Configurer la sauvegarde et la récupération des certificats, des secrets et des clés
Azure Key Vault fournit automatiquement des fonctionnalités permettant de garantir la disponibilité et d’empêcher toute perte de données. Sauvegardez les secrets uniquement si vous avez une justification métier stratégique. La sauvegarde de secrets dans votre coffre de clés peut introduire des défis opérationnels, comme la gestion de plusieurs ensembles de journaux, d’autorisations et de sauvegardes quand des secrets expirent ou permutent.
Key Vault assure la disponibilité dans les scénarios de sinistre et bascule automatiquement les demandes vers une région associée sans aucune intervention de l’utilisateur.
Si vous voulez une protection contre la suppression accidentelle ou malveillante de vos secrets, configurez les fonctionnalités de suppression réversible et de protection contre le vidage sur votre coffre de clés.
Key Vault ne propose pour l’instant aucun moyen de sauvegarder l’ensemble d’un coffre de clés en une seule opération. Toute tentative d’utiliser les commandes listées dans ce document pour effectuer une sauvegarde automatisée d’un coffre de clés peut entraîner des erreurs et n’est pas prise en charge par Microsoft ni l’équipe Azure Key Vault.
Tenez également compte des conséquences suivantes :
- La sauvegarde de secrets ayant plusieurs versions peut entraîner des erreurs de délai d’attente.
- Une sauvegarde crée une capture instantanée à un point dans le temps. Les secrets peuvent être renouvelés pendant une sauvegarde, provoquant une incohérence entre les clés de chiffrement.
- Le dépassement des limites du service de coffre de clés pour les demandes par seconde entraîne la limitation de votre coffre de clés et l’échec de la sauvegarde.
Remarques relatives à la conception
Quand vous sauvegardez un objet d’un coffre de clés (secret, clé ou certificat), l’opération de sauvegarde télécharge l’objet sous la forme d’un objet blob chiffré. Cet objet blob ne peut pas être déchiffré en dehors d’Azure. Pour obtenir des données utilisables à partir de cet objet blob, vous devez restaurer l’objet blob dans un coffre de clés au sein du même abonnement Azure et de la même zone géographique Azure.
Prérequis
Pour sauvegarder un objet de coffre de clés, vous devez disposer des éléments suivants :
- Autorisations de niveau contributeur ou supérieur sur un abonnement Azure.
- Coffre de clés principal contenant les secrets que vous voulez sauvegarder.
- Un coffre de clés secondaire où les secrets seront restaurés
Sauvegarder et restaurer à partir du portail Azure
Suivez les étapes de cette section pour sauvegarder et restaurer des objets à l’aide du portail Azure.
Sauvegarder
- Accédez au portail Azure.
- Sélectionnez votre coffre de clés.
- Accédez à l’objet (secret, clé ou certificat) que vous voulez sauvegarder.
- Sélectionnez l’objet.
- Sélectionnez Télécharger la sauvegarde.
- Sélectionnez Télécharger.
- Stockez l’objet blob chiffré dans un emplacement sécurisé.
Restaurer
- Accédez au portail Azure.
- Sélectionnez votre coffre de clés.
- Accédez au type d’objet (secret, clé ou certificat) que vous voulez restaurer.
- Sélectionnez Restaurer la sauvegarde.
- Accédez à l’emplacement où vous avez stocké l’objet blob chiffré.
- Cliquez sur OK.