Felügyelt HSM helyreállítható törlés és törlés elleni védelem

Cikk
08/07/2024

Ez a cikk a felügyelt HSM két helyreállítási funkcióját ismerteti: a helyreállítható törlést és a törlés elleni védelmet. Áttekintést nyújt ezekről a funkciókról, és bemutatja, hogyan kezelheti őket az Azure CLI és az Azure PowerShell használatával.

További információ: Felügyelt HSM áttekintése.

Előfeltételek

Azure-előfizetés. Hozzon létre egyet ingyen.
A PowerShell-modul.
Azure CLI 2.25.0 vagy újabb verzió. Futtassa az --version annak megállapításához, hogy melyik verzióval rendelkezik. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
Felügyelt HSM. Létrehozhat egyet az Azure CLI vagy az Azure PowerShell használatával.

A felhasználóknak a következő engedélyekre lesz szükségük a helyreállíthatóan törölt HSM-eken vagy kulcsokon végzett műveletek végrehajtásához:

Szerepkör-hozzárendelés	Leírás
Felügyelt HSM-közreműködő	Helyreállíthatóan törölt HSM-k listázása, helyreállítása és törlése
Felügyelt HSM-titkosítási felhasználó	Helyreállíthatóan törölt kulcsok listázása
Felügyelt HSM crypto officer	Helyreállíthatóan törölt kulcsok törlése és helyreállítása

Mik azok a helyreállítható törlési és törlési védelem?

A helyreállítható törlés és törlés elleni védelem helyreállítási funkciók.

A helyreállítható törlés célja, hogy megakadályozza a HSM és a kulcsok véletlen törlését. A helyreállítható törlés a lomtárhoz hasonlóan működik. Ha töröl egy HSM-et vagy egy kulcsot, az helyreállítható marad egy konfigurálható megőrzési időszakban vagy egy alapértelmezett 90 napig. A helyreállíthatóan törölt állapotban lévő HSM-eket és kulcsokat is törölhetik, ami azt jelenti, hogy véglegesen törlődnek. A törléssel újra létrehozhat HSM-eket és kulcsokat ugyanazzal a névvel, mint a kiürített elem. A HSM-ek és kulcsok helyreállítása és törlése is konkrét szerepkör-hozzárendeléseket igényel. A helyreállítható törlés nem tiltható le.

Feljegyzés

Mivel a mögöttes erőforrások akkor is lefoglalva maradnak a HSM-nek, ha törölt állapotban van, a HSM-erőforrás továbbra is óránkénti díjakat halmoz fel, amíg abban az állapotban van.

A felügyelt HSM-nevek globálisan egyediek minden felhőkörnyezetben. Így nem hozhat létre olyan felügyelt HSM-et, amelynek neve megegyezik a helyreállíthatóan törölt állapotban lévővel. Hasonlóképpen, a kulcsok neve egyedi a HSM-ben. Nem hozhat létre olyan kulcsot, amelynek neve megegyezik a helyreállíthatóan törölt állapotban lévővel.

További információ: Felügyelt HSM helyreállítható törlés áttekintése.

A törlés elleni védelem célja, hogy megakadályozza a HSM-ek és -kulcsok rosszindulatú bennfentes általi törlését. Olyan, mint egy lomtár időalapú zárolással. A konfigurálható megőrzési időszak alatt bármikor helyreállíthatja az elemeket. A megőrzési időszak végéig nem lehet véglegesen törölni vagy törölni egy HSM-et vagy kulcsot. Amikor a megőrzési időszak véget ér, a rendszer automatikusan törli a HSM-et vagy a kulcsot.

Feljegyzés

Nincs rendszergazdai szerepkör vagy engedély, amely felülbírálhatja, letilthatja vagy megkerülheti a törlés elleni védelmet. Ha a törlés elleni védelem engedélyezve van, azt senki, így a Microsoft sem tilthatja le vagy bírálhatja felül. Ezért helyre kell állítania egy törölt HSM-et, vagy meg kell várnia a megőrzési időszak végét, mielőtt újra felhasználhatja a HSM-nevet.

Felügyelt HSM-ek (CLI)

Felügyelt HSM helyreállítható törlési és törlési védelmének ellenőrzése:

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}

HSM törlése:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Ez a művelet helyreállítható, mert a helyreállítható törlés alapértelmezés szerint be van kapcsolva.

Az összes helyreállíthatóan törölt HSM listázása:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Helyreállíthatóan törölt HSM helyreállítása:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}

Helyreállíthatóan törölt HSM törlése:
```
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --location {LOCATION}
```
Figyelmeztetés

Ez a művelet véglegesen törli a HSM-et.

A kiürítés elleni védelem engedélyezése egy HSM-en:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Kulcsok (CLI)

Kulcs törlése:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Törölt kulcsok listázása:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Törölt kulcs helyreállítása:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Helyreállíthatóan törölt kulcs törlése:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Figyelmeztetés

Ez a művelet véglegesen törli a kulcsot.

Felügyelt HSM-ek (PowerShell)

Felügyelt HSM helyreállítható törlési és törlési védelmének ellenőrzése:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
HSM törlése:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Ez a művelet helyreállítható, mert a helyreállítható törlés alapértelmezés szerint be van kapcsolva.

Kulcsok (PowerShell)

Kulcs törlése:

Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'

Az összes törölt kulcs listázása:

Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState

Helyreállíthatóan törölt kulcs helyreállítása:

Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey

Helyreállíthatóan törölt kulcs törlése:
```
Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
```
Figyelmeztetés

Ez a művelet véglegesen törli a kulcsot.

Megosztás a következőn keresztül: