Yönetilen HSM geçici silmeye genel bakış

Önemli

Yönetilen HSM kaynakları için geçici silme kapatılamaz.

Önemli

Geçici olarak silinen Yönetilen HSM kaynakları, temizlenene kadar saatlik tam ücretlerinden faturalandırılmaya devam eder.

Yönetilen HSM geçici silme özelliği, silinen HSM'lerin ve anahtarların kurtarılmasına olanak tanır. Özellikle, bu özellik aşağıdaki korumaları sağlar:

• Bir HSM veya anahtar silindikten sonra, 7 ila 90 takvim günü yapılandırılabilir bir süre için kurtarılabilir kalır. HSM oluştururken bekletme süresini ayarlayabilirsiniz. Bir değer belirtmezseniz varsayılan saklama süresi olan 90 gün kullanılır. Bu süre, kullanıcılara yanlışlıkla bir anahtarı veya HSM silme işlemini fark edip yanıt vermek için yeterli süre verir.
• Bir anahtarı kalıcı olarak silmek için kullanıcıların iki eylem gerçekleştirmesi gerekir. İlk olarak anahtarı silmeleri gerekir ve bu da anahtarı geçici olarak silinmiş duruma getirir. İkinci olarak, anahtarı geçici olarak silinmiş durumda temizlemeleri gerekir. Temizleme işlemi, Yönetilen HSM Şifreleme Yetkilisi rolünü gerektirir. Bu ek korumalar, kullanıcının yanlışlıkla veya kötü amaçlı olarak bir anahtarı veya HSM'yi silme riskini azaltır.

Geçici silme davranışı

Yönetilen HSM kaynakları için geçici silme kapatılamaz.

Silinmiş olarak işaretlenen kaynaklar belirli bir süre boyunca saklanır. Silinen HSM'leri veya anahtarları kurtarmaya yönelik bir mekanizma da vardır, böylece silmeleri geri alabilirsiniz.

Varsayılan saklama süresi 90 gündür. Bir HSM kaynağı oluşturduğunuzda bekletme ilkesi aralığını 7 ile 90 gün arasında bir değere ayarlayabilirsiniz. Temizleme koruması bekletme ilkesi aynı aralığı kullanır. Bekletme ilkesini ayarladıktan sonra değiştiremezsiniz.

Bekletme süresi sona erene ve HSM kaynağı temizlenene (kalıcı olarak silinene) kadar geçici olarak silinmiş bir HSM kaynağının adını yeniden kullanamazsınız.

Temizleme koruması

Temizleme koruması isteğe bağlı bir davranıştır. Varsayılan olarak etkin değildir. Azure CLI veya PowerShell kullanarak bu özelliği açabilirsiniz.

Temizleme koruması açık olduğunda, silinen durumdaki bir HSM veya anahtar saklama süresi sona erene kadar temizlenemez. Geçici olarak silinen HSM'ler ve anahtarlar yine kurtarılabilir ve bu da bekletme ilkesinin geçerli olmasını sağlar.

Varsayılan saklama süresi 90 gündür. Bir HSM oluşturduğunuzda bekletme ilkesi aralığını 7 ile 90 gün arasında bir değere ayarlayabilirsiniz. Bekletme ilkesi aralığı yalnızca bir HSM oluşturduğunuzda ayarlanabilir. Bu, daha sonra değiştirilemez.

Bkz. Cli ile Yönetilen HSM geçici silmeyi kullanma veya PowerShell ile Yönetilen HSM geçici silmeyi kullanma.

Yönetilen HSM kurtarma

Bir HSM'yi sildiğinizde, hizmet abonelikte bir proxy kaynağı oluşturur ve kurtarmayı etkinleştirmek için yeterli meta verileri ekler. Proxy kaynağı depolanan bir nesnedir. Silinen HSM ile aynı konumda kullanılabilir.

Anahtar kurtarma

Bir anahtarı sildiğinizde, hizmet anahtarı silinmiş duruma getirerek herhangi bir işlem için erişilemez hale getirir. Bu durumdayken anahtarlar listelenebilir, kurtarılabilir veya temizlenebilir. Nesneleri görüntülemek için Azure CLI az keyvault key list-deleted komutunu (CLI ile yönetilen HSM geçici silme ve temizleme koruması bölümünde açıklanmıştır) veya Azure PowerShell -InRemovedState parametresini (PowerShell ile Yönetilen HSM geçici silme ve temizleme koruması bölümünde açıklanmıştır) kullanın.

Anahtarı sildiğinizde, Yönetilen HSM silinen HSM veya anahtara karşılık gelen temel verilerin silinmesini önceden belirlenmiş bir saklama aralığından sonra gerçekleşecek şekilde zamanlar. HSM'ye karşılık gelen DNS kaydı da saklama aralığı boyunca tutulur.

Geçici silme saklama süresi

Geçici olarak silinen kaynaklar belirli bir süre boyunca tutulur: 90 gün. Geçici silme saklama aralığı sırasında şu koşullar geçerlidir:

• Aboneliğinizin geçici silme durumundaki tüm HSM'leri ve anahtarları listeleyebilirsiniz. Ayrıca bunlar hakkındaki silme ve kurtarma bilgilerine de erişebilirsiniz.
• Yalnızca Yönetilen HSM Katkıda Bulunanı rolüne sahip kullanıcılar silinen HSM'leri listeleyebilir. Silinen kasaları işlemek için bu izinlere sahip özel bir rol oluşturmanızı öneririz.
• Yönetilen HSM adları belirli bir konumda benzersiz olmalıdır. Bir anahtar oluşturduğunuzda, HSM silinmiş durumda bu ada sahip bir anahtar içeriyorsa ad kullanamazsınız.
• Yönetilen HSM Katkıda Bulunanı rolüne sahip kullanıcılar yönetilen HSM'leri listeleyebilir, görüntüleyebilir, kurtarabilir ve temizleyebilir.
• Yalnızca Yönetilen HSM Şifreleme Yetkilisi rolüne sahip kullanıcılar anahtarları listeleyebilir, görüntüleyebilir, kurtarabilir ve temizleyebilir.

Yönetilen bir HSM veya anahtar kurtarılmadığı sürece, bekletme aralığının sonunda hizmet geçici olarak silinen HSM veya anahtarı temizler. Kaynakların silinmesini yeniden zamanlayamazsınız.

Faturalamanın etkileri

Yönetilen HSM tek kiracılı bir hizmettir. Yönetilen bir HSM oluşturduğunuzda, hizmet HSM'nize ayrılan temel kaynakları ayırır. HSM silinmiş durumda olsa bile bu kaynaklar ayrılmış durumda kalır. HSM silinmiş durumdayken faturalandırılırsınız.

Sonraki adımlar

Bu makalelerde geçici silmeyi kullanmaya yönelik ana senaryolar açıklanmaktadır:

• PowerShell ile Yönetilen HSM geçici silmeyi kullanma
• Azure CLI ile Yönetilen HSM geçici silme özelliğini kullanma