Descrição geral da eliminação recuperável do Azure Key VaultAzure Key Vault soft-delete overview

Importante

Tem de ativar a eliminação suave dos cofres das chaves imediatamente.You must enable soft-delete on your key vaults immediately. A capacidade de excluir o soft-delete será depreciada em breve.The ability to opt out of soft-delete will be deprecated soon. Veja todos os detalhes aquiSee full details here

Importante

Os gatilhos de abóbada com eliminação suave apagam as definições para integração com os serviços key Vault, ou seja, atribuições de funções Azure RBAC, subscrições de Grade de Eventos, definições de diagnóstico do Azure Monitor.Soft-deleted vault triggers delete settings for integrated with Key Vault services i.e. Azure RBAC roles assignments, Event Grid subscriptions, Azure Monitor diagnostics settings. Após a recuperação das definições do Cofre de Chaves de eliminar suavemente para serviços integrados, terá de ser recriada manualmente.After recovery of soft-deleted Key Vault settings for integrated services will need to be manually recreated.

A funcionalidade de eliminação suave do Key Vault permite a recuperação dos cofres apagados e dos objetos do cofre de chaves eliminados (por exemplo, chaves, segredos, certificados), conhecidos como soft-delete.Key Vault's soft-delete feature allows recovery of the deleted vaults and deleted key vault objects (for example, keys, secrets, certificates), known as soft-delete. Especificamente, abordamos os seguintes cenários: Esta salvaguarda oferece as seguintes proteções:Specifically, we address the following scenarios: This safeguard offer the following protections:

  • Uma vez que um cofre secreto, chave, certificado ou cofre chave é eliminado, permanecerá recuperável por um período configurável de 7 a 90 dias de calendário.Once a secret, key, certificate, or key vault is deleted, it will remain recoverable for a configurable period of 7 to 90 calendar days. Se não for especificada nenhuma configuração, o período de recuperação predefinido será definido para 90 dias.If no configuration is specified the default recovery period will be set to 90 days. Isto proporciona aos utilizadores tempo suficiente para notar uma eliminação acidental e secreta e responder.This provides users with sufficient time to notice an accidental secret deletion and respond.
  • Devem ser feitas duas operações para eliminar permanentemente um segredo.Two operations must be made to permanently delete a secret. Primeiro, um utilizador deve apagar o objeto, que o coloca no estado de eliminação suave.First a user must delete the object, which puts it into the soft-deleted state. Em segundo lugar, um utilizador deve expurgar o objeto no estado de eliminação suave.Second, a user must purge the object in the soft-deleted state. A operação de purga requer permissões adicionais da política de acesso.The purge operation requires additional access policy permissions. Estas proteções adicionais reduzem o risco de um utilizador apagar acidentalmente ou maliciosamente um cofre secreto ou um cofre de chaves.These additional protections reduce the risk of a user accidentally or maliciously deleting a secret or a key vault.
  • Para expurgar um segredo no estado de eliminação suave, deve ser concedida a um diretor de serviço uma permissão adicional de política de acesso "purga".To purge a secret in the soft-deleted state, a service principal must be granted an additional "purge" access policy permission. A permissão da política de acesso à purga não é concedida por defeito a qualquer principal de serviço, incluindo os principais proprietários de cofres e subscrições e deve ser deliberadamente definida.The purge access policy permission is not granted by default to any service principal including key vault and subscription owners and must be deliberately set. Ao exigir uma autorização de política de acesso elevado para purgar um segredo apagado, reduz a probabilidade de acidentalmente apagar um segredo.By requiring an elevated access policy permission to purge a soft-deleted secret, it reduces the probability of accidentally deleting a secret.

Interfaces de apoioSupporting interfaces

A função soft-delete está disponível através da API REST,do Azure CLI, do Azure PowerShelle das interfaces .NET/C#, bem como dos modelos ARM.The soft-delete feature is available through the REST API, the Azure CLI, Azure PowerShell, and .NET/C# interfaces, as well as ARM templates.

