Gestão de recuperação do Cofre Azure Key com proteção de eliminação e purga suaveAzure Key Vault recovery management with soft delete and purge protection

Este artigo abrange duas funcionalidades de recuperação do Cofre da Chave Azure, proteção de eliminação suave e purga.This article covers two recovery features of Azure Key Vault, soft delete and purge protection. Este documento fornece uma visão geral destas funcionalidades, e mostra-lhe como geri-las através do portal Azure CLI e Azure PowerShell.This document provides an overview of these features, and shows you how to manage them through the Azure portal, Azure CLI, and Azure PowerShell.

Para mais informações sobre o Key Vault, consulteFor more information about Key Vault, see

Pré-requisitosPrerequisites

  • Uma subscrição do Azure - crie uma gratuitamenteAn Azure subscription - create one for free

  • Módulo PowerShell.PowerShell module.

  • CLI do AzureAzure CLI

  • Um Cofre chave - você pode criar um usando o portal Azure CLI, ou Azure PowerShellA Key Vault - you can create one using Azure portal Azure CLI, or Azure PowerShell

  • O utilizador necessitará das seguintes permissões (a nível de subscrição) para realizar operações em cofres com isolamento suave:The user will need the following permissions (at subscription level) to perform operations on soft-deleted vaults:

    PermissãoPermission DescriçãoDescription
    Microsoft.KeyVault/locations/deletedVaults/readMicrosoft.KeyVault/locations/deletedVaults/read Ver as propriedades de um cofre de chave apagado suaveView the properties of a soft deleted key vault
    Microsoft.KeyVault/locations/deletedVaults/purga/açãoMicrosoft.KeyVault/locations/deletedVaults/purge/action Purgue um cofre de chaves apagado suavePurge a soft deleted key vault

O que são a proteção de eliminação e purga suaveWhat are soft-delete and purge protection

A proteção de eliminação e purga suave são duas características diferentes de recuperação do cofre.Soft delete and purge protection are two different key vault recovery features.

Importante

Ligar a eliminação suave é fundamental para garantir que os seus cofres e credenciais estão protegidos contra a eliminação acidental.Turning on soft delete is critical to ensuring that your key vaults and credentials are protected from accidental deletion. No entanto, ligar o soft delete é considerado uma mudança de rutura porque pode exigir que altere a sua lógica de aplicação ou forneça permissões adicionais aos seus principais serviços.However, turning on soft delete is considered a breaking change because it may require you to change your application logic or provide additional permissions to your service principals. Antes de ligar suavemente, elimine usando as instruções abaixo, certifique-se de que a sua aplicação é compatível com a alteração utilizando este documento aqui.Before turning on soft delete using the instructions below, please make sure that your application is compatible with the change using this document here.

O soft delete foi concebido para evitar a eliminação acidental do cofre e chaves, segredos e certificados armazenados dentro do cofre da chave.Soft delete is designed to prevent accidental deletion of your key vault and keys, secrets, and certificates stored inside key vault. Pense em apagar suavemente como um caixote de reciclagem.Think of soft-delete like a recycle bin. Quando eliminar um cofre de teclas ou um objeto de cofre chave, permanecerá recuperável durante um período de retenção configurável do utilizador ou por um padrão de 90 dias.When you delete a key vault or a key vault object, it will remain recoverable for a user configurable retention period or a default of 90 days. As abóbadas-chave no estado suave apagado também podem ser purgadas, o que significa que são permanentemente eliminadas.Key vaults in the soft deleted state can also be purged which means they are permanently deleted. Isto permite-lhe recriar cofres-chave e objetos-chave com o mesmo nome.This allows you to recreate key vaults and key vault objects with the same name. Tanto a recuperação como a eliminação de cofres e objetos requerem permissões elevadas de política de acesso.Both recovering and deleting key vaults and objects require elevated access policy permissions. Uma vez ativada a eliminação suave, não pode ser desativada.Once soft delete has been enabled, it cannot be disabled.

É importante notar que os nomes do cofre são globalmente únicos, por isso não será capaz de criar um cofre com o mesmo nome que um cofre chave no estado suave apagado.It is important to note that key vault names are globally unique, so you won't be able to create a key vault with the same name as a key vault in the soft deleted state. Da mesma forma, os nomes das chaves, segredos e certificados são únicos dentro de um cofre chave.Similarly, the names of keys, secrets, and certificates are unique within a key vault. Não será capaz de criar um segredo, chave ou certificado com o mesmo nome que outro no estado suave apagado.You won't be able to create a secret, key, or certificate with the same name as another in the soft deleted state.

A proteção de purga foi concebida para evitar a eliminação do cofre, chaves, segredos e certificados por um infiltrado malicioso.Purge protection is designed to prevent the deletion of your key vault, keys, secrets, and certificates by a malicious insider. Pense nisto como um caixote de reciclagem com uma fechadura baseada no tempo.Think of this as a recycle bin with a time based lock. Pode recuperar itens em qualquer ponto durante o período de retenção configurável.You can recover items at any point during the configurable retention period. Não poderá apagar ou limpar permanentemente um cofre de teclas até que o período de retenção dedespere.You will not be able to permanently delete or purge a key vault until the retention period elapses. Uma vez decorrido o período de retenção, o cofre da chave ou o objeto do cofre da chave serão purgados automaticamente.Once the retention period elapses the key vault or key vault object will be purged automatically.

Nota

A Proteção de Purga foi concebida de modo a que nenhuma função ou permissão do administrador possa sobrepor-se, desativar ou contornar a proteção da purga.Purge Protection is designed so that no administrator role or permission can override, disable, or circumvent purge protection. Uma vez ativada a proteção contra a purga, não pode ser desativada ou ultrapassada por ninguém, incluindo a Microsoft.Once purge protection is enabled, it cannot be disabled or overridden by anyone including Microsoft. Isto significa que deve recuperar um cofre de teclas apagado ou esperar que o período de retenção dedante antes de reutilizar o nome do cofre da chave.This means you must recover a deleted key vault or wait for the retention period to elapse before reusing the key vault name.

