配置证书、机密和密钥的备份和恢复

  • 7 分钟

Azure 密钥保管库自动提供了一些功能来帮助你维护可用性并防止数据丢失。 仅当有充分且重要的业务理由时才备份机密。 备份密钥保管库中的机密可能会带来操作难题,例如在机密过期或轮换时维护多组日志、权限和备份。

密钥保管库在灾难情况下维持可用性,并将请求自动故障转移到配对区域,而无需用户进行任何干预。

如果要防止意外或恶意删除机密,请在密钥保管库上配置软删除和清除保护功能。

Azure 密钥保管库当前不提供在单个操作中备份整个密钥保管库的方法。 任何使用此文档中列出的命令执行密钥保管库自动备份的尝试都可能导致错误,且 Microsoft 或 Azure 密钥保管库团队不支持此操作。

另请考虑以下后果:

  • 备份具有多个版本的机密可能导致超时错误。
  • 备份会创建时间点快照。 在备份期间机密可能会续订,从而导致加密密钥不匹配。
  • 如果超过每秒请求的密钥保管库服务限制,密钥保管库将受到限制,备份将失败。

设计注意事项

备份密钥保管库对象(如机密、密钥或证书)时,备份操作会将该对象作为加密的 blob 下载。 无法在 Azure 外部解密此 blob。 若要从此 blob 获取可用数据,必须将 blob 还原到同一 Azure 订阅和 Azure 地理位置内的密钥保管库中。

先决条件

若要备份密钥保管库对象,你必须具有:

  • Azure 订阅的参与者级别或更高权限。
  • 包含要备份的机密的主密钥保管库。
  • 将在其中还原机密的辅助密钥保管库。

从 Azure 门户备份和还原

按照本部分中的步骤使用 Azure 门户来备份和还原对象。

备份

  1. 转到 Azure 门户
  2. 选择密钥保管库。
  3. 转到要备份的对象(机密、密钥或证书)。
  4. 选择对象。
  5. 选择“下载备份”。
  6. 选择“下载” 。
  7. 将加密的 blob 存储在安全的位置。

还原

  1. 转到 Azure 门户
  2. 选择密钥保管库。
  3. 转到要还原的对象类型(机密、密钥或证书)。
  4. 选择“还原备份”。
  5. 转到加密的 blob 的存储位置。
  6. 选择“确定”