Descrição geral da eliminação recuperável do Azure Key Vault

  • Artigo

Importante

Você deve ativar o soft-delete em seus cofres de chaves imediatamente. A capacidade de desativar a exclusão suave foi preterida e será removida em fevereiro de 2025. Veja todos os detalhes aqui

Importante

Quando um Cofre de Chaves é excluído por software, os serviços integrados ao Cofre de Chaves serão excluídos. Por exemplo: atribuições de funções do RBAC do Azure e assinaturas da Grade de Eventos. A recuperação de um Cofre de Chaves excluído por software não restaurará esses serviços. Terão de ser recriados.

A funcionalidade de eliminação recuperável do Key Vault permite a recuperação dos cofres e objetos dos cofres de chaves eliminados (por exemplo, chaves, segredos, certificados). Especificamente, abordamos os seguintes cenários: Esta salvaguarda oferece as seguintes proteções:

  • Após a eliminação de um segredo, chave, certificado ou cofre de chaves, estes poderão ser recuperados durante um período configurável de 7 a 90 dias do calendário. Se não for especificada nenhuma configuração, o período de recuperação predefinido será de 90 dias. Assim, os utilizadores terão tempo suficiente para reparar numa eliminação de segredo acidental e responder.
  • Têm de ser feitas duas operações para eliminar permanentemente um segredo. Primeiro, o utilizador tem de eliminar o objeto, que o coloca no estado de eliminação recuperável. Segundo, o utilizador tem de remover o objeto no estado de eliminação recuperável. Estas proteções adicionais reduzem o risco de um utilizador eliminar de forma acidental ou maliciosa um segredo ou cofre de chaves.
  • Para limpar um segredo, chave, certificado no estado de exclusão suave, uma entidade de segurança deve receber permissão de operação "limpar".

Interfaces de suporte

O recurso de exclusão suave está disponível por meio da API REST, da CLI do Azure, do Azure PowerShell e das interfaces .NET/C#, bem como modelos ARM.

Cenários

Os Cofres de Chaves do Azure são recursos rastreados, gerenciados pelo Gerenciador de Recursos do Azure. O Azure Resource Manager também especifica um comportamento bem definido para exclusão, o que requer que uma operação DELETE bem-sucedida resulte em que esse recurso não esteja mais acessível. O recurso de exclusão suave aborda a recuperação do objeto excluído, quer a exclusão tenha sido acidental ou intencional.

  1. No cenário típico, um usuário pode ter excluído inadvertidamente um cofre de chaves ou um objeto de cofre de chaves; Se esse objeto do Cofre da Chave ou do Cofre da Chave for recuperável por um período predeterminado, o usuário poderá desfazer a exclusão e recuperar seus dados.

  2. Em um cenário diferente, um usuário não autorizado pode tentar excluir um cofre de chaves ou um objeto de cofre de chaves, como uma chave dentro de um cofre, para causar uma interrupção de negócios. Separar a exclusão do objeto do cofre de chaves ou do cofre de chaves da exclusão real dos dados subjacentes pode ser usado como uma medida de segurança, por exemplo, restringindo as permissões de exclusão de dados a uma função diferente e confiável. Esta abordagem exige efetivamente quórum para uma operação que, de outra forma, poderia resultar numa perda imediata de dados.

Comportamento de eliminação recuperável

Quando a exclusão suave está habilitada, os recursos marcados como recursos excluídos são retidos por um período especificado (90 dias por padrão). O serviço ainda fornece um mecanismo para recuperar o objeto excluído, essencialmente desfazendo a exclusão.

Ao criar um novo cofre de chaves, a exclusão suave está ativada por padrão. Uma vez que o soft-delete está ativado em um cofre de chaves, ele não pode ser desativado.

O intervalo da política de retenção só pode ser configurado durante a criação do cofre de chaves e não pode ser alterado posteriormente. Você tem a opção de defini-lo em qualquer lugar de 7 a 90 dias, com 90 dias sendo o padrão. O mesmo intervalo se aplica à exclusão suave e à política de retenção de proteção contra limpeza.

Não é possível reutilizar o nome de um cofre de chaves que tenha sido excluído suavemente até que o período de retenção tenha passado.

Proteção contra purga

A proteção contra limpeza é um comportamento opcional do Cofre da Chave e não está habilitada por padrão. A proteção contra limpeza só pode ser ativada quando a exclusão suave estiver ativada. A proteção contra limpeza é recomendada ao usar chaves para criptografia para evitar a perda de dados. A maioria dos serviços do Azure que se integram ao Cofre da Chave do Azure, como o Armazenamento, exigem proteção contra limpeza para evitar a perda de dados.

Quando a proteção contra limpeza está ativada, um cofre ou um objeto no estado excluído não pode ser limpo até que o período de retenção tenha passado. Cofres e objetos excluídos por software ainda podem ser recuperados, garantindo que a política de retenção seja seguida.

O período de retenção padrão é de 90 dias, mas é possível definir o intervalo da política de retenção para um valor de 7 a 90 dias por meio do portal do Azure. Depois que o intervalo da política de retenção for definido e salvo, ele não poderá ser alterado para esse cofre.

