Volledige back-up en herstel en selectief terugzetten van sleutels

Beheerde HSM biedt ondersteuning voor het maken van een volledige back-up van de volledige inhoud van de HSM, inclusief alle sleutels, versies, kenmerken, tags en roltoewijzingen. Het back-upproces versleutelt de gegevens met behulp van cryptografische sleutels die zijn gekoppeld aan het beveiligingsdomein van de HSM.

Backup is een gegevensvlak operatie. De aanroeper die de back-upbewerking start, moet gemachtigd zijn om dataAction Microsoft.KeyVault/managedHsm/backup/start/action uit te voeren.

Alleen de volgende ingebouwde rollen zijn gemachtigd om een volledige back-up uit te voeren:

• Beheerder van een beheerde HSM
• Back-up van een beheerde HSM

Als u een back-up van uw beheerde HSM wilt maken en herstellen, wijst u een door de gebruiker toegewezen beheerde identiteit (UAMI) toe aan de beheerde HSM-service. U kunt een UAMI gebruiken, ongeacht of voor uw opslagaccount openbare netwerktoegang is ingeschakeld of privénetwerktoegang is ingeschakeld. Als het opslagaccount zich achter een privé-eindpunt bevindt, werkt de UAMI-methode met een vertrouwde service-bypass om back-up en herstel mogelijk te maken.

Als u een volledige back-up wilt uitvoeren, geeft u de volgende informatie op:

• HSM-naam of URL
• Naam van het opslagaccount
• Blob Storage-container voor opslagaccounts
• Door de gebruiker toegewezen beheerde identiteit

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie	Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.

Azure Cloud Shell gebruiken:

1. Start Cloud Shell.

2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

3. Plak de code of opdracht in de Cloud Shell-sessie door op Windows en Linux de toetsencombinatie Ctrl+Shift+V in te drukken, of op macOS de toetsencombinatie Cmd+Shift+V te gebruiken.

4. Selecteer Enter om de code of opdracht uit te voeren.

Vereisten voor het maken en herstellen van back-ups met behulp van door de gebruiker toegewezen beheerde identiteit

1. Zorg ervoor dat u Azure CLI versie 2.56.0 of hoger hebt. Voer az --version uit om de versie te vinden. Raadpleeg Azure CLI installeren als u de Azure CLI moet installeren of upgraden.
2. Maak een door de gebruiker toegewezen beheerde identiteit.
3. Maak een opslagaccount (of gebruik een bestaand opslagaccount). Er kan geen onveranderbaarheidsbeleid op het opslagaccount worden toegepast.
4. Als openbare netwerktoegang is uitgeschakeld voor uw opslagaccount, schakelt u de bypass van vertrouwde services in op het opslagaccount op het tabblad Netwerken , onder Uitzonderingen.
5. Geef de Storage Blob Data Contributor-rol toegang tot de door de gebruiker toegewezen beheerde identiteit die in stap 2 is gemaakt, door naar het tabblad Toegangsbeheer in de portal te gaan en Roltoewijzing toevoegen te selecteren. Selecteer vervolgens een beheerde identiteit en selecteer de beheerde identiteit die is gemaakt in stap 2 ->Beoordelen en toewijzen
6. Maak de beheerde HSM en koppel de beheerde identiteit:

   az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>" 
   

Als u een bestaande beheerde HSM hebt, koppelt u de beheerde identiteit door de MHSM bij te werken met de volgende opdracht.

 az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>" 

Volledige back-up

Back-up is een langdurige bewerking, maar retourneert onmiddellijk een taak-id. U kunt de status van het back-upproces controleren met behulp van deze taak-id. Het back-upproces maakt een map in de aangewezen container met het volgende naamgevingspatroon: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}. In dit patroon HSM_NAME is de naam van de beheerde HSM waarvan een back-up wordt gemaakt, en YYYYMMDDHHmmSShet jaar, de maand, de datum, het uur, de minuten en seconden van de datum en tijd in UTC wanneer de back-upopdracht is ontvangen.

Terwijl de back-up wordt uitgevoerd, werkt de HSM mogelijk niet op volledige doorvoer omdat sommige HSM-partities bezig zijn met het uitvoeren van de back-upbewerking.

az keyvault backup start --use-managed-identity true --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name>

Backup-AzKeyVault -HsmName <hsm-name> -StorageAccountName <storage-account-name> -StorageContainerName <container-name> -UseUserManagedIdentity

Volledig herstel

Met volledig herstellen wordt de inhoud van de HSM hersteld van een vorige back-up, inclusief alle sleutels, versies, kenmerken, tags en roltoewijzingen. Het proces verwijdert alles wat momenteel is opgeslagen in de HSM en retourneert het naar dezelfde status als waarin de bronback-up werd gemaakt.

Herstellen is een gegevensvlakbewerking. De aanroeper die de herstelbewerking start, moet gemachtigd zijn om dataAction Microsoft.KeyVault/managedHsm/restore/start/action uit te voeren. De bron-HSM waar u de back-up hebt gemaakt en de doel-HSM waar u de herstelbewerking uitvoert , moet hetzelfde beveiligingsdomein hebben. Meer informatie over het beheerde HSM-beveiligingsdomein.

U kunt een volledige herstelbewerking uitvoeren met behulp van een door de gebruiker toegewezen beheerde identiteit. Als u een volledig herstel wilt uitvoeren, geeft u de volgende informatie op:

• HSM-naam of URL
• Naam van het opslagaccount
• Blobcontainer van opslagaccount
• Door de gebruiker toegewezen beheerde identiteit
• Naam van de opslagcontainermap waarin de bronback-up wordt opgeslagen

Herstellen is een langdurige bewerking, maar retourneert onmiddellijk een taak-id. U kunt de status van het herstelproces controleren met behulp van deze taak-id. Wanneer het herstelproces wordt uitgevoerd, wordt de HSM geactiveerd in de herstelmodus en worden alle opdrachten voor het gegevensvlak (behalve de herstelstatus controleren) uitgeschakeld.

az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true

Restore-AzKeyVault -HsmName <hsm-name> -StorageAccountName <storage-account-name> -StorageContainerName <container-name> -BackupFolder <backup-folder> -UseUserManagedIdentity

Selectief sleutelherstel

Met selectief sleutelherstel wordt één sleutel hersteld met alle bijbehorende sleutelversies van een vorige back-up naar een HSM. De sleutel moet worden gezuiverd om selectief sleutelherstel te laten werken. Als u een zacht verwijderde sleutel probeert te herstellen, gebruikt u sleutelherstel. Meer informatie over sleutelherstel.

az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true --key-name <key-name>

Restore-AzKeyVault -HsmName <hsm-name> -StorageAccountName <storage-account-name> -StorageContainerName <container-name> -BackupFolder <backup-folder> -UseUserManagedIdentity -KeyName <key-name>

Volgende stappen 

• Zie Een beheerde HSM beheren met behulp van de Azure CLI.
• Meer informatie over het beheerde HSM-beveiligingsdomein.