Функции данных клиентов в Azure Key Vault

Azure Key Vault получает данные о клиентах во время создания или обновления хранилищ, ключей, управляемых пулов HSM, секретов, сертификатов и управляемых учетных записей. Эти данные клиентов доступны непосредственно на портале Azure и через REST API. Данные клиентов могут быть удалены или изменены путем обновления или удаления содержащего их объекта.

Журналы системного доступа генерируются, когда пользователь или приложение обращаются к Key Vault. Подробные журналы доступа доступны для клиентов в Azure Insights.

Примечание

В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе, посвященном GDPR, в Центре управления безопасностью Майкрософт и на портале Service Trust Portal.

Идентификация данных клиента

Следующая информация идентифицирует данные клиента в Azure Key Vault:

• Политики доступа для Azure Key Vault содержат идентификаторы объектов пользователей, групп или приложений.
• Субъекты сертификата могут содержать адреса электронной почты или другие идентификаторы пользователей или организаций.
• Контакты сертификата могут содержать адреса электронной почты, имена или телефонные номера пользователей.
• Издатели сертификатов могут содержать адреса электронной почты, имена, номера телефонов, учетные данные и сведения об организациях.
• К объектам в Azure Key Vault могут применяться произвольные теги. Эти объекты включают в себя хранилища, ключи, секреты, сертификаты и учетные записи хранения. Используемые теги могут содержать персональные данные.
• Журналы доступа Azure Key Vault содержат идентификаторы объектов, имена участников-пользователей и IP-адреса каждого вызова REST API.
• Журналы диагностики Azure Key Vault могут содержать идентификаторы объектов и IP-адреса вызовов REST API.

Удаление данных клиента

С помощью тех же REST API, действий на портале и пакетов SDK, которые используются для создания хранилищ, ключей, секретов, сертификатов и управляемых учетных записей хранения, можно обновлять и удалять эти объекты.

Обратимое удаление позволяет восстановить данные в течение 90 дней после их удаления. Эти данные можно окончательно удалить и до истечения этого срока с помощью операции очистки. Если хранилище или подписка настроены для блокировки операций очистки, невозможно окончательно удалить данные до истечения запланированного периода хранения.

Экспорт данных клиента

С помощью тех же REST API, действий на портале и пакетов SDK, которые используются для создания хранилищ, ключей, секретов, сертификатов и управляемых учетных записей хранения также можно просматривать и экспортировать эти объекты.

Регистрация доступа к Azure Key Vault является дополнительной функцией, которую можно включить для создания журналов для каждого вызова REST API. Эти журналы будут перенесены в учетную запись хранения в вашей подписке, где вы применяете политику хранения, соответствующую требованиям вашей организации.

Журналы диагностики Azure Key Vault, которые содержат персональные данные, можно получить, выполнив запрос на экспорт на портале конфиденциальности пользователей. Этот запрос должен быть отправлен администратором клиента.

Дальнейшие действия

• Ведение журнала хранилища ключей Azure

• Как использовать обратимое удаление в Key Vault с помощью интерфейса командной строки

• Операции с ключами в Azure Key Vault

• Операции с секретами в Azure Key Vault

• Сертификаты и политики Azure Key Vault

• Операции с учетными записями хранения Azure Key Vault