配置证书、机密和密钥的备份和恢复

  • 7 分钟

Azure Key Vault 自动提供功能来帮助维护可用性并防止数据丢失。 仅当具有关键业务理由时,才备份机密。 在密钥保管库中备份机密可能会带来操作上的挑战,例如在机密过期或轮换时维护多套日志、权限和备份。

Key Vault 在灾难情况下保持可用性,会将请求自动切换到配对区域,而无需用户进行任何干预。

如果要防止意外或恶意删除机密,请在密钥保管库上配置软删除和清除保护功能。

Key Vault 目前不提供在单个作中备份整个密钥保管库的方法。 任何尝试使用本文档中列出的命令进行密钥保管库的自动备份都可能导致错误,Microsoft 或 Azure Key Vault 团队不支持这种操作。

另请考虑以下后果:

  • 备份具有多个版本的机密可能会导致超时错误。
  • 备份会创建一个时间点的快照。 机密可能会在备份期间续订,从而导致加密密钥不匹配。
  • 如果超过每秒请求的密钥保管库服务限制,密钥保管库将受到限制,备份将失败。

设计注意事项

备份密钥保管库对象(如机密、密钥或证书)时,备份作会将该对象下载为加密 Blob。 此 Blob 无法在 Azure 外部解密。 若要从此 Blob 获取可用数据,必须将 Blob 还原到同一 Azure 订阅和 Azure 区域中的密钥保管库。

先决条件

若要备份 Key Vault 对象,必须具备:

  • Azure 订阅的参与者级或更高权限。
  • 包含要备份的机密的主密钥保管库。
  • 将要恢复机密的次级密钥保管库。

在 Azure 门户中进行备份和还原

按照本部分中的步骤使用 Azure 门户备份和还原对象。

退后

  1. 转到 Azure 门户
  2. 选择密钥保管库。
  3. 转到要备份的对象(机密、密钥或证书)。
  4. 选择对象。
  5. 选择 下载备份
  6. 选择 下载
  7. 将加密的 Blob 存储在安全位置。

恢复

  1. 转到 Azure 门户
  2. 选择密钥保管库。
  3. 转到要还原的对象类型(机密、密钥或证书)。
  4. 选择 还原备份
  5. 前往您存储加密 Blob 的位置。
  6. 选择“确定”