Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Annotazioni
Questa funzionalità è disponibile solo per il tipo di risorsa Managed HSM.
HSM gestito supporta la creazione di un backup completo dell'intero contenuto del modulo di protezione hardware, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Il processo di backup crittografa i dati usando chiavi crittografiche associate al dominio di sicurezza del modulo di protezione hardware.
Il backup è un'operazione del piano dati. Il chiamante che avvia l'operazione di backup deve disporre dell'autorizzazione per eseguire dataAction Microsoft.KeyVault/managedHsm/backup/start/action.
Solo i ruoli predefiniti seguenti dispongono dell'autorizzazione per eseguire un backup completo:
- Managed HSM Administrator
- Managed HSM Backup
È possibile eseguire un'operazione di backup e ripristino completo in due modi:
- Assegnare un'identità gestita assegnata dall'utente (UAMI) al servizio HSM gestito. È possibile eseguire il backup e il ripristino di MHSM usando un'identità gestita assegnata dall'utente indipendentemente dal fatto che l'account di archiviazione disponga dell'accesso alla rete pubblica o dell'accesso alla rete privata abilitato. Se l'account di archiviazione si trova dietro un endpoint privato, il metodo UAMI funziona con bypass del servizio attendibile per consentire il backup e il ripristino.
- Usare un token di firma di accesso condiviso del contenitore di archiviazione con autorizzazioni
crdw. Per eseguire il backup e il ripristino utilizzando un token SAS del contenitore di archiviazione, è necessario che l'account di archiviazione abbia l'accesso alla rete pubblica abilitato.
Per eseguire un backup completo, specificare le informazioni seguenti:
- Nome o URL del modulo di protezione hardware
- Nome dell'account di archiviazione
- Contenitore di archiviazione BLOB dell'account di archiviazione
- Identità gestita assegnata dall'utente O token di firma di accesso condiviso del contenitore di archiviazione con autorizzazioni
crdw
Azure Cloud Shell
Azure ospita Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione | Esempio/collegamento |
|---|---|
| Selezionare Prova nell'angolo superiore destro di un codice o di un blocco di comandi. Selezionando Prova non viene copiato automaticamente il codice o il comando in Cloud Shell. |
|
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |
|
| Selezionare il pulsante Cloud Shell nella barra dei menu in alto a destra nel portale di Azure. |
|
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o blocco di comandi) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando Ctrl+Shift+V in Windows e Linux oppure selezionando Cmd+Shift+V in macOS.
Selezionare INVIO per eseguire il codice o il comando.
Prerequisiti per il backup e il ripristino tramite l'identità gestita assegnata dall'utente
- Assicurarsi di avere la versione 2.56.0 o successiva di Azure CLI. Eseguire
az --versionper trovare la versione. Se è necessario installare o aggiornare, consulta Installazione dell'Azure CLI. - Creare un'identità gestita assegnata dall'utente.
- Creare un account di archiviazione (o usare un account di archiviazione esistente). All'account di archiviazione non possono essere applicati criteri di immutabilità.
- Se l'accesso alla rete pubblica è disabilitato nell'account di archiviazione, abilitare il bypass del servizio attendibile nell'account di archiviazione nella scheda Rete, in Eccezioni.
- Per fornire l'accesso al ruolo Collaboratore ai dati del BLOB di archiviazione all'identità gestita assegnata all'utente creata nel passaggio 2, accedere alla scheda Controllo di accesso nel portale e selezionare Aggiungi assegnazione di ruolo. Selezionare quindi l'identità gestita e selezionare l'identità gestita creata nel passaggio 2 ->Rivedi e assegna
- Crea l'HSM gestito e associa l'identità gestita:
az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Se si dispone di un HSM gestito esistente, associare l'identità gestita aggiornando MHSM con il comando seguente.
az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Backup completo
Il backup è un'operazione a esecuzione prolungata, ma restituisce immediatamente un ID processo, che potrà essere usato per controllare lo stato del processo di backup. Il processo di backup crea una cartella all'interno del contenitore designato con il modello di denominazione seguente: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}. In questo modello, HSM_NAME è il nome del modulo di protezione hardware gestito di cui viene eseguito il backup e YYYY, MM, DDHHmme SS sono l'anno, il mese, la data, l'ora, i minuti e i secondi della data e dell'ora in formato UTC in cui è stato ricevuto il comando di backup.
