Zarządzana ochrona usuwania nietrwałego i przeczyszczania modułu HSM
W tym artykule opisano dwie funkcje odzyskiwania zarządzanego modułu HSM: usuwanie nietrwałe i czyszczenie. Zawiera omówienie tych funkcji i pokazuje, jak nimi zarządzać przy użyciu interfejsu wiersza polecenia platformy Azure i Azure PowerShell.
Aby uzyskać więcej informacji, zobacz Omówienie zarządzanego modułu HSM.
Wymagania wstępne
Subskrypcja platformy Azure. Utwórz go bezpłatnie.
Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej. Uruchom polecenie ,
az --versionaby określić, którą wersję masz. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.Zarządzany moduł HSM. Możesz go utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure lub Azure PowerShell.
Użytkownicy będą potrzebować następujących uprawnień do wykonywania operacji na nietrwale usuniętych modułach HSM lub kluczach:
Przypisanie roli Opis Współautor zarządzanego modułu HSM Wyświetlanie, odzyskiwanie i przeczyszczanie nietrwałych modułów HSM Zarządzany użytkownik kryptograficzny modułu HSM Wyświetlanie listy kluczy usuniętych nietrwale Zarządzany moduł HSM Crypto Officer Przeczyszczanie i odzyskiwanie kluczy usuniętych nietrwale
Co to jest ochrona przed usuwaniem nietrwałym i przeczyszczaniem?
Ochrona przed usuwaniem nietrwałym i przeczyszczeniem to funkcje odzyskiwania.
Usuwanie nietrwałe zostało zaprojektowane tak, aby zapobiec przypadkowemu usunięciu modułu HSM i kluczy. Usuwanie nietrwałe działa jak kosz. Usunięcie modułu HSM lub klucza pozostanie możliwe do odzyskania przez konfigurowalny okres przechowywania lub domyślny okres 90 dni. Moduły HSM i klucze w stanie usunięcia nietrwałego można również przeczyścić, co oznacza, że są trwale usuwane. Przeczyszczanie umożliwia ponowne tworzenie modułów HSM i kluczy o tej samej nazwie co przeczyszczonego elementu. Zarówno odzyskiwanie, jak i usuwanie modułów HSM i kluczy wymaga określonych przypisań ról. Nie można wyłączyć usuwania nietrwałego.
Uwaga
Ponieważ bazowe zasoby pozostają przydzielone do modułu HSM nawet wtedy, gdy jest w stanie usuniętym, zasób modułu HSM będzie nadal naliczać opłaty godzinowe, gdy jest w tym stanie.
Nazwy zarządzanego modułu HSM są globalnie unikatowe w każdym środowisku chmury. W związku z tym nie można utworzyć zarządzanego modułu HSM o tej samej nazwie co ten, który istnieje w stanie usunięcia nietrwałego. Podobnie nazwy kluczy są unikatowe w module HSM. Nie można utworzyć klucza o tej samej nazwie co klucz, który istnieje w stanie usunięcia nietrwałego.
Aby uzyskać więcej informacji, zobacz Omówienie usuwania nietrwałego zarządzanego modułu HSM.
Ochrona przed przeczyszczaniem została zaprojektowana tak, aby zapobiec usunięciu modułów HSM i kluczy przez złośliwego wewnętrznego użytkownika. Jest to jak kosz z blokadą opartą na czasie. Elementy można odzyskać w dowolnym momencie w konfigurowalnym okresie przechowywania. Nie będzie można trwale usunąć ani przeczyścić modułu HSM ani klucza do momentu zakończenia okresu przechowywania. Po zakończeniu okresu przechowywania moduł HSM lub klucz zostanie automatycznie przeczyszczone.
Uwaga
Żadna rola lub uprawnienie administratora nie może zastąpić, wyłączyć ani obejść ochrony przed przeczyszczeniem. Jeśli ochrona przed przeczyszczaniem jest włączona, nie można jej wyłączyć ani zastąpić przez nikogo, w tym firmę Microsoft. Aby można było ponownie użyć nazwy modułu HSM, należy odzyskać usunięty moduł HSM lub poczekać na zakończenie okresu przechowywania.
Zarządzanie kluczami i zarządzanymi modułami HSM
Zarządzane moduły HSM (interfejs wiersza polecenia)
Aby sprawdzić stan usuwania nietrwałego i ochrony przed przeczyszczaniem zarządzanego modułu HSM:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Aby usunąć moduł HSM:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Ta akcja jest możliwa do odzyskania, ponieważ usuwanie nietrwałe jest domyślnie włączone.
Aby wyświetlić listę wszystkich nietrwałych modułów HSM:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsmAby odzyskać nietrwały moduł HSM:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}Aby przeczyścić nietrwały moduł HSM:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}Ostrzeżenie
Ta operacja spowoduje trwałe usunięcie modułu HSM.
Aby włączyć ochronę przeczyszczania w module HSM:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
Klucze (interfejs wiersza polecenia)
Aby usunąć klucz:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Aby wyświetlić listę usuniętych kluczy:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}Aby odzyskać usunięty klucz:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Aby przeczyścić nietrwały klucz:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Ostrzeżenie
Ta operacja spowoduje trwałe usunięcie klucza.