CenáriosScenarios

Os Cofres chave Azure são rastreados recursos, geridos pelo Azure Resource Manager.Azure Key Vaults are tracked resources, managed by Azure Resource Manager. O Azure Resource Manager também especifica um comportamento bem definido para a eliminação, o que requer que uma operação de DELETE bem sucedida resulte em que esse recurso não seja mais acessível.Azure Resource Manager also specifies a well-defined behavior for deletion, which requires that a successful DELETE operation must result in that resource not being accessible anymore. A função de eliminação suave aborda a recuperação do objeto eliminado, quer a eliminação tenha sido acidental ou intencional.The soft-delete feature addresses the recovery of the deleted object, whether the deletion was accidental or intentional.

  1. No cenário típico, um utilizador pode ter apagado inadvertidamente um cofre de chaves ou um objeto de cofre chave; se o cofre de chaves ou o objeto do cofre chave forem recuperáveis por um período pré-determinado, o utilizador pode desfazer a eliminação e recuperar os seus dados.In the typical scenario, a user may have inadvertently deleted a key vault or a key vault object; if that key vault or key vault object were to be recoverable for a predetermined period, the user may undo the deletion and recover their data.

  2. Num cenário diferente, um utilizador desonesto pode tentar apagar um cofre ou um objeto de cofre chave, como uma chave dentro de um cofre, para causar uma perturbação do negócio.In a different scenario, a rogue user may attempt to delete a key vault or a key vault object, such as a key inside a vault, to cause a business disruption. A separação do cofre-chave ou do objeto do cofre-chave da eliminação real dos dados subjacentes pode ser usada como medida de segurança, limitando, por exemplo, as permissões na eliminação de dados a um papel diferente e fidedigno.Separating the deletion of the key vault or key vault object from the actual deletion of the underlying data can be used as a safety measure by, for instance, restricting permissions on data deletion to a different, trusted role. Esta abordagem requer efetivamente quórum para uma operação que, de outra forma, poderia resultar numa perda imediata de dados.This approach effectively requires quorum for an operation which might otherwise result in an immediate data loss.

Comportamento de eliminação recuperávelSoft-delete behavior

Quando a eliminação suave é ativada, os recursos marcados como recursos eliminados são mantidos por um período especificado (90 dias por padrão).When soft-delete is enabled, resources marked as deleted resources are retained for a specified period (90 days by default). O serviço fornece ainda um mecanismo para a recuperação do objeto eliminado, essencialmente desfazendo a supressão.The service further provides a mechanism for recovering the deleted object, essentially undoing the deletion.

Ao criar um novo cofre de chave, o soft-delete é ligado por defeito.When creating a new key vault, soft-delete is on by default. Pode criar um cofre de chaves sem eliminar suavemente através do Azure CLI ou da Azure PowerShell.You can create a key vault without soft-delete through the Azure CLI or Azure PowerShell. Uma vez que a eliminação suave é ativada num cofre de teclas, não pode ser desativadaOnce soft-delete is enabled on a key vault it cannot be disabled

O período de retenção predefinido é de 90 dias mas, durante a criação do cofre chave, é possível definir o intervalo de política de retenção para um valor de 7 a 90 dias através do portal Azure.The default retention period is 90 days but, during key vault creation, it is possible to set the retention policy interval to a value from 7 to 90 days through the Azure portal. A política de proteção da purga utiliza o mesmo intervalo.The purge protection retention policy uses the same interval. Uma vez definido, o intervalo da política de retenção não pode ser alterado.Once set, the retention policy interval cannot be changed.

Não é possível reutilizar o nome de um cofre-chave que foi apagado até que o período de retenção tenha passado.You cannot reuse the name of a key vault that has been soft-deleted until the retention period has passed.

Proteção de purgaPurge protection

A proteção de purga é um comportamento opcional do Cofre de Chaves e não é ativada por defeito.Purge protection is an optional Key Vault behavior and is not enabled by default. A proteção contra a purga só pode ser ativada quando se ativa uma eliminação suave.Purge protection can only be enabled once soft-delete is enabled. Pode ser ligado via CLI ou PowerShell.It can be turned on via CLI or PowerShell.

Quando a proteção contra a purga estiver acesa, um cofre ou um objeto no estado apagado não podem ser purgados até que o período de retenção tenha passado.When purge protection is on, a vault or an object in the deleted state cannot be purged until the retention period has passed. As abóbadas e objetos apagados ainda podem ser recuperados, garantindo que a política de retenção será seguida.Soft-deleted vaults and objects can still be recovered, ensuring that the retention policy will be followed.

O período de retenção por defeito é de 90 dias, mas é possível definir o intervalo de política de retenção para um valor de 7 a 90 dias através do portal Azure.The default retention period is 90 days, but it is possible to set the retention policy interval to a value from 7 to 90 days through the Azure portal. Uma vez definido o intervalo de política de retenção e guardado, não pode ser alterado para o cofre.Once the retention policy interval is set and saved it cannot be changed for that vault.

Purga permitidaPermitted purge

Eliminando, purgando permanentemente, um cofre chave é possível através de uma operação POST no recurso proxy e requer privilégios especiais.Permanently deleting, purging, a key vault is possible via a POST operation on the proxy resource and requires special privileges. Geralmente, apenas o proprietário da subscrição será capaz de purgar um cofre chave.Generally, only the subscription owner will be able to purge a key vault. A operação POST despoleta a eliminação imediata e irrecuperável do cofre.The POST operation triggers the immediate and irrecoverable deletion of that vault.

As exceções são:Exceptions are:

  • Quando a subscrição do Azure tiver sido marcada como indelével.When the Azure subscription has been marked as undeletable. Neste caso, apenas o serviço pode então realizar a eliminação real, e fá-lo como um processo programado.In this case, only the service may then perform the actual deletion, and does so as a scheduled process.
  • Quando o --enable-purge-protection flag ativo está no cofre em si.When the --enable-purge-protection flag is enabled on the vault itself. Neste caso, o Key Vault aguardará 90 dias a partir do momento em que o objeto secreto original foi marcado para eliminação para apagar permanentemente o objeto.In this case, Key Vault will wait for 90 days from when the original secret object was marked for deletion to permanently delete the object.

Para os passos, consulte Como utilizar o Key Vault soft-delete com CLI: Purgar um cofre de chaves ou como usar o Key Vault soft-delete com PowerShell: Purgar um cofre de chaves.For steps, see How to use Key Vault soft-delete with CLI: Purging a key vault or How to use Key Vault soft-delete with PowerShell: Purging a key vault.

Recuperação do cofre chaveKey vault recovery

Ao eliminar um cofre chave, o serviço cria um recurso de procuração sob a subscrição, adicionando metadados suficientes para a recuperação.Upon deleting a key vault, the service creates a proxy resource under the subscription, adding sufficient metadata for recovery. O recurso proxy é um objeto armazenado, disponível no mesmo local que o cofre de chaves eliminado.The proxy resource is a stored object, available in the same location as the deleted key vault.

Recuperação de objetos de abóbada chaveKey vault object recovery

Ao eliminar um objeto chave do cofre, como uma chave, o serviço colocará o objeto num estado apagado, tornando-o inacessível a quaisquer operações de recuperação.Upon deleting a key vault object, such as a key, the service will place the object in a deleted state, making it inaccessible to any retrieval operations. Enquanto neste estado, o objeto do cofre-chave só pode ser listado, recuperado ou eliminado com força/permanentemente.While in this state, the key vault object can only be listed, recovered, or forcefully/permanently deleted. Para visualizar os objetos, utilize o comando Azure CLI az keyvault key list-deleted (como documentado em Como utilizar o Key Vault soft-delete com CLI),ou o parâmetro Azure PowerShell -InRemovedState (como descrito em Como utilizar o Key Vault soft-delete com PowerShell).To view the objects, use the Azure CLI az keyvault key list-deleted command (as documented in How to use Key Vault soft-delete with CLI), or the Azure PowerShell -InRemovedState parameter (as described in How to use Key Vault soft-delete with PowerShell).

Ao mesmo tempo, o Key Vault irá agendar a eliminação dos dados subjacentes correspondentes ao cofre de chaves ou ao objeto do cofre-chave eliminado para execução após um intervalo de retenção pré-determinado.At the same time, Key Vault will schedule the deletion of the underlying data corresponding to the deleted key vault or key vault object for execution after a predetermined retention interval. O registo DNS correspondente ao cofre também é mantido durante o intervalo de retenção.The DNS record corresponding to the vault is also retained for the duration of the retention interval.

Período de retenção de eliminação suaveSoft-delete retention period

Os recursos eliminados por suaves são retidos por um período de tempo definido, 90 dias.Soft-deleted resources are retained for a set period of time, 90 days. Durante o intervalo de retenção de eliminação suave, aplicam-se os seguintes:During the soft-delete retention interval, the following apply:

  • Pode listar todos os cofres chave e objetos-chave do cofre no estado de eliminação suave para a sua subscrição, bem como informações de eliminação e recuperação de acessos sobre eles.You may list all of the key vaults and key vault objects in the soft-delete state for your subscription as well as access deletion and recovery information about them.
    • Apenas os utilizadores com permissões especiais podem listar cofres eliminados.Only users with special permissions can list deleted vaults. Recomendamos que os nossos utilizadores criem uma função personalizada com estas permissões especiais para o manuseamento de cofres eliminados.We recommend that our users create a custom role with these special permissions for handling deleted vaults.
  • Um cofre-chave com o mesmo nome não pode ser criado no mesmo local; correspondentemente, um objeto de cofre chave não pode ser criado num dado cofre se o cofre de teclas contiver um objeto com o mesmo nome e que está em estado de apagação.A key vault with the same name cannot be created in the same location; correspondingly, a key vault object cannot be created in a given vault if that key vault contains an object with the same name and which is in a deleted state.
  • Apenas um utilizador especificamente privilegiado pode restaurar um cofre de chaves ou um objeto de cofre chave, emitindo um comando de recuperação no recurso de procuração correspondente.Only a specifically privileged user may restore a key vault or key vault object by issuing a recover command on the corresponding proxy resource.
    • O utilizador, membro do papel personalizado, que tem o privilégio de criar um cofre chave sob o grupo de recursos pode restaurar o cofre.The user, member of the custom role, who has the privilege to create a key vault under the resource group can restore the vault.
  • Apenas um utilizador especificamente privilegiado pode apagar à força um cofre de chaves ou um objeto de cofre chave, emitindo um comando de eliminação no recurso de procuração correspondente.Only a specifically privileged user may forcibly delete a key vault or key vault object by issuing a delete command on the corresponding proxy resource.

A menos que um cofre chave ou objeto de cofre chave seja recuperado, no final do intervalo de retenção o serviço executa uma purga do cofre de chave ou do objeto-chave eliminado e seu conteúdo.Unless a key vault or key vault object is recovered, at the end of the retention interval the service performs a purge of the soft-deleted key vault or key vault object and its content. A eliminação de recursos não pode ser reagendada.Resource deletion may not be rescheduled.

Implicações de faturaçãoBilling implications

Em geral, quando um objeto (um cofre-chave ou uma chave ou um segredo) está em estado apagado, só existem duas operações possíveis: "purga" e "recuperação".In general, when an object (a key vault or a key or a secret) is in deleted state, there are only two operations possible: 'purge' and 'recover'. Todas as outras operações vão falhar.All the other operations will fail. Portanto, mesmo que o objeto exista, nenhuma operação pode ser realizada e, portanto, não ocorrerá nenhuma utilização, pelo que nenhuma fatura.Therefore, even though the object exists, no operations can be performed and hence no usage will occur, so no bill. No entanto, existem as seguintes exceções:However there are following exceptions:

  • As ações de "purga" e "recuperação" contarão para operações normais de cofre e serão faturadas.'purge' and 'recover' actions will count towards normal key vault operations and will be billed.
  • Se o objeto for uma chave HSM, a carga "tecla protegida de HSM" por versão chave por mês será aplicada se uma versão chave tiver sido utilizada nos últimos 30 dias.If the object is an HSM-key, the 'HSM Protected key' charge per key version per month charge will apply if a key version has been used in last 30 days. Depois disso, uma vez que o objeto está em estado apagado, não podem ser realizadas operações contra ele, pelo que não será aplicada qualquer taxa.After that, since the object is in deleted state no operations can be performed against it, so no charge will apply.

Passos seguintesNext steps

Os dois guias seguintes oferecem os cenários de utilização primários para a utilização de soft-delete.The following two guides offer the primary usage scenarios for using soft-delete.