Configurar la copia de seguridad y recuperación de certificados, secretos y claves

  • 7 minutos

Azure Key Vault proporciona automáticamente características para ayudarle a mantener la disponibilidad y evitar la pérdida de datos. Haga una copia de seguridad de los secretos solo si tiene una justificación empresarial crítica. La copia de seguridad de los secretos del almacén de claves puede plantear desafíos operativos adicionales, como el mantenimiento de varios conjuntos de registros, permisos y copias de seguridad cuando los secretos expiren o roten.

Key Vault mantiene la disponibilidad en escenarios de desastre y realizará automáticamente una conmutación por error de las solicitudes a una región emparejada sin intervención del usuario.

Si desea protección contra la eliminación accidental o malintencionada de los secretos, configure las características de eliminación temporal y protección de purga en el almacén de claves.

Key Vault no proporciona actualmente una forma de realizar una copia de seguridad de un almacén de claves completo en una sola operación. Cualquier intento de usar los comandos enumerados en este documento para realizar una copia de seguridad automatizada de un almacén de claves puede producir errores y no será admitida por Microsoft ni el equipo de Azure Key Vault.

Tenga en cuenta también las consecuencias siguientes:

  • La copia de seguridad de secretos que tienen varias versiones podría producir errores de expiración del tiempo de espera.
  • Una copia de seguridad crea una instantánea a un momento dado. Los secretos pueden renovarse durante una copia de seguridad, lo que provoca una falta de coincidencia de las claves de cifrado.
  • Si se superan los límites de servicio de Key Vault en cuanto a solicitudes por segundo, el almacén de claves se limitará y se producirá un error en la copia de seguridad.

Consideraciones de diseño

Al realizar una copia de seguridad de un objeto almacenado en el almacén de claves (secreto, clave o certificado), la operación de copia de seguridad descargará el objeto como un blob cifrado. Este blob no se puede descifrar fuera de Azure. Para obtener datos que se puedan usar de este blob, debe restaurar el blob en un almacén de claves dentro de la misma suscripción de Azure y zona geográfica de Azure.

Requisitos previos

Para realizar una copia de seguridad de un objeto de Key Vault, debe tener:

  • Permisos de nivel de colaborador o superior en una suscripción de Azure.
  • Un almacén de claves principal que contenga los secretos de los que desea realizar una copia de seguridad.
  • Un almacén de claves secundario en el que se restaurarán los secretos.

Copia de seguridad y restauración desde Azure Portal

Siga los pasos de esta sección para realizar copias de seguridad y restaurar objetos mediante Azure Portal.

Copia de seguridad

  1. Vaya a Azure Portal.
  2. Seleccione el almacén de claves.
  3. Vaya al objeto (secreto, clave o certificado) del que desea realizar una copia de seguridad.
  4. Seleccione el objeto.
  5. Seleccione Descargar copia de seguridad.
  6. Seleccione Descargar.
  7. Almacene el blob cifrado en una ubicación segura.

Restauración

  1. Vaya a Azure Portal.
  2. Seleccione el almacén de claves.
  3. Desplácese hasta el tipo de objeto (secreto, clave o certificado) que desea restaurar.
  4. Seleccione Restaurar copia de seguridad.
  5. Vaya a la ubicación donde almacenó el blob cifrado.
  6. Seleccione Aceptar.