Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM

Tento článek popisuje dvě funkce obnovení spravovaného HSM: obnovitelné odstranění a ochranu před vymazáním. Poskytuje přehled těchto funkcí a ukazuje, jak je spravovat pomocí Azure CLI a Azure PowerShellu.

Další informace najdete v tématu Přehled spravovaného HSM.

Požadavky

• Předplatné Azure. Vytvořte si ho zdarma.

• Modul PowerShellu.

• Azure CLI 2.25.0 nebo novější Spuštěním příkazu az --version určete, jakou verzi máte. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

• Spravovaný HSM. Můžete ho vytvořit pomocí Azure CLI nebo Azure PowerShellu.

• Uživatelé budou potřebovat následující oprávnění k provádění operací s obnovitelně odstraněným HSM nebo klíči:

  Přiřazení role	Popis
  Spravovaný přispěvatel HSM	Výpis, obnovení a vymazání obnovitelně odstraněných hsM
  Spravovaný uživatel kryptografických modulů HSM	Výpis obnovitelně odstraněných klíčů
  Spravovaný kryptografický pracovník HSM	Vymazání a obnovení obnovitelně odstraněných klíčů

Co je ochrana proti obnovitelnému odstranění a vymazání?

Obnovitelné odstranění a ochrana před vymazáním jsou funkce obnovení.

Obnovitelné odstranění je navržené tak, aby zabránilo náhodnému odstranění hsm a klíčů. Obnovitelné odstranění funguje jako koš. Když odstraníte HSM nebo klíč, zůstane obnovitelný pro konfigurovatelnou dobu uchovávání nebo pro výchozí období 90 dnů. Moduly HSM a klíče ve stavu obnovitelného odstranění se dají vyprázdnit, což znamená, že se trvale odstraní. Vyprázdnění umožňuje znovu vytvořit moduly HSM a klíče se stejným názvem jako vyprázdněná položka. Obnovení i odstranění modulů hardwarového zabezpečení a klíčů vyžadují konkrétní přiřazení rolí. Obnovitelné odstranění nejde zakázat.

Poznámka:

Vzhledem k tomu, že základní prostředky zůstanou přidělené vašemu HSM i v případě, že jsou v odstraněném stavu, bude prostředek HSM dál nabíhání hodinových poplatků v daném stavu.

Názvy spravovaných HSM jsou globálně jedinečné v každém cloudovém prostředí. Nemůžete tedy vytvořit spravovaný HSM se stejným názvem jako ten, který existuje ve stavu obnovitelného odstranění. Podobně jsou názvy klíčů v rámci HSM jedinečné. Nemůžete vytvořit klíč se stejným názvem jako klíč, který existuje ve stavu obnovitelného odstranění.

Další informace najdete v tématu Přehled obnovitelného odstranění spravovaného HSM.

Ochrana před vymazáním je navržená tak, aby zabránila odstranění modulů HSM a klíčů ze strany insideru se zlými úmysly. Je to jako koš se zámkem založeným na čase. Položky můžete obnovit v libovolném okamžiku během konfigurovatelné doby uchovávání. Dokud doba uchovávání neukončí, nebudete moct modul HARDWAROVÉho zabezpečení ani klíč trvale odstranit ani vyprázdnit. Po skončení doby uchovávání se modul hardwarového zabezpečení nebo klíč automaticky vyprázdní.

Poznámka:

Žádná role správce ani oprávnění nemůže přepsat, zakázat nebo obejít ochranu před vymazáním. Pokud je ochrana před vymazáním povolená, nemůže ji zakázat ani přepsat nikdo, včetně Microsoftu. Proto musíte obnovit odstraněný HSM nebo počkat na ukončení doby uchovávání, než budete moct znovu použít název HSM.

Správa klíčů a spravovaných HSM

Azure CLI

Spravované moduly HSM (CLI)

• Kontrola stavu obnovitelného odstranění a ochrany před vymazáním spravovaného HSM:

  az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

• Odstranění HSM:

  az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
  

  Tato akce je obnovitelná, protože obnovitelné odstranění je ve výchozím nastavení zapnuté.

• Zobrazení seznamu všech obnovitelně odstraněných hsM:

  az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm
  

• Obnovení obnovitelného odstraněného HSM:

  az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

• Vymazání obnovitelného odstraněného HSM:

  az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
  

  Upozorňující

  Tato operace trvale odstraní váš HSM.

• Povolení ochrany před vymazáním v HSM:

  az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
  

Klíče (CLI)

• Odstranění klíče:

  az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• Výpis odstraněných klíčů:

  az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}
  

• Obnovení odstraněného klíče:

  az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

• Vymazání obnovitelně odstraněného klíče:

  az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
  

  Upozorňující

  Tato operace trvale odstraní váš klíč.

Azure PowerShell

Spravované moduly HSM (PowerShell)

• Kontrola stavu obnovitelného odstranění a ochrany před vymazáním spravovaného HSM:

  Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
  

• Odstranění HSM:

  Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
  

  Tato akce je obnovitelná, protože obnovitelné odstranění je ve výchozím nastavení zapnuté.

Klíče (PowerShell)

• Odstranění klíče:

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'
  

• Zobrazení seznamu všech odstraněných klíčů:

  Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState
  

• Obnovení obnovitelně odstraněného klíče:

  Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey
  

• Vymazání obnovitelně odstraněného klíče:

  Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
  

  Upozorňující

  Tato operace trvale odstraní váš klíč.

Další kroky

• Rutiny PowerShellu spravovaného HSM
• Příkazy Azure CLI služby Key Vault
• Úplné zálohování a obnovení spravovaného HSM
• Povolení protokolování spravovaného HSM