Backup e restauração completo

Observação

Este recurso só está disponível para o tipo de recurso HSM Gerenciado.

O HSM Gerenciado dá suporte à criação de um backup completo de todo o conteúdo do HSM, incluindo todas as chaves, versões, atributos, marcações e atribuições de função. O backup é criptografado com chaves criptográficas associadas ao Domínio de Segurança do HSM.

O backup é uma operação do plano de dados. O chamador que inicia a operação de backup deve ter permissão para executar a ação de dados Microsoft.KeyVault/managedHsm/backup/start/action.

Somente as seguintes funções internas têm permissão para executar um backup completo:

  • Administrador de HSM Gerenciado
  • Backup do HSM Gerenciado

Você deve fornecer as seguintes informações para executar um backup completo:

  • Nome ou URL do HSM
  • Nome da conta de armazenamento
  • Contêiner de armazenamento de blobs da conta de armazenamento
  • Token SAS do contêiner de armazenamento com permissões crdw

Usar o Azure Cloud Shell

O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do navegador. É possível usar o bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. É possível usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo sem precisar instalar nada no seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção Exemplo/Link
Selecione Experimente no canto superior direito de um bloco de código. Selecionar Experimente não copia automaticamente o código para o Cloud Shell. Exemplo de “Experimente” no Azure Cloud Shell
Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. Inicie o Cloud Shell em uma nova janela
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. Botão Cloud Shell no portal do Azure

Para executar o código neste artigo no Azure Cloud Shell:

  1. Inicie o Cloud Shell.

  2. Clique no botão Copiar no bloco de código para copiá-lo.

  3. Cole o código na sessão do Cloud Shell ao pressionar Ctrl+Shift+V no Windows e no Linux ou Cmd+Shift+V no macOS.

  4. Pressione Enter para executar o código.

Backup completo

O backup é uma operação de execução prolongada, mas que retorna imediatamente uma ID de Trabalho. Você pode verificar o status do processo de backup usando essa ID de Trabalho. O processo de backup cria uma pasta dentro do contêiner designada com o seguinte padrão de nomenclatura: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS} , em que HSM_NAME é o nome do HSM Gerenciado cujo backup está sendo realizado e AAAA, MM, DD, HH, MM, mm, SS são o ano, o mês, o dia, a hora, os minutos e os segundos da data/hora em UTC quando o comando de backup foi recebido.

Enquanto o backup estiver em andamento, o HSM não poderá operar com a taxa de transferência total, pois algumas partições do HSM estarão ocupadas executando a operação de backup.

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription 361da5d4-a47a-4c79-afdd-d66f684f4070

Restauração completa

A restauração completa permite restaurar completamente o conteúdo do HSM com base em um backup anterior, incluindo todas as chaves, versões, atributos, marcações e atribuições de função. Tudo o que estiver armazenado no momento no HSM será apagado e ele retornará ao mesmo estado em que se encontrava quando o backup de origem foi criado.

Importante

A restauração completa é uma operação bastante destrutiva e robusta. Portanto, é obrigatório haver concluído um backup completo nos últimos 30 minutos para poder executar a operação restore.

A restauração é uma operação do plano de dados. O chamador que inicia a operação de restauração deve ter permissão para executar a ação de dados Microsoft.KeyVault/managedHsm/restore/start/action. O HSM de origem em que o backup foi criado e o HSM de destino em que a restauração será executada devem ter o mesmo Domínio de Segurança. Confira mais informações sobre o Domínio de Segurança do HSM Gerenciado.

Você deve fornecer as seguintes informações para executar uma restauração completa:

  • Nome ou URL do HSM
  • Nome da conta de armazenamento
  • Contêiner de blobs da conta de armazenamento
  • Token SAS do contêiner de armazenamento com permissões rl
  • Nome da pasta do contêiner de armazenamento em que o backup de origem está armazenado

A restauração é uma operação de execução prolongada, mas que retorna imediatamente uma ID de Trabalho. Você pode verificar o status do processo de restauração usando essa ID de Trabalho. Quando o processo de restauração estiver em andamento, o HSM entrará em modo de restauração e todos os comandos do plano de dados (exceto verificar status da restauração) serão desabilitados.

#### time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

Restaurar HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Próximas etapas