Konfigurowanie tworzenia kopii zapasowych i odzyskiwania certyfikatów, wpisów tajnych i kluczy

  • 7 min

Usługa Azure Key Vault automatycznie udostępnia funkcje ułatwiające utrzymanie dostępności i zapobieganie utracie danych. Tworzenie kopii zapasowych wpisów tajnych tylko wtedy, gdy masz krytyczne uzasadnienie biznesowe. Tworzenie kopii zapasowych wpisów tajnych w magazynie kluczy może powodować wyzwania operacyjne, takie jak utrzymywanie wielu zestawów dzienników, uprawnień i kopii zapasowych po wygaśnięciu lub rotacji wpisów tajnych.

Usługa Key Vault utrzymuje dostępność w scenariuszach awarii i automatycznie przełączy żądania w tryb failover do sparowanego regionu bez żadnej interwencji użytkownika.

Jeśli chcesz mieć ochronę przed przypadkowym lub złośliwym usunięciem wpisów tajnych, skonfiguruj funkcje ochrony przed usuwaniem nietrwałym i przeczyszczania w magazynie kluczy.

Usługa Key Vault nie zapewnia obecnie możliwości tworzenia kopii zapasowej całego magazynu kluczy w ramach jednej operacji. Każda próba użycia poleceń wymienionych w tym dokumencie do automatycznego tworzenia kopii zapasowej magazynu kluczy może spowodować błędy i nie będzie obsługiwana przez firmę Microsoft ani zespół usługi Azure Key Vault.

Należy również wziąć pod uwagę następujące konsekwencje:

  • Tworzenie kopii zapasowych wpisów tajnych, które mają wiele wersji, może powodować błędy przekroczenia limitu czasu.
  • Kopia zapasowa tworzy migawkę do punktu w czasie. Wpisy tajne mogą być odnawiane podczas tworzenia kopii zapasowej, co powoduje niezgodność kluczy szyfrowania.
  • Jeśli przekroczysz limity usługi magazynu kluczy dla żądań na sekundę, magazyn kluczy zostanie ograniczony, a kopia zapasowa zakończy się niepowodzeniem.

Uwagi dotyczące projektowania

Podczas tworzenia kopii zapasowej obiektu magazynu kluczy, takiego jak wpis tajny, klucz lub certyfikat, operacja tworzenia kopii zapasowej pobierze obiekt jako zaszyfrowany obiekt blob. Nie można odszyfrować tego obiektu blob poza platformą Azure. Aby uzyskać użyteczne dane z tego obiektu blob, musisz przywrócić obiekt blob do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure.

Wymagania wstępne

Aby utworzyć kopię zapasową obiektu magazynu kluczy, musisz mieć następujące elementy:

  • Uprawnienia na poziomie współautora lub wyższym w subskrypcji platformy Azure.
  • Podstawowy magazyn kluczy zawierający wpisy tajne, których kopię zapasową chcesz utworzyć.
  • Pomocniczy magazyn kluczy, w którym zostaną przywrócone wpisy tajne.

Tworzenie kopii zapasowej i przywracanie z witryny Azure Portal

Wykonaj kroki opisane w tej sekcji, aby utworzyć kopię zapasową i przywrócić obiekty przy użyciu witryny Azure Portal.

Wykonywanie kopii zapasowej

  1. Przejdź do portalu Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Przejdź do obiektu (wpisu tajnego, klucza lub certyfikatu), którego kopię zapasową chcesz utworzyć.
  4. Wybierz obiekt.
  5. Wybierz pozycję Pobierz kopię zapasową.
  6. Wybierz Pobierz.
  7. Zapisz zaszyfrowany obiekt blob w bezpiecznej lokalizacji.

Przywracanie

  1. Przejdź do portalu Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Przejdź do typu obiektu (wpisu tajnego, klucza lub certyfikatu), który chcesz przywrócić.
  4. Wybierz pozycję Przywróć kopię zapasową.
  5. Przejdź do lokalizacji, w której zapisano zaszyfrowany obiekt blob.
  6. Wybierz przycisk OK.