حماية الحذف المبدئي والإزالة لـHSM المدار
تصف هذه المقالة ميزتي استرداد لـHSM المدار: حماية الحذف التلقائي والإزالة. يوفر نظرة عامة على هذه الميزات ويبين كيفية إدارتها باستخدام Azure CLI وAzure PowerShell.
لمزيد من المعلومات، راجع نظرة عامة على HSM المدار.
المتطلبات الأساسية
اشتراك Azure. أنشئ حسابًا مجانًا.
Azure CLI 2.25.0 أو أحدث. تشغيل
az --versionلتحديد الإصدار الذي لديك. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.HSM مُدار. يمكنك إنشاء واحد باستخدام Azure CLI أو Azure PowerShell.
سوف يحتاج المستخدمون إلى الأذونات التالية لتنفيذ العمليات على HSMs أو المفاتيح التي تم حذفها برمجيًا:
تعيين الدور الوصف مساهم HSM المدار سرد واسترداد وإزالة HSMs التي تم حذفها برمجيًا مستخدم تشفير HSM المدار سرد المفاتيح التي تم حذفها موظف تشفير HSM مدار إزالة المفاتيح المحذوفة بشكل مبدئي واستردادها
ما هي حماية الحذف المبدئي والإزالة؟
تعد ميزة الحذف المبدئي والحماية من الإزالة بمثابة ميزات استرداد.
تم تصميم الحذف المبدئي لمنع الحذف العرضي ل HSM والمفاتيح. يعمل الحذف المبدئي مثل سلة المهملات. عندما تقوم بحذف HSM أو مفتاح، سيبقى قابلا للاسترداد لفترة استبقاء قابلة للتكوين أو لفترة افتراضية مدتها 90 يومًا. يمكن أيضًا إزالة HSMs والمفاتيح في حالة الحذف المبدئي، مما يعني أنها حذفت نهائيًا. يتيح لك التنظيف إعادة إنشاء HSMs ومفاتيح لها نفس اسم العنصر الذي تمت إزالته. يتطلب كل من استرداد وحذف HSMs والمفاتيح تعيينات دور محددة. لا يمكن تعطيل الحذف المبدئي.
إشعار
نظرًا لأن الموارد الأساسية تبقى مخصصة ل HSM حتى عندما تكون في حالة محذوفة، سيستمر مورد HSM في تحصيل رسوم الساعة أثناء وجوده في تلك الحالة.
أسماء HSM المدار فريدة عالميا في كل بيئة سحابية. لذلك لا يمكنك إنشاء HSM مدار بنفس الاسم الذي يوجد في حالة حذف المبدئي. وبالمثل، تكون أسماء المفاتيح فريدة ضمن HSM. لا يمكنك إنشاء مفتاح بنفس الاسم الموجود في الحالة المحذوفة بشكل مبدئي.
لمزيد من المعلومات، راجع نظرة عامة على الحذف المبدئي لـHSM المدارة.
تم تصميمPurge protection لمنع حذف HSMs والمفاتيح الخاصة بك من قبل متسلل ضار. إنه مثل سلة المهملات مع قفل يستند إلى الوقت. يمكنك استرداد العناصر في أي وقت خلال فترة الاحتفاظ القابلة للتكوين. لن تتمكن من حذف HSM أو مفتاح أو إزالته نهائيا حتى تنتهي فترة الاحتفاظ. عندما تنتهي فترة الاستبقاء، سيتم إزالة HSM أو المفتاح تلقائيًا.
إشعار
لا يمكن لدور المسؤول أو إذنه تجاوز الحماية أو تعطيلها أو التحايل عليها. إذا تم تمكين الحماية من الإزالة، فلا يمكن تعطيلها أو تجاوزها من قبل أي شخص، بما في ذلك Microsoft. لذلك يجب استرداد HSM محذوف أو انتظار انتهاء فترة الاستبقاء قبل أن تتمكن من إعادة أستخدام اسم HSM.
إدارة المفاتيح وأجهزة HSMs المدارة
HSMs المدارة (CLI)
للتحقق من حالة الحماية من الحذف والإزالة ل HSM مدارة:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}لحذف HSM:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}هذا الإجراء قابل للاسترداد لأن الحذف المبدئي قيد التشغيل بشكل افتراضي.
لسرد كافة HSMs التي تم حذفها مبدئيًا:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsmلاستعادة مفتاح تم حذفه مبدئيّاً:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}لإزالة HSM محذوف بشكل مبدئي:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}تحذير
ستقوم هذه العملية بحذف HSM الخاص بك نهائيًا.
لتمكين حماية الإزالة على HSM:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
مفاتيح (CLI)
لحذف مفتاح:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}لسرد المفاتيح المحذوفة:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}لاسترداد مفتاح محذوف:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}لإزالة مفتاح حذف مبدئي:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}تحذير
ستقوم هذه العملية بحذف المفتاح نهائيًا.