Tam yedekleme ve geri yükleme

Not

Bu özellik yalnızca kaynak türü yönetilen HSM için kullanılabilir.

Yönetilen HSM tüm anahtarlar, sürümler, öznitelikler, etiketler ve rol atamaları dahil olmak üzere HSM'nin tüm içeriğinin tam yedeklemesini oluşturmayı destekler. Yedekleme, HSM'nin güvenlik etki alanıyla ilişkili şifreleme anahtarları ile şifrelenir.

Yedekleme bir veri düzlemi işlemidir. Yedekleme işlemini başlatan çağıranın dataAction Microsoft.KeyVault/managedHsm/backup/start/action gerçekleştirme iznine sahip olması gerekir.

Yalnızca aşağıdaki yerleşik rollerin tam yedekleme gerçekleştirme izni vardır:

  • Yönetilen HSM Yöneticisi
  • Yönetilen HSM Yedeklemesi

Tam yedeklemeyi yürütmek için aşağıdaki bilgileri sağlamalısınız:

  • HSM adı veya URL'si
  • Depolama hesabı adı
  • Depolama hesabı blob depolama kapsayıcısı
  • Depolama kapsayıcı SAS belirteci izinlerle değiştirmecrdw

Azure Cloud Shell kullanma

Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell’i barındırır. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Bu makaledeki kodu, yerel ortamınıza herhangi bir şey yüklemeye gerek kalmadan çalıştırmak için Cloud Shell’in önceden yüklenmiş komutlarını kullanabilirsiniz.

Azure Cloud Shell’i başlatmak için:

Seçenek Örnek/Bağlantı
Kod bloğunun sağ üst köşesindeki Deneyin’i seçin. Deneyin seçeneği belirlendiğinde, kod otomatik olarak Cloud Shell’e kopyalanmaz. Azure Cloud Shell için Deneyin örneği
Cloud Shell’i tarayıcınızda açmak için https://shell.azure.com bölümüne gidin veya Cloud Shell’i Başlat düğmesini seçin. Cloud Shell’i yeni bir pencerede başlatma
Azure portalın sağ üst köşesindeki menü çubuğunda yer alan Cloud Shell düğmesini seçin. Azure portaldaki Cloud Shell düğmesi

Azure Cloud Shell’de bu makaledeki kodu çalıştırmak için:

  1. Cloud Shell’i başlatın.

  2. Kodu kopyalamak için kod bloğunda Kopyala düğmesini seçin.

  3. Windows ve Linux sisteminde Ctrl+Shift+V tuşlarını kullanarak veya macOS’de Cmd+Shift+V tuşlarını kullanarak kodu Cloud Shell oturumuna yapıştırın.

  4. Kodu çalıştırmak için Enter tuşuna basın.

Tam yedekleme

Yedekleme uzun süre çalışan bir işlemdir, ancak hemen bir İş Kimliği geri döner. Bu İş Kimliğini kullanarak yedekleme işleminin durumunu kontrol edin. Yedekleme işlemi, belirlenen kapsayıcının içinde aşağıdaki adlandırma desenini içeren bir klasör oluşturur; burada HSM_NAME yedekleme komutunun alındığı mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS} YYYY, AA, DD, HH, MM, mm, SS yıl, ay, tarih, saat, dakika ve UTC'de tarih/saat saniyedir.

Yedekleme devam ederken, bazı HSM bölümleri yedekleme işlemi gerçekleştirmekle meşgul olacağını için HSM tam aktarım hızıyla çalışmay olabilir.

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription 361da5d4-a47a-4c79-afdd-d66f684f4070

Tam geri yükleme

Tam geri yükleme, tüm anahtarlar, sürümler, öznitelikler, etiketler ve rol atamaları da dahil olmak üzere önceki bir yedeklemeyle HSM içeriğini tamamen geri yüklemenizi sağlar. Şu anda HSM'de depolanan her şey silinir ve kaynak yedekleme oluşturulduğunda olduğu durumuna geri döner.

Önemli

Tam geri yükleme çok yıkıcı ve kesintiye neden olan bir işlemdir. Bu nedenle, bir işlem gerçekleştirilmeden önce son 30 dakika içinde tam restore yedeklemenin tamamlanması zorunludur.

Geri yükleme bir veri düzlemi işlemidir. Geri yükleme işlemini başlatan çağıranın dataAction Microsoft.KeyVault/managedHsm/restore/start/action gerçekleştirme izni olması gerekir. Yedeklemenin oluşturularak kaynak HSM'nin ve geri yüklemenin gerçekleştirilecek hedef HSM'si aynı Güvenlik Etki Alanına sahip olmalıdır. Yönetilen HSM Güvenlik Etki Alanı hakkında daha fazla bilgi için bkz..

Tam geri yükleme yürütmek için aşağıdaki bilgileri sağlanız gerekir:

  • HSM adı veya URL'si
  • Depolama hesabı adı
  • Depolama hesabı blob kapsayıcısı
  • Depolama kapsayıcı SAS belirteci izinlerle değiştirmerl
  • Depolama yedeklemenin depo olduğu kapsayıcı klasörü adını seçin

Geri yükleme uzun süre çalışan bir işlemdir, ancak hemen bir İş Kimliği geri döner. Bu İş Kimliğini kullanarak geri yükleme işleminin durumunu kontrol edin. Geri yükleme işlemi devam ettikçe HSM bir geri yükleme moduna girer ve tüm veri düzlemi komutu (geri yükleme durumunu denetleme hariç) devre dışı bırakılır.

#### time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription a1ba9aaa-b7f6-4a33-b038-6e64553a6c7b)

HSM'yi geri yükleme

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Sonraki Adımlar