Usuwanie nietrwałe zostanie włączone we wszystkich magazynach kluczy

Ostrzeżenie

Zmiana powodująca niezgodność: należy natychmiast włączyć usuwanie nietrwałe w magazynach kluczy. Aby uzyskać szczegółowe informacje, zobacz poniżej.

Jeśli wpis tajny zostanie usunięty, a magazyn kluczy nie ma ochrony przed usuwaniem nietrwałym, zostanie trwale usunięty. Chociaż użytkownicy mogą obecnie zrezygnować z usuwania nietrwałego podczas tworzenia magazynu kluczy, ta możliwość jest przestarzała. W lutym 2025 r. firma Microsoft włączy ochronę przed usuwaniem nietrwałym we wszystkich magazynach kluczy, a użytkownicy nie będą już mogli zrezygnować ani wyłączyć usuwania nietrwałego. Spowoduje to ochronę wpisów tajnych przed przypadkowym lub złośliwym usunięciem przez użytkownika.

Diagram przedstawiający sposób usuwania magazynu kluczy z ochroną usuwania nietrwałego w porównaniu z ochroną przed usuwaniem nietrwałym.

Aby uzyskać szczegółowe informacje na temat funkcji usuwania nietrwałego, zobacz Omówienie usuwania nietrwałego platformy Azure Key Vault usuwania nietrwałego.

Czy moja aplikacja może działać z włączonym usuwaniem nietrwałym?

Nazwy magazynów kluczy są globalnie unikatowe. Nazwy wpisów tajnych przechowywanych w magazynie kluczy są również unikatowe. Nie będzie można ponownie użyć nazwy magazynu kluczy lub obiektu magazynu kluczy, który istnieje w stanie usunięcia nietrwałego.

Jeśli na przykład aplikacja programowo utworzy magazyn kluczy o nazwie "Vault A", a później usunie "Magazyn A", magazyn kluczy zostanie przeniesiony do stanu usunięcia nietrwałego. Aplikacja nie będzie mogła ponownie utworzyć innego magazynu kluczy o nazwie "Vault A", dopóki magazyn kluczy nie zostanie oczyszczony ze stanu usunięcia nietrwałego.

Ponadto jeśli aplikacja utworzy klucz o nazwie "Vault A", a później usunie ten klucz, aplikacja nie będzie mogła utworzyć nowego klucza o nazwie test keytest key "Vault A", dopóki test key obiekt nie zostanie przeczyszczone ze stanu usunięcia nietrwałego.

Próba usunięcia obiektu magazynu kluczy i ponowne utworzenie go o tej samej nazwie bez przeczyszczania go ze stanu usunięcia nietrwałego może spowodować błędy powodujące konflikt. Te błędy mogą spowodować niepowodzenie aplikacji lub automatyzacji. Zanim wprowadzisz następujące wymagane zmiany aplikacji i administracji, skontaktuj się z zespołem deweloperów.

Zmiany aplikacji

Jeśli aplikacja zakłada, że usuwanie nietrwałe nie jest włączone i oczekuje, że usunięte nazwy wpisu tajnego lub magazynu kluczy są dostępne do natychmiastowego ponownego użycia, musisz wprowadzić następujące zmiany w logice aplikacji.

  1. Usuń oryginalny magazyn kluczy lub wpis tajny.
  2. Przeczyść magazyn kluczy lub wpis tajny w stanie usunięcia nietrwałego.
  3. Poczekaj na zakończenie przeczyszczenia. Natychmiastowe ponowne utworzenie może spowodować konflikt.
  4. Utwórz ponownie magazyn kluczy o tej samej nazwie.
  5. Jeśli operacja tworzenia nadal powoduje błąd powodujący konflikt nazw, spróbuj ponownie utworzyć magazyn kluczy. Aktualizacja rekordów usługi Azure DNS może potrwać do 10 minut w najgorszym scenariuszu.

Zmiany administracyjne

Podmioty zabezpieczeń, które potrzebują dostępu do trwałego usuwania wpisów tajnych, muszą mieć przyznane więcej uprawnień zasad dostępu do przeczyszczania tych wpisów tajnych i magazynu kluczy.

Wyłącz wszystkie Azure Policy przypisania w magazynach kluczy, które nakazują wyłączenie usuwania nietrwałego. Może być konieczne eskalacja tego problemu do administratora, który kontroluje Azure Policy przypisania zastosowane do środowiska. Jeśli to przypisanie zasad nie jest wyłączone, możesz utracić możliwość tworzenia nowych magazynów kluczy w zakresie zastosowanego przypisania zasad.