Mentre il backup è in corso, il modulo di protezione hardware potrebbe non funzionare a velocità effettiva completa perché alcune partizioni del modulo di protezione hardware sono occupate durante l'esecuzione dell'operazione di backup.
Annotazioni
I backup su account di storage con criteri di immutabilità applicati non sono supportati.
Eseguire il backup di HSM usando l'identità gestita assegnata dall'utente
az keyvault backup start --use-managed-identity true --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name>
Eseguire il backup di HSM usando il token SAS
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name <storage-account-name> --subscription <subscription-id>)
# Create a container
az storage container create --account-name <storage-account-name> --name <container-name> --account-key $skey
# Generate a container sas token
sas=$(az storage container generate-sas -n <container-name> --account-name <storage-account-name> --permissions crdw --expiry $end --account-key $skey -o tsv --subscription <subscription-id>)
# Backup HSM
az keyvault backup start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --subscription <subscription-id>
Ripristino completo
Il ripristino completo ripristina il contenuto del modulo di protezione hardware da un backup precedente, incluse tutte le chiavi, le versioni, gli attributi, i tag e le assegnazioni di ruolo. Il processo rimuove tutti gli elementi attualmente archiviati nel modulo di protezione hardware e lo restituisce allo stesso stato in cui si trovava al momento della creazione del backup di origine.
Importante
Il ripristino completo è un'operazione distruttiva e di interruzione. Pertanto, è necessario completare un backup completo dell'HSM che stai ripristinando almeno 30 minuti prima di un'operazione restore.
Il ripristino è un'operazione del piano dati. Il chiamante che avvia l'operazione di ripristino deve disporre dell'autorizzazione per eseguire dataAction Microsoft.KeyVault/managedHsm/restore/start/action. Il modulo di protezione hardware di origine in cui è stato creato il backup e il modulo di protezione hardware di destinazione in cui si esegue il ripristino deve avere lo stesso dominio di sicurezza. Ulteriori informazioni sul dominio di sicurezza dell'HSM gestito.
È possibile eseguire un ripristino completo in due modi. Per eseguire un ripristino completo, specificare le informazioni seguenti:
- Nome o URL del modulo di protezione hardware
- Nome dell'account di archiviazione
- Contenitore BLOB dell'account di archiviazione
- Identità gestita assegnata all'utente o token SAS del contenitore di archiviazione con autorizzazioni
rl - Nome della cartella del contenitore di archiviazione in cui è archiviato il backup di origine
Il ripristino è un'operazione a esecuzione prolungata ma restituisce immediatamente un ID processo, È possibile controllare lo stato del processo di ripristino usando questo ID del lavoro. Quando il processo di ripristino è in corso, il modulo di protezione hardware passa a una modalità di ripristino e tutti i comandi del piano dati (ad eccezione del controllo dello stato di ripristino) sono disabilitati.
Ripristinare l'HSM utilizzando un'identità gestita assegnata dall'utente
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true
Ripristinare il Modulo di Sicurezza Hardware usando il token SAS
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name <storage-account-name> --subscription <subscription-id>)
# Generate a container sas token
sas=$(az storage container generate-sas -n <container-name> --account-name <storage-account-name> --permissions rl --expiry $end --account-key $skey -o tsv --subscription <subscription-id>)
# Restore HSM
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --backup-folder <backup-folder>
Ripristino selettivo delle chiavi
Ripristino selettivo della chiave ripristina una chiave con tutte le relative versioni chiave da un backup precedente a un HSM. La chiave deve essere ripulita per il funzionamento del ripristino selettivo della chiave. Se si sta tentando di recuperare una chiave eliminata in modo temporaneo, usare il recupero della chiave. Altre informazioni sul ripristino delle chiavi.
Ripristino selettivo delle chiavi usando l'identità gestita assegnata dall'utente
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true --key-name <key-name>
Ripristino selettivo delle chiavi utilizzando un token SAS
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --backup-folder <backup-folder> --key-name <key-name>
Passaggi successivi
- Consultare Gestire un HSM gestito usando l'interfaccia a riga di comando di Azure.
- Per altre informazioni, vedere Dominio di sicurezza dell'HSM gestito.