Konfigurowanie tworzenia kopii zapasowych i odzyskiwania certyfikatów, wpisów tajnych i kluczy

  • 7 min

Usługa Azure Key Vault automatycznie udostępnia funkcje ułatwiające utrzymanie dostępności i zapobieganie utracie danych. Twórz kopie zapasowe tajemnic tylko wtedy, gdy istnieje krytyczne uzasadnienie biznesowe. Tworzenie kopii zapasowych wpisów tajnych w magazynie kluczy może powodować wyzwania operacyjne, takie jak utrzymywanie wielu zestawów dzienników, uprawnień i kopii zapasowych po wygaśnięciu lub rotacji wpisów tajnych.

Usługa Key Vault utrzymuje wysoką dostępność w scenariuszach awarii i automatycznie przełącza żądania do sparowanego regionu bez żadnej interwencji użytkownika.

Jeśli chcesz mieć ochronę przed przypadkowym lub złośliwym usunięciem swoich tajemnic, skonfiguruj funkcje miękkiego usuwania i ochrony przed trwałym usunięciem w magazynie kluczy.

Usługa Key Vault nie zapewnia obecnie możliwości tworzenia kopii zapasowej całego magazynu kluczy w ramach jednej operacji. Każda próba użycia poleceń wymienionych w tym dokumencie do automatycznego tworzenia kopii zapasowej magazynu kluczy może spowodować błędy i nie będzie obsługiwana przez firmę Microsoft ani zespół usługi Azure Key Vault.

Należy również wziąć pod uwagę następujące konsekwencje:

  • Tworzenie kopii zapasowych danych poufnych, które mają wiele wersji, może powodować błędy limitu czasu.
  • Kopia zapasowa tworzy migawkę punktu czasowego. Wpisy tajne mogą być odnawiane podczas tworzenia kopii zapasowej, co powoduje niezgodność kluczy szyfrowania.
  • Jeśli przekroczysz limity usługi magazynu kluczy dla żądań na sekundę, magazyn kluczy zostanie ograniczony, a kopia zapasowa zakończy się niepowodzeniem.

Zagadnienia dotyczące projektowania

Podczas tworzenia kopii zapasowej obiektu magazynu kluczy, takiego jak tajemnica, klucz lub certyfikat, procedura pobierze obiekt jako zaszyfrowany blob. Nie można odszyfrować tego blob poza platformą Azure. Aby uzyskać użyteczne dane z tego obiektu blob, musisz przywrócić obiekt blob do magazynu kluczy w ramach tej samej subskrypcji platformy Azure i lokalizacji geograficznej platformy Azure.

Warunki wstępne

Aby utworzyć kopię zapasową obiektu Key Vault, wymagane jest posiadanie następujących:

  • Uprawnienia na poziomie współautora lub wyższym w subskrypcji platformy Azure.
  • Podstawowe repozytorium kluczy zawierające tajemnice, których kopię zapasową chcesz utworzyć.
  • Pomocniczy magazyn kluczy, w którym zostaną przywrócone tajemnice.

Tworzenie kopii zapasowej i przywracanie z witryny Azure Portal

Wykonaj kroki opisane w tej sekcji, aby utworzyć kopię zapasową i przywrócić obiekty przy użyciu witryny Azure Portal.

Zrób kopię zapasową

  1. Przejdź do witryny Azure Portal.
  2. Wybierz magazyn kluczy.
  3. Przejdź do obiektu (wpisu tajnego, klucza lub certyfikatu), którego kopię zapasową chcesz utworzyć.
  4. Wybierz obiekt.
  5. Wybierz Pobierz kopię zapasową.
  6. Wybierz pozycję Pobierz.
  7. Zapisz zaszyfrowany blob w bezpiecznej lokalizacji.

Przywrócić

  1. Przejdź do portalu Azure.
  2. Wybierz magazyn kluczy.
  3. Przejdź do typu obiektu (wpisu tajnego, klucza lub certyfikatu), który chcesz przywrócić.
  4. Wybierz pozycję Przywróć kopię zapasową.
  5. Przejdź do lokalizacji, w której zapisano zaszyfrowany blob.
  6. Wybierz pozycję OK.