Azure Key Vault gestão de recuperação com eliminação recuperável e proteção contra remoção

Este artigo aborda duas funcionalidades de recuperação do Azure Key Vault, eliminação recuperável e proteção contra remoção. Este documento fornece uma descrição geral destas funcionalidades e mostra-lhe como geri-las através do portal do Azure, da CLI do Azure e do Azure PowerShell.

Para obter mais informações sobre Key Vault, consulte

Pré-requisitos

  • Uma subscrição do Azure - criar uma gratuitamente

  • Azure PowerShell.

  • CLI do Azure

  • Uma Key Vault - pode criar uma com a CLI do portal do AzureAzure ou Azure PowerShell

  • O utilizador precisará das seguintes permissões (ao nível da subscrição) para realizar operações em cofres eliminados de forma recuperável:

    Permissão Descrição
    Microsoft.KeyVault/locations/deletedVaults/read Ver as propriedades de um cofre de chaves eliminado de forma recuperável
    Microsoft.KeyVault/locations/deletedVaults/purge/action Remover um cofre de chaves eliminado de forma recuperável
    Microsoft.KeyVault/locations/operationResults/read Para verificar o estado de remoção do cofre
    Contribuidor do Key Vault Para recuperar o cofre eliminado de forma recuperável

O que são a eliminação recuperável e a proteção contra remoção

A eliminação recuperável e a proteção contra remoção são duas funcionalidades diferentes de recuperação do cofre de chaves.

A eliminação recuperável foi concebida para impedir a eliminação acidental do cofre de chaves e chaves, segredos e certificados armazenados no cofre de chaves. Pense na eliminação recuperável como uma reciclagem. Quando elimina um cofre de chaves ou um objeto do cofre de chaves, este permanecerá recuperável durante um período de retenção configurável pelo utilizador ou por predefinição de 90 dias. Os cofres de chaves no estado de eliminação recuperável também podem ser removidos , o que significa que são eliminados permanentemente. Isto permite-lhe recriar cofres de chaves e objetos do cofre de chaves com o mesmo nome. Tanto a recuperação como a eliminação de cofres de chaves e objetos requerem permissões de política de acesso elevadas. Depois de ativar a eliminação recuperável, não pode ser desativada.

Importante

Tem de ativar a eliminação recuperável nos cofres de chaves imediatamente. A capacidade de optar ativamente por não participar na eliminação recuperável foi preterida e será removida em fevereiro de 2025. Veja todos os detalhes aqui

É importante ter em atenção que os nomes dos cofres de chaves são globalmente exclusivos, pelo que não poderá criar um cofre de chaves com o mesmo nome que um cofre de chaves no estado de eliminação recuperável. Da mesma forma, os nomes das chaves, segredos e certificados são exclusivos num cofre de chaves. Não poderá criar um segredo, chave ou certificado com o mesmo nome que outro no estado de eliminação recuperável.

A proteção contra remoção foi concebida para impedir a eliminação do cofre de chaves, chaves, segredos e certificados por um utilizador interno malicioso. Pense nisto como uma reciclagem com um bloqueio baseado no tempo. Pode recuperar itens em qualquer altura durante o período de retenção configurável. Não poderá eliminar ou remover permanentemente um cofre de chaves até que o período de retenção decorra. Após o período de retenção, o cofre de chaves ou o objeto do cofre de chaves serão removidos automaticamente.

Nota

A Proteção contra Remoção foi concebida para que nenhuma função ou permissão de administrador possa substituir, desativar ou contornar a proteção contra remoção. Se a proteção de remoção estiver ativada, não poderá ser desativada ou substituída por ninguém, incluindo a Microsoft. Isto significa que tem de recuperar um cofre de chaves eliminado ou aguardar que o período de retenção decorrido antes de reutilizar o nome do cofre de chaves.

Para obter mais informações sobre a eliminação recuperável, veja Descrição geral da eliminação recuperável do Azure Key Vault

Verifique se a eliminação recuperável está ativada num cofre de chaves e ative a eliminação recuperável

  1. Inicie sessão no portal do Azure.
  2. Selecione o cofre de chaves.
  3. Clique no painel "Propriedades".
  4. Verifique se o botão de opção junto à eliminação recuperável está definido como "Ativar Recuperação".
  5. Se a eliminação recuperável não estiver ativada no cofre de chaves, clique no botão de opção para ativar a eliminação recuperável e clique em "Guardar".

Em Propriedades, a Eliminação recuperável está realçada, assim como o valor para ativá-la.

Conceder acesso a um principal de serviço para remover e recuperar segredos eliminados

  1. Inicie sessão no portal do Azure.
  2. Selecione o cofre de chaves.
  3. Clique no painel "Política de Acesso".
  4. Na tabela, localize a linha do principal de segurança ao qual pretende conceder acesso (ou adicione um novo principal de segurança).
  5. Clique no menu pendente de chaves, certificados e segredos.
  6. Desloque-se para a parte inferior do menu pendente e clique em "Recuperar" e "Remover"
  7. Os principais de segurança também precisarão da funcionalidade obter e listar para realizar a maioria das operações.

No painel de navegação esquerdo, as políticas de Acesso estão realçadas. Em Políticas de acesso, é apresentada a lista pendente Posições Secretas e estão selecionados quatro itens: Obter, Listar, Recuperar e Remover.

Listar, recuperar ou remover um cofre de chaves eliminado de forma recuperável

  1. Inicie sessão no portal do Azure.
  2. Clique na barra de pesquisa na parte superior da página.
  3. Procure o serviço "Key Vault". Não clique num cofre de chaves individual.
  4. Na parte superior do ecrã, clique na opção "Gerir cofres eliminados"
  5. Será aberto um painel de contexto no lado direito do ecrã.
  6. Selecione a sua subscrição.
  7. Se o cofre de chaves tiver sido eliminado de forma recuperável, será apresentado no painel de contexto à direita.
  8. Se existirem demasiados cofres, pode clicar em "Carregar Mais" na parte inferior do painel de contexto ou utilizar a CLI ou o PowerShell para obter os resultados.
  9. Assim que encontrar o cofre que pretende recuperar ou remover, selecione a caixa de verificação junto ao mesmo.
  10. Selecione a opção recuperar na parte inferior do painel de contexto se quiser recuperar o cofre de chaves.
  11. Selecione a opção de remoção se quiser eliminar permanentemente o cofre de chaves.

Em Cofres de chaves, a opção Gerir cofres eliminados está realçada.

Em Gerir cofres de chaves eliminados, o único cofre de chaves listado está realçado e selecionado e o botão Recuperar está realçado.

Listar, recuperar ou remover segredos, chaves e certificados eliminados de forma recuperável

  1. Inicie sessão no portal do Azure.
  2. Selecione o cofre de chaves.
  3. Selecione o painel correspondente ao tipo de segredo que pretende gerir (chaves, segredos ou certificados).
  4. Na parte superior do ecrã, clique em "Gerir eliminados (chaves, segredos ou certificados)
  5. Será apresentado um painel de contexto no lado direito do ecrã.
  6. Se o seu segredo, chave ou certificado não aparecer na lista, não está no estado de eliminação recuperável.
  7. Selecione o segredo, a chave ou o certificado que pretende gerir.
  8. Selecione a opção para recuperar ou remover na parte inferior do painel de contexto.

Em Chaves, a opção Gerir chaves eliminadas está realçada.

Passos seguintes