Jeśli Organizacja podlega wymaganiom prawnym dotyczącymi zgodności i nie może zezwolić usuniętym magazynom kluczy i wpisom tajnym na pozostanie w stanie możliwego do odzyskania przez dłuższy czas, musisz dostosować okres przechowywania usuwania nietrwałego w celu spełnienia standardów organizacji. Okres przechowywania można skonfigurować do ostatniego od 7 do 90 dni.

Procedury

Przeprowadź inspekcję magazynów kluczy, aby sprawdzić, czy włączono usuwanie nietrwałe

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj Azure Policy.
  3. Wybierz pozycję Definicje.
  4. W obszarze Kategoria wybierz pozycję Key Vault w filtrze.
  5. Wybierz Key Vault powinny mieć włączone zasady usuwania nietrwałego.
  6. Wybierz opcję Przypisz.
  7. Ustaw zakres na subskrypcję.
  8. Upewnij się, że efekt zasad jest ustawiony na Wartość Inspekcja.
  9. Wybierz pozycję Przejrzyj i utwórz. Pełne skanowanie środowiska może potrwać do 24 godzin.
  10. W okienku Azure Policy wybierz pozycję Zgodność.
  11. Wybierz zastosowane zasady.

Teraz można filtrować i zobaczyć, które magazyny kluczy mają włączone usuwanie nietrwałe (zgodne zasoby) i które magazyny kluczy nie mają włączonego usuwania nietrwałego (niezgodne zasoby).

Włączanie usuwania nietrwałego dla istniejącego magazynu kluczy

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj swój magazyn kluczy.
  3. Wybierz pozycję Właściwości w obszarze Ustawienia.
  4. W obszarze Usuwanie nietrwałe wybierz opcję Włącz odzyskiwanie tego magazynu i jego obiektów .
  5. Ustaw okres przechowywania dla usuwania nietrwałego.
  6. Wybierz pozycję Zapisz.

Udzielanie uprawnień zasad dostępu przeczyszczania do podmiotu zabezpieczeń

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj swój magazyn kluczy.
  3. Wybierz pozycję Zasady dostępu w obszarze Ustawienia.
  4. Wybierz jednostkę usługi, do której chcesz udzielić dostępu.
  5. Przejdź do każdego menu rozwijanego w obszarze Uprawnienia klucza, wpisu tajnego i certyfikatu do momentu wyświetlenia opcji Operacje uprzywilejowane. Wybierz uprawnienie Przeczyszczanie .

Często zadawane pytania

Czy ta zmiana wpływa na mnie?

Jeśli masz już włączone usuwanie nietrwałe lub jeśli nie usuniesz i ponownie utworzysz obiekty magazynu kluczy o tej samej nazwie, prawdopodobnie nie zauważysz żadnych zmian w zachowaniu magazynu kluczy.

Jeśli masz aplikację, która usuwa i ponownie tworzy obiekty magazynu kluczy z tymi samymi konwencjami nazewnictwa często, musisz wprowadzić zmiany w logice aplikacji, aby zachować oczekiwane zachowanie. Zobacz sekcję Zmiany aplikacji w tym artykule.

Jak mogę skorzystać z tej zmiany?

Ochrona przed usuwaniem nietrwałym zapewnia organizacji kolejną warstwę ochrony przed przypadkowym lub złośliwym usunięciem. Jako administrator magazynu kluczy możesz ograniczyć dostęp zarówno do odzyskiwania uprawnień, jak i przeczyszczania uprawnień.

Jeśli użytkownik przypadkowo usunie magazyn kluczy lub wpis tajny, możesz udzielić im uprawnień dostępu do odzyskania wpisu tajnego bez tworzenia ryzyka trwałego usunięcia wpisu tajnego lub magazynu kluczy. Ten proces samoobsługowy minimalizuje przestoje w środowisku i gwarantuje dostępność wpisów tajnych.

Jak mogę dowiedzieć się, czy muszę podjąć działania?

Wykonaj kroki opisane w sekcji Przeprowadź inspekcję magazynów kluczy, aby sprawdzić, czy usuwanie nietrwałe jest włączone w tym artykule. Ta zmiana wpłynie na dowolny magazyn kluczy, który nie ma włączonego usuwania nietrwałego.

Jaką akcję należy wykonać?

Po potwierdzeniu, że nie musisz wprowadzać zmian w logice aplikacji, włącz usuwanie nietrwałe we wszystkich magazynach kluczy.

Kiedy muszę podjąć działania?

Aby upewnić się, że twoje aplikacje nie mają wpływu, włącz usuwanie nietrwałe w magazynach kluczy tak szybko, jak to możliwe.

Następne kroki