Para obter mais informações sobre a eliminação suave, consulte a visão geral do Azure Key VaultFor more information about soft-delete, see Azure Key Vault soft-delete overview

Verifique se a eliminação suave está ativada num cofre de teclas e ative a eliminação suaveVerify if soft delete is enabled on a key vault and enable soft delete

  1. Inicie sessão no portal do Azure.Log in to the Azure portal.
  2. Selecione o cofre da chave.Select your key vault.
  3. Clique na lâmina "Propriedades".Click on the "Properties" blade.
  4. Verifique se o botão de rádio ao lado do soft-delete está definido para "Ativar a recuperação".Verify if the radio button next to soft-delete is set to "Enable Recovery".
  5. Se a eliminação suave não estiver ativada no cofre da chave, clique no botão de rádio para ativar a eliminação suave e clique em "Guardar".If soft-delete is not enabled on the key vault, click the radio button to enable soft delete and click "Save".

Em Propriedades, a eliminação de soft-delete é realçada, assim como o valor para o ativar.

Conceder acesso a um diretor de serviço para purgar e recuperar segredos apagadosGrant access to a service principal to purge and recover deleted secrets

  1. Inicie sessão no portal do Azure.Log in to the Azure portal.
  2. Selecione o cofre da chave.Select your key vault.
  3. Clique na lâmina "Política de Acesso".Click on the "Access Policy" blade.
  4. Na tabela, encontre a linha do diretor de segurança a que deseja conceder acesso (ou adicionar um novo diretor de segurança).In the table, find the row of the security principal you wish to grant access to (or add a new security principal).
  5. Clique na entrega para obter chaves, certificados e segredos.Click the drop down for keys, certificates, and secrets.
  6. Percorra a parte inferior da queda e clique em "Recuperar" e "Purgar"Scroll to the bottom of the drop-down and click "Recover" and "Purge"
  7. Os diretores de segurança também precisarão de obter e listar a funcionalidade para executar a maioria das operações.Security principals will also need get and list functionality to perform most operations.

No painel de navegação à esquerda, destacam-se as políticas de acesso. Nas políticas de Acesso, é apresentada a lista de abandono de Posições Secretas e são selecionados quatro itens: Obter, Lista, Recuperar e Purgar.

Liste, recupere ou purgue um cofre de chaves apagadoList, recover, or purge a soft-deleted key vault

  1. Inicie sessão no portal do Azure.Log in to the Azure portal.
  2. Clique na barra de pesquisa no topo da página.Click on the search bar at the top of the page.
  3. Em "Serviços Recentes" clique em "Key Vault".Under "Recent Services" click "Key Vault". Não clique num cofre individual.Do not click an individual key vault.
  4. No topo do ecrã clique na opção de "Gerir cofres apagados"At the top of the screen click the option to "Manage deleted vaults"
  5. Um painel de contexto abrir-se-á no lado direito do ecrã.A context pane will open on the right side of your screen.
  6. Selecione a sua subscrição.Select your subscription.
  7. Se o cofre da chave tiver sido apagado suave, aparecerá no painel de contexto à direita.If your key vault has been soft deleted it will appear in the context pane on the right.
  8. Se houver demasiados cofres, pode clicar em "Load More" na parte inferior do painel de contexto ou utilizar CLI ou PowerShell para obter os resultados.If there are too many vaults, you can either click "Load More" at the bottom of the context pane or use CLI or PowerShell to get the results.
  9. Assim que encontrar o cofre que deseja recuperar ou purgar, selecione a caixa de verificação ao lado.Once you find the vault you wish to recover or purge, select the checkbox next to it.
  10. Selecione a opção de recuperação na parte inferior do painel de contexto se quiser recuperar o cofre da chave.Select the recover option at the bottom of the context pane if you would like to recover the key vault.
  11. Selecione a opção de purga se quiser eliminar permanentemente o cofre da chave.Select the purge option if you would like to permanently delete the key vault.

Nos cofres key, a opção de cofres eliminados do Manage é realçada.

No Manage eliminados cofres-chave, o único cofre de chaves listado é realçado e selecionado, e o botão Recuperar é realçado.

Lista, recuperar ou purgar segredos, chaves e certificados suaves apagadosList, recover or purge soft deleted secrets, keys, and certificates

  1. Inicie sessão no portal do Azure.Log in to the Azure portal.
  2. Selecione o cofre da chave.Select your key vault.
  3. Selecione a lâmina correspondente ao tipo secreto que pretende gerir (chaves, segredos ou certificados).Select the blade corresponding to the secret type you want to manage (keys, secrets, or certificates).
  4. Na parte superior do ecrã, clique em "Gerir eliminado (chaves, segredos ou certificados)At the top of the screen, click on "Manage deleted (keys, secrets, or certificates)
  5. Aparecerá um painel de contexto no lado direito do ecrã.A context pane will appear on the right side of your screen.
  6. Se o seu segredo, chave ou certificado não aparecer na lista, não está no estado de apagação suave.If your secret, key, or certificate does not appear in the list, it is not in the soft-deleted state.
  7. Selecione o segredo, chave ou certificado que gostaria de gerir.Select the secret, key, or certificate you would like to manage.
  8. Selecione a opção de recuperar ou purgar na parte inferior do painel de contexto.Select the option to recover or purge at the bottom of the context pane.

Em Teclas, destaca-se a opção "Gerir" as teclas eliminadas.

Próximos passosNext steps