Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Esse recurso só está disponível para o tipo de recurso HSM gerenciado.
O HSM gerenciado dá suporte à criação de um backup completo de todo o conteúdo do HSM, incluindo todas as chaves, versões, atributos, marcas e atribuições de função. O processo de backup criptografa os dados usando chaves criptográficas associadas ao domínio de segurança do HSM.
O backup é uma operação de plano de dados. O chamador que inicia a operação de backup deve ter permissão para executar dataAction Microsoft.KeyVault/managedHsm/backup/start/action.
Somente as seguintes funções internas têm permissão para executar um backup completo:
- Administrador de HSM Gerenciado
- Backup do HSM Gerenciado
Para fazer backup e restaurar o HSM Gerenciado, atribua uma UAMI (identidade gerenciada) atribuída pelo usuário ao serviço HSM Gerenciado. Você pode usar uma UAMI independentemente de sua conta de armazenamento ter acesso de rede pública ou acesso de rede privada habilitado. Se a conta de armazenamento estiver atrás de um ponto de extremidade privado, o método UAMI funcionará com bypass de serviço confiável para permitir backup e restauração.
Para executar um backup completo, forneça as seguintes informações:
- Nome ou URL do HSM
- Nome da conta de armazenamento
- Contêiner de armazenamento de blobs da conta de armazenamento
- Identidade gerenciada atribuída pelo usuário
Azure Cloud Shell
O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do navegador. Você pode usar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar o Azure Cloud Shell:
| Opção | Exemplo/Link |
|---|---|
| Selecione Experimente no canto superior direito de um código ou bloco de comando. Selecionar Try It não copia automaticamente o código ou o comando para o Cloud Shell. |
|
| https://shell.azure.comAcesse ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no navegador. |
|
| Selecione o botão Cloud Shell na barra de menus no canto superior direito no portal do Azure. |
|
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou o comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou o comando.
Pré-requisitos para fazer backup e restauração usando a identidade gerenciada atribuída pelo usuário
- Verifique se você tem a CLI do Azure versão 2.56.0 ou posterior. Execute
az --versionpara encontrar a versão. Se você precisar instalar ou atualizar, consulte Instalar a CLI do Azure. - Crie uma identidade gerenciada atribuída pelo usuário.
- Crie uma conta de armazenamento (ou use uma conta de armazenamento existente). A conta de armazenamento não pode ter uma política de imutabilidade aplicada a ela.
- Se o acesso à rede pública estiver desabilitado em sua conta de armazenamento, habilite o bypass de serviço confiável na conta de armazenamento na guia Rede , em Exceções.
- Forneça acesso à função Colaborador de Dados de Blob de Armazenamento à identidade gerenciada atribuída pelo usuário criada na etapa 2, acessando a guia Controle de Acesso no portal e selecionando Adicionar Atribuição de Função. Em seguida, selecione a identidade gerenciada e selecione a identidade gerenciada criada na etapa 2 ->Examinar + Atribuir
- Crie o HSM Gerenciado e associe a identidade gerenciada:
az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Se você tiver um HSM gerenciado existente, associe a identidade gerenciada atualizando o MHSM com o comando a seguir.
az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Backup completo
O backup é uma operação de execução longa, mas retorna imediatamente uma ID do trabalho. Você pode verificar o status do processo de backup usando essa ID do trabalho. O processo de backup cria uma pasta dentro do contêiner designado com o seguinte padrão de nomenclatura: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}. Nesse padrão, HSM_NAME é o nome do HSM gerenciado que está sendo feito backup, e YYYY, MM, DD, HH, mm, e SS são o ano, mês, dia, hora, minutos e segundos da data e hora em UTC quando o comando de backup foi recebido.
Enquanto o backup está em andamento, o HSM pode não operar em taxa de transferência total, pois algumas partições de HSM estão ocupadas executando a operação de backup.
Observação
Não há suporte para backups em contas de armazenamento com uma política de imutabilidade aplicada.
No portal Azure, navegue até o recurso HSM Gerenciado.
No menu à esquerda, em Configurações, selecione Backup.
Forneça a conta de armazenamento e os detalhes do contêiner e selecione Iniciar Backup para iniciar o backup.
Restauração completa
A restauração completa restaura o conteúdo do HSM de um backup anterior, incluindo todas as chaves, versões, atributos, marcas e atribuições de função. O processo remove tudo armazenado atualmente no HSM e o retorna para o mesmo estado em que estava quando o backup de origem foi criado.
Importante
A restauração completa é uma operação destrutiva e disruptiva. Portanto, você deve concluir um backup completo do HSM que está restaurando pelo menos 30 minutos antes de uma restore operação.
A restauração é uma operação de plano de dados. O chamador que inicia a operação de restauração deve ter permissão para executar dataAction Microsoft.KeyVault/managedHsm/restore/start/action. O HSM de origem em que você criou o backup e o HSM de destino em que você executa a restauração deve ter o mesmo Domínio de Segurança. Veja mais sobre o Domínio de Segurança do HSM Gerenciado.
Você pode executar uma restauração completa usando uma identidade gerenciada atribuída pelo usuário. Para executar uma restauração completa, forneça as seguintes informações:
- Nome ou URL do HSM
- Nome da conta de armazenamento
- Contêiner de blob da conta de armazenamento
- Identidade gerenciada atribuída pelo usuário
- Nome da pasta do contêiner de armazenamento em que o backup de origem é armazenado
A restauração é uma operação de execução longa, mas retorna imediatamente uma ID de tarefa. Você pode verificar o status do processo de restauração usando essa ID do trabalho. Quando o processo de restauração está em andamento, o HSM entra em um modo de restauração e todos os comandos do plano de dados (exceto verificar o status da restauração