A Proteção contra Limpeza pode ser ativada via CLI, PowerShell ou Portal.

Expurgo permitido

Excluir permanentemente, limpar, um cofre de chaves é possível através de uma operação POST no recurso proxy e requer privilégios especiais. Geralmente, apenas o proprietário da subscrição poderá limpar um cofre de chaves. A operação POST aciona a exclusão imediata e irrecuperável desse cofre.

As exceções são:

  • Quando a assinatura do Azure tiver sido marcada como não excluível. Nesse caso, apenas o serviço pode executar a exclusão real, e o faz como um processo agendado.
  • Quando o --enable-purge-protection argumento é ativado no próprio cofre. Nesse caso, o Cofre da Chave aguardará de 7 a 90 dias a partir de quando o objeto secreto original foi marcado para exclusão para excluir permanentemente o objeto.

Para conhecer as etapas, consulte Como usar a exclusão suave do Cofre da Chave com a CLI: Limpando um cofre de chaves ou Como usar a exclusão suave do Cofre da Chave com o PowerShell: Limpando um cofre de chaves.

Recuperação do cofre de chaves

Ao excluir um cofre de chaves, o serviço cria um recurso de proxy sob a assinatura, adicionando metadados suficientes para recuperação. O recurso de proxy é um objeto armazenado, disponível no mesmo local que o cofre de chaves excluído.

Recuperação de objetos do cofre de chaves

Ao excluir um objeto do cofre de chaves, como uma chave, o serviço colocará o objeto em um estado excluído, tornando-o inacessível a quaisquer operações de recuperação. Enquanto estiver nesse estado, o objeto do cofre da chave só pode ser listado, recuperado ou excluído forçadamente/permanentemente. Para exibir os objetos, use o comando CLI az keyvault key list-deleted do Azure (conforme documentado em Como usar a exclusão suave do Cofre da Chave com a CLI) ou o comando do Azure PowerShell (conforme descrito em Como usar a exclusão suave do Cofre da Chave com o PowerShellGet-AzKeyVault -InRemovedState).

Ao mesmo tempo, o Cofre da Chave agendará a exclusão dos dados subjacentes correspondentes ao objeto do cofre de chaves ou cofre de chaves excluído para execução após um intervalo de retenção predeterminado. O registro DNS correspondente ao cofre também é mantido durante o intervalo de retenção.

Período de retenção de exclusão suave

Os recursos excluídos por software são retidos por um determinado período de tempo, 90 dias. Durante o intervalo de retenção de exclusão suave, aplica-se o seguinte:

  • Você pode listar todos os cofres de chaves e objetos do cofre de chaves no estado de exclusão suave para sua assinatura, bem como acessar informações de exclusão e recuperação sobre eles.
    • Somente usuários com permissões especiais podem listar cofres excluídos. Recomendamos que nossos usuários criem uma função personalizada com essas permissões especiais para lidar com cofres excluídos.
  • Um cofre de chaves com o mesmo nome não pode ser criado no mesmo local; Correspondentemente, um objeto do Cofre da Chave não pode ser criado em um determinado Cofre se esse Cofre da Chave contiver um objeto com o mesmo nome e que esteja em um estado excluído.
  • Somente um usuário especificamente privilegiado pode restaurar um objeto do cofre de chaves ou do cofre de chaves emitindo um comando de recuperação no recurso de proxy correspondente.
    • O usuário, membro da função personalizada, que tem o privilégio de criar um cofre de chaves no grupo de recursos pode restaurar o cofre.
  • Somente um usuário especificamente privilegiado pode excluir à força um objeto do cofre de chaves ou do cofre de chaves emitindo um comando delete no recurso de proxy correspondente.

A menos que um objeto do cofre de chaves ou do cofre de chaves seja recuperado, no final do intervalo de retenção, o serviço executa uma limpeza do objeto do cofre de chaves excluído por software ou do objeto do cofre de chaves e seu conteúdo. A exclusão de recursos não pode ser reagendada.

Implicações de faturação

Em geral, quando um objeto (um cofre de chaves ou uma chave ou um segredo) está em estado excluído, há apenas duas operações possíveis: 'limpar' e 'recuperar'. Todas as outras operações falharão. Portanto, mesmo que o objeto exista, nenhuma operação pode ser realizada e, portanto, nenhum uso ocorrerá, portanto, nenhuma fatura. No entanto, existem as seguintes exceções:

  • As ações 'Limpar' e 'Recuperar' contarão para as operações normais do Cofre de Chaves e serão cobradas.
  • Se o objeto for uma chave HSM, a cobrança de 'Chave protegida HSM' por versão de chave por mês será aplicada se uma versão de chave tiver sido usada nos últimos 30 dias. Depois disso, como o objeto está no estado excluído, nenhuma operação pode ser executada contra ele, portanto, nenhuma cobrança será aplicada.

Próximos passos

Os três guias a seguir oferecem os principais cenários de uso para o uso de exclusão suave.