Backup e restauração do Azure Key Vault

Este documento mostra como fazer backup de segredos, chaves e certificados armazenados no cofre de chaves. Um backup destina-se a fornecer uma cópia offline de todos os segredos no caso improvável de você perder o acesso ao cofre de chaves.

Visão geral

O Azure Key Vault fornece automaticamente vários recursos para ajudar você a manter a disponibilidade e evitar a perda de dados. Faça backup dos segredos somente se você tiver uma justificativa comercial crítica. O backup de segredos no cofre de chaves pode introduzir desafios operacionais, como a manutenção de vários conjuntos de logs, permissões e backups quando os segredos expiram ou são girados.

O Key Vault mantém a disponibilidade em cenários de desastre e fará automaticamente o failover das solicitações para uma região emparelhada sem exigir nenhuma intervenção por parte do usuário. Para obter mais informações, confira Disponibilidade e redundância do Azure Key Vault.

Caso deseje obter proteção contra a exclusão acidental ou mal-intencionada de segredos, configure a exclusão temporária e limpe os recursos de proteção no cofre de chaves. Para obter mais informações, confira Visão geral da exclusão temporária do Azure Key Vault.

Limitações

Importante

O Key Vault não dá suporte para a capacidade de fazer backup de mais de 500 versões anteriores de um objeto de chave, segredo ou certificado. A tentativa de fazer backup de um objeto de chave, segredo ou certificado poderá resultar em um erro. Não é possível excluir versões anteriores de uma chave, um segredo ou um certificado.

No momento, o Key Vault não fornece uma maneira de fazer backup de um cofre de chaves inteiro em uma única operação, e o backup de chaves, segredos e certificados deve ser feito indviduamente.

Considere também os seguintes problemas:

• O backup de segredos que têm várias versões poderá causar erros de tempo limite.
• Um backup cria um instantâneo pontual. Os segredos podem ser renovados durante um backup, causando incompatibilidade das chaves de criptografia.
• Se você exceder os limites de serviço do cofre de chaves de solicitações por segundo, o cofre de chaves será restrito e o backup falhará.

Considerações sobre o design

Quando você fizer backup de um objeto do cofre de chaves, como um segredo, uma chave ou um certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não poderá ser descriptografado fora do Azure. Para obter dados utilizáveis desse blob, restaure o blob em um cofre de chaves na mesma assinatura e geografia do Azure.

Pré-requisitos

Para fazer backup de um objeto do cofre de chaves, você precisará ter:

• Permissões no nível de colaborador ou superiores em uma assinatura do Azure.
• Um cofre de chaves primário que contenha os segredos que você deseja copiar em backup.
• Um cofre de chaves secundário em que os segredos serão restaurados.

Backup e restauração por meio do portal do Azure

Siga as etapas desta seção para fazer backup de objetos e restaurá-los usando o portal do Azure.

Fazer backup

1. Vá para o portal do Azure.

2. Selecione seu cofre de chaves.

3. Acesse o objeto (segredo, chave ou certificado) que deseja copiar em backup.

   

4. Selecione o objeto.

5. Selecione Baixar Backup.

   

6. Selecione Baixar.

   

7. Armazene o blob criptografado em uma localização segura.

Restaurar

1. Vá para o portal do Azure.

2. Selecione seu cofre de chaves.

3. Acesse o tipo de objeto (segredo, chave ou certificado) que deseja restaurar.

4. Selecione Restaurar Backup.

   

5. Acesse a localização em que você armazenou o blob criptografado.

6. Selecione OK.

Backup e restauração por meio da CLI do Azure ou do Azure PowerShell

CLI do Azure

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

PowerShell do Azure

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '{AZURE SUBSCRIPTION ID}'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -Name '{Certificate Name}'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '{Key Vault Name}' -Name '{Key Name}'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '{Key Vault Name}' -Name '{Secret Name}'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '{Key Vault Name}' -InputFile '{File Path}'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '{Key Vault Name}' -InputFile '{File Path}'

Próximas etapas

• Mover um cofre de chaves do Azure entre regiões
• Habilitar o registro em log do Key Vault para o Key Vault