Beveiliging tegen voorlopig verwijderen en opschonen van beheerde HSM

Artikel
08/07/2024

In dit artikel worden twee herstelfuncties van beheerde HSM beschreven: beveiliging tegen voorlopig verwijderen en opschonen. Het biedt een overzicht van deze functies en laat zien hoe u deze kunt beheren met behulp van de Azure CLI en Azure PowerShell.

Zie het overzicht van beheerde HSM's voor meer informatie.

Vereisten

Een Azure-abonnement. Maak gratis een account.
De PowerShell-module.
Azure CLI 2.25.0 of hoger. Voer uit az --version om te bepalen welke versie u hebt. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
Een beheerde HSM. U kunt er een maken met behulp van de Azure CLI of Azure PowerShell.

Gebruikers hebben de volgende machtigingen nodig om bewerkingen uit te voeren op voorlopig verwijderde HSM's of sleutels:

Roltoewijzing	Beschrijving
Inzender voor beheerde HSM	Voorlopig verwijderde HSM's weergeven, herstellen en opschonen
Beheerde HSM Crypto-gebruiker	Voorlopig verwijderde sleutels weergeven
Beheerde HSM Crypto Officer	Voorlopig verwijderde sleutels opschonen en herstellen

Wat zijn beveiliging tegen voorlopig verwijderen en opschonen?

Voorlopig verwijderen en beveiliging tegen opschonen zijn herstelfuncties.

Voorlopig verwijderen is ontworpen om onbedoelde verwijdering van uw HSM en sleutels te voorkomen. Voorlopig verwijderen werkt als een Prullenbak. Wanneer u een HSM of een sleutel verwijdert, blijft deze herstelbaar voor een configureerbare bewaarperiode of voor een standaardperiode van 90 dagen. HSM's en sleutels met de status Voorlopig verwijderd kunnen ook worden opgeschoond, wat betekent dat ze permanent worden verwijderd. Met opschonen kunt u HSM's en sleutels opnieuw maken met dezelfde naam als het opgeschoonde item. Voor zowel het herstellen als verwijderen van HSM's en sleutels zijn specifieke roltoewijzingen vereist. Voorlopig verwijderen kan niet worden uitgeschakeld.

Notitie

Omdat de onderliggende resources blijven toegewezen aan uw HSM, zelfs wanneer deze de status Verwijderd hebben, blijven de HSM-resource uurkosten in rekening brengen terwijl deze zich in die status bevindt.

Beheerde HSM-namen zijn wereldwijd uniek in elke cloudomgeving. U kunt dus geen beheerde HSM maken met dezelfde naam als een HSM die bestaat in een voorlopig verwijderde status. Op dezelfde manier zijn de namen van sleutels uniek binnen een HSM. U kunt geen sleutel maken met dezelfde naam als een sleutel die bestaat in de status Voorlopig verwijderd.

Zie het overzicht van beheerde HSM voor voorlopig verwijderen voor meer informatie.

Opschoningsbeveiliging is ontworpen om te voorkomen dat uw HSM's en sleutels door een kwaadwillende insider worden verwijderd. Het is net een prullenbak met een vergrendeling op basis van tijd. U kunt items op elk gewenst moment herstellen tijdens de configureerbare bewaarperiode. U kunt een HSM of sleutel pas definitief verwijderen of opschonen als de bewaarperiode is beëindigd. Wanneer de bewaarperiode afloopt, wordt de HSM of sleutel automatisch verwijderd.

Notitie

Geen beheerdersrol of -machtiging kan beveiliging tegen opschonen overschrijven, uitschakelen of omzeilen. Als beveiliging tegen opschonen is ingeschakeld, kan deze niet door iedereen worden uitgeschakeld of overschreven, waaronder Microsoft. U moet dus een verwijderde HSM herstellen of wachten tot de bewaarperiode is beëindigd voordat u de HSM-naam opnieuw kunt gebruiken.

Beheerde HSM's (CLI)

De status van voorlopig verwijderen en opschonen voor een beheerde HSM controleren:

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}

Een HSM verwijderen:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Deze actie kan worden hersteld omdat voorlopig verwijderen standaard is ingeschakeld.

Alle voorlopig verwijderde HSM's weergeven:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Een voorlopig verwijderde HSM herstellen:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Een voorlopig verwijderde HSM opschonen:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Waarschuwing

Met deze bewerking wordt uw HSM definitief verwijderd.

Beveiliging tegen opschonen inschakelen op een HSM:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Sleutels (CLI)

Een sleutel verwijderen:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Verwijderde sleutels weergeven:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Een verwijderde sleutel herstellen:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Een voorlopig verwijderde sleutel opschonen:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Waarschuwing

Met deze bewerking wordt uw sleutel definitief verwijderd.

Beheerde HSM's (PowerShell)

De status van voorlopig verwijderen en opschonen voor een beheerde HSM controleren:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
Een HSM verwijderen:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Deze actie kan worden hersteld omdat voorlopig verwijderen standaard is ingeschakeld.

Sleutels (PowerShell)

Een sleutel verwijderen:

Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'

Alle verwijderde sleutels weergeven:

Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState

Een voorlopig verwijderde sleutel herstellen:

Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey

Een voorlopig verwijderde sleutel opschonen:
```
Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
```
Waarschuwing

Met deze bewerking wordt uw sleutel definitief verwijderd.

Delen via