samej lokalizacji co usunięty magazyn kluczy.

Odzyskiwanie obiektów magazynu kluczy

Po usunięciu obiektu magazynu kluczy, takiego jak klucz, usługa umieści obiekt w stanie usuniętym, co czyni go niedostępnym dla wszystkich operacji pobierania. W tym stanie obiekt magazynu kluczy może być wymieniony, odzyskany lub trwale usunięty. Aby wyświetlić obiekty, użyj polecenia interfejsu wiersza polecenia platformy Azure (jak używać usuwania nietrwałego usługi Key Vault za pomocą interfejsu wiersza poleceniaaz keyvault key list-deleted) lub polecenia programu Azure PowerShell (zgodnie z opisem w temacie Jak używać usuwania nietrwałego usługi Key Vault za pomocą programu PowerShellGet-AzKeyVault -InRemovedState).

W tym samym czasie usługa Key Vault zaplanuje usunięcie danych bazowych odpowiadających usuniętemu magazynowi kluczy lub obiektowi magazynu kluczy do wykonania po wstępnie określonym interwale przechowywania. Rekord DNS odpowiadający magazynowi jest również zachowywany przez czas trwania interwału przechowywania.

Okres przechowywania usuwania nietrwałego

Zasoby usunięte nietrwale są zachowywane przez określony czas, 90 dni. Podczas interwału przechowywania usuwania nietrwałego obowiązują następujące elementy:

  • Wszystkie magazyny kluczy i obiekty magazynu kluczy można wyświetlić w stanie usuwania nietrwałego dla subskrypcji, a także uzyskać informacje o usuwaniu i odzyskiwaniu.
    • Tylko użytkownicy z specjalnymi uprawnieniami mogą wyświetlać listę usuniętych magazynów. Zalecamy, aby nasi użytkownicy utworzyli rolę niestandardową z tymi specjalnymi uprawnieniami do obsługi usuniętych magazynów.
  • Nie można utworzyć magazynu kluczy o tej samej nazwie w tej samej lokalizacji; nie można utworzyć obiektu magazynu kluczy w danym magazynie, jeśli ten magazyn kluczy zawiera obiekt o tej samej nazwie i który jest w stanie usunięcia.
  • Tylko specjalnie uprzywilejowany użytkownik może przywrócić magazyn kluczy lub obiekt magazynu kluczy, wydając polecenie odzyskiwania dla odpowiedniego zasobu serwera proxy.
    • Użytkownik, członek roli niestandardowej, który ma uprawnienia do tworzenia magazynu kluczy w grupie zasobów, może przywrócić magazyn.
  • Tylko specjalnie uprzywilejowany użytkownik może przymusowo usunąć magazyn kluczy lub obiekt magazynu kluczy, wydając polecenie usuwania dla odpowiedniego zasobu serwera proxy.

Jeśli magazyn kluczy lub obiekt magazynu kluczy nie zostanie odzyskany, na końcu interwału przechowywania usługa wykonuje przeczyszczenie nietrwałego magazynu kluczy lub obiektu magazynu kluczy i jego zawartości. Nie można ponownie anulować usuwania zasobów.

Implikacje dotyczące rozliczeń

Ogólnie rzecz biorąc, gdy obiekt (magazyn kluczy lub klucz lub klucz tajny) jest w stanie usunięcia, możliwe są tylko dwie operacje: "przeczyszczanie" i "odzyskiwanie". Wszystkie pozostałe operacje zakończy się niepowodzeniem. W związku z tym, mimo że obiekt istnieje, nie można wykonać żadnych operacji i dlatego nie zostaną wykonane żadne operacje, więc bez rachunku. Istnieją jednak następujące wyjątki:

  • Akcje "przeczyszczania" i "odzyskiwania" będą liczone do normalnych operacji magazynu kluczy i będą rozliczane.
  • Jeśli obiekt jest kluczem HSM, opłata za wersję klucza chronionego przez moduł HSM na miesiąc zostanie zastosowana, jeśli wersja klucza została użyta w ciągu ostatnich 30 dni. Po tym, ponieważ obiekt jest w stanie usunięcia, nie można wykonać żadnych operacji na nim, więc nie zostaną naliczone żadne opłaty.

Następne kroki

Poniższe trzy przewodniki oferują podstawowe scenariusze użycia na potrzeby usuwania nietrwałego.