Backup e ripristino completo e ripristino selettivo delle chiavi

Nota

Questa funzionalità è disponibile solo per il modulo di protezione hardware gestito del tipo di risorsa.

Il modulo di protezione hardware gestito supporta la creazione di un backup completo dell'intero contenuto del modulo di protezione hardware, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Il backup viene crittografato con le chiavi di crittografia associate al dominio di sicurezza del modulo di protezione hardware.

Il backup è un'operazione del piano dati. Il chiamante che avvia l'operazione di backup deve avere l'autorizzazione per eseguire l'azione dati Microsoft.KeyVault/managedHsm/backup/start/action.

Solo i ruoli predefiniti seguenti sono autorizzati a eseguire il backup completo:

• Managed HSM Administrator
• Managed HSM Backup

Esistono due modi per eseguire un backup/ripristino completo:

1. Assegnazione di un'identità gestita assegnata dall'utente al servizio del modulo di protezione hardware gestito. È possibile eseguire il backup e il ripristino di MHSM usando un'identità gestita assegnata dall'utente, indipendentemente dal fatto che l'account di archiviazione abbia abilitato l'accesso alla rete pubblica o l'accesso alla rete privata. Se l'account di archiviazione si trova dietro un endpoint privato, il metodo UAMI funziona con bypass del servizio attendibile per consentire il backup e il ripristino.
2. Uso del token di firma di accesso condiviso del contenitore di archiviazione con autorizzazioni "crdw". Il backup e il ripristino tramite il token di firma di accesso condiviso del contenitore di archiviazione richiede che l'account di archiviazione disponga dell'accesso alla rete pubblica abilitato.

Per eseguire un backup completo, è necessario specificare le informazioni seguenti:

• Nome o URL del modulo di protezione hardware
• Nome account di archiviazione
• Contenitore di archiviazione BLOB dell'account di archiviazione
• Token di firma di accesso condiviso dell'identità gestita o del contenitore di archiviazione assegnato dall'utente con autorizzazioni "crdw"

Azure Cloud Shell

Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.

Per avviare Azure Cloud Shell:

Opzione	Esempio/Collegamento
Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell.
Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser.
Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure.

Per usare Azure Cloud Shell:

1. Avviare Cloud Shell.

2. Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.

3. Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.

4. Selezionare INVIO per eseguire il codice o il comando.

Prerequisiti se si eseguono il backup e il ripristino usando l'identità gestita assegnata dall'utente:

1. Assicurarsi di avere l'interfaccia della riga di comando di Azure versione 2.56.0 o successiva. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.
2. Creare un'identità gestita assegnata dall'utente.
3. Creare un account di archiviazione (o usare un account di archiviazione esistente).
4. Se l'accesso alla rete pubblica è disabilitato nell'account di archiviazione, abilitare il bypass del servizio attendibile nell'account di archiviazione nella scheda "Rete" , in "Eccezioni".
5. Fornire l'accesso al ruolo "Collaboratore ai dati BLOB di archiviazione" all'identità gestita assegnata dall'utente creata nel passaggio 2, passando alla scheda "Controllo di accesso" nel portale -> Aggiungi assegnazione di ruolo. Selezionare quindi "identità gestita" e selezionare l'identità gestita creata nel passaggio 2 -> Rivedi e assegna
6. Creare il modulo di protezione hardware gestito e associare l'identità gestita al comando seguente.

   az keyvault create --hsm-name mhsmdemo2 –l mhsmlocation -- retention-days 7 --administrators "initialadmin" --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 
   

Se si dispone di un modulo di protezione hardware gestito esistente, associare l'identità gestita aggiornando MHSM con il comando seguente.

 az keyvault update-hsm --hsm-name mhsmdemo2 --mi-user-assigned "/subscriptions/subid/resourcegroups/mhsmrgname/providers/Microsoft.ManagedIdentity/userAssignedIdentities/userassignedidentitynamefromstep2" 

Backup completo

Il backup è un'operazione a esecuzione prolungata, ma che restituisce immediatamente un ID processo, che potrà essere usato per controllare lo stato del processo di backup. Il processo di backup crea all'interno del contenitore designato una cartella il cui nome è conforme al formato di denominazione mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}, in cui HSM_NAME è il nome del modulo di protezione hardware gestito di cui viene eseguito il backup e YYYY, MM, DD, HH, MM, mm, SS sono rispettivamente l'anno, il mese, il giorno, l'ora, i minuti e i secondi in formato ora UTC in cui è stato ricevuto il comando di backup.

Durante l'esecuzione del backup, il modulo di protezione hardware potrebbe non funzionare alla velocità effettiva, perché alcune partizioni del modulo di protezione hardware sono occupate con l'esecuzione dell'operazione di backup.

Eseguire il backup del modulo di protezione hardware usando l'identità gestita assegnata dall'utente

az keyvault backup start --use-managed-identity true --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer

Eseguire il backup del modulo di protezione hardware usando il token di firma di accesso condiviso

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Create a container

az storage container create --account-name  mhsmdemobackup --name mhsmdemobackupcontainer  --account-key $skey

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions crdw --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Backup HSM

az keyvault backup start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --subscription {subscription-id}

Ripristino completo

Il ripristino completo consente di ripristinare completamente l'intero contenuto del modulo di protezione hardware con un backup precedente, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Tutto il contenuto attualmente archiviato nel modulo di protezione hardware verrà cancellato e verrà ripristinato allo stato in cui si trovava quando è stato creato il backup di origine.

Importante

Il ripristino completo è un'operazione estremamente distruttiva. È pertanto obbligatorio aver completato un backup completo del modulo di protezione hardware ripristinato in almeno 30 minuti prima di un'operazione di restore.

Il ripristino è un'operazione del piano dati. Il chiamante che avvia l'operazione di ripristino deve avere l'autorizzazione per eseguire l'azione dati Microsoft.KeyVault/managedHsm/restore/start/action. Il modulo di protezione hardware di origine in cui è stato creato il backup e il modulo di protezione hardware di destinazione in cui verrà eseguito il ripristino devono avere lo stesso dominio di sicurezza. Per altre informazioni, vedere Dominio di sicurezza del modulo di protezione hardware gestito.

Esistono due modi per eseguire un ripristino completo. Per eseguire un ripristino completo, è necessario specificare le informazioni seguenti:

• Nome o URL del modulo di protezione hardware
• Nome account di archiviazione
• Contenitore BLOB dell'account di archiviazione
• Token di firma di accesso condiviso dell'identità gestita o del contenitore di archiviazione assegnato dall'utente con autorizzazioni rl
• Nome della cartella del contenitore di archiviazione in cui è archiviato il backup di origine

Il ripristino è un'operazione a esecuzione prolungata ma restituirà immediatamente un ID processo, che potrà essere usato per controllare lo stato del processo di ripristino. Durante il processo di ripristino, il modulo di protezione hardware passa alla modalità di ripristino e tutti i comandi del piano dati (eccetto quello per il controllo dello stato del ripristino) sono disabilitati.

Eseguire il ripristino del modulo di protezione hardware usando l'identità gestita assegnata dall'utente

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true

Eseguire il ripristino del modulo di protezione hardware usando il token di firma di accesso condiviso

# time for 500 minutes later for SAS token expiry

end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')

# Get storage account key

skey=$(az storage account keys list --query '[0].value' -o tsv --account-name mhsmdemobackup --subscription {subscription-id})

# Generate a container sas token

sas=$(az storage container generate-sas -n mhsmdemobackupcontainer --account-name mhsmdemobackup --permissions rl --expiry $end --account-key $skey -o tsv --subscription {subscription-id})

# Restore HSM

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860

Ripristino selettivo delle chiavi

Il ripristino selettivo delle chiavi consente di ripristinare una singola chiave con tutte le relative versioni da un backup precedente in un modulo di protezione hardware. La chiave deve essere ripulita affinché il ripristino selettivo della chiave funzioni. Se si sta tentando di recuperare una chiave eliminata temporanea, usare il ripristino della chiave. Vedere altre informazioni sul ripristino della chiave.

Ripristino selettivo delle chiavi usando l'identità gestita assegnata dall'utente

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --backup-folder mhsm-backup-foldername --use-managed-identity true --key-name rsa-key2

Ripristino selettivo delle chiavi con token di firma di accesso condiviso

az keyvault restore start --hsm-name mhsmdemo2 --storage-account-name mhsmdemobackup --blob-container-name mhsmdemobackupcontainer --storage-container-SAS-token $sas --backup-folder mhsm-mhsmdemo-2020083120161860 -–key-name rsa-key2

Passaggi successivi

• Vedere Gestire un modulo di protezione hardware gestito con l'interfaccia della riga di comando di Azure.
• Per altre informazioni, vedere Dominio di sicurezza del modulo di protezione hardware gestito