受控 HSM 虛刪除和清除保護

本文說明受控 HSM 的兩項復原功能：虛刪除和清除保護。 其提供這些功能的概觀，並示範如何使用 Azure CLI 和 Azure PowerShell 來加以管理。

如需詳細資訊，請參閱受控 HSM 概觀。

必要條件

• Azure 訂用帳戶。 免費建立一個。

• PowerShell 模組。

• Azure CLI 2.25.0 或更新版本。 執行 az --version 以判斷您擁有的版本。 如果您需要安裝或升級，請參閱安裝 Azure CLI。

• 受控 HSM。 您可以使用 Azure CLI 或 Azure PowerShell 加以建立。

• 使用者將需要下列權限，才能在虛刪除的 HSM 或金鑰上執行作業：

  角色指派	描述
  受控 HSM 參與者	列出、復原和清除虛刪除的 HSM
  受控 HSM 密碼編譯使用者	列出虛刪除的金鑰
  受控 HSM 密碼編譯人員	清除和復原虛刪除的金鑰

什麼是虛刪除和清除保護？

虛刪除和清除保護是復原功能。

虛刪除是設計來防止 HSM 和金鑰遭到意外刪除。 虛刪除的運作方式就像資源回收筒一樣。 當您刪除 HSM 或金鑰時，其會在可設定的保留期限，或預設期間 90 天維持可復原的狀態。 您也可清除狀態為虛刪除的 HSM 和金鑰，這表示 HSM 和金鑰已遭到永久刪除。 清除可讓您重新建立與已清除項目同名的 HSM 和金鑰。 復原和刪除 HSM 和金鑰都需要特定的角色指派。 無法停用虛刪除。

注意

因為基礎資源仍會配置給 HSM (即使其處於已刪除狀態)，HSM 資源在處於該狀態時，仍會繼續累積每小時的費用。

受控 HSM 名稱在每個雲端環境中都是全域唯一的。 因此，您無法使用與在虛刪除狀態中相同的名稱來建立受控 HSM。 同樣地，金鑰的名稱在 HSM 內是唯一的。 因此，您無法使用與在虛刪除狀態中相同的名稱來建立金鑰。

如需詳細資訊，請參閱受控 HSM 虛刪除概觀。

清除保護的設計目的是防止惡意測試人員刪除 HSM 和金鑰。 其就像是具有以時間為基礎之鎖定的資源回收筒。 您可以在可設定的保留期間內的任何時間點復原項目。 在保留期限結束之前，您將無法永久刪除或清除 HSM 或金鑰。 當保留期限結束時，會自動清除 HSM 或金鑰。

注意

管理員角色或權限無法覆寫、停用或規避清除保護。 在啟用清除保護後，任何人 (包括 Microsoft) 都無法將其停用或覆寫。 因此，您必須復原已刪除的 HSM 或等候保留期限結束，才能重複使用 HSM 名稱。

管理金鑰和受控 HSM

Azure CLI

受控 HSM (CLI)

• 若要檢查受控 HSM 的虛刪除和清除保護的狀態：

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

• 若要刪除 HSM：

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

  此動作可復原，因為預設會開啟虛刪除。

• 若要列出所有虛刪除的 HSM：

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
  

• 若要復原虛刪除的 HSM：

  az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

• 若要清除虛刪除的 HSM：

  az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

  警告

  這種操作會永久刪除 HSM。

• 若要啟用 HSM 上的清除保護：

  az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
  

金鑰 (CLI)

• 若要刪除金鑰：

  az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• 若要列出已刪除的金鑰：

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
  

• 復原已刪除的金鑰：

  az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• 若要清除虛刪除的金鑰：

  az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

  警告

  這種操作會永久刪除金鑰。

Azure PowerShell

受控 HSM (PowerShell)

• 若要檢查受控 HSM 的虛刪除和清除保護的狀態：

  Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
  

• 若要刪除 HSM：

  Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
  

  此動作可復原，因為預設會開啟虛刪除。

金鑰 (PowerShell)

• 若要刪除金鑰：

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'
  

• 若要列出所有已刪除的金鑰：

  Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState
  

• 若要復原虛刪除的金鑰：

  Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey
  

• 若要清除虛刪除的金鑰：

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
  

  警告

  這種操作會永久刪除金鑰。

下一步

• 受控 HSM PowerShell cmdlets
• Key Vault Azure CLI 命令
• 受控 HSM 完整備份和還原
• 如何啟用受控 HSM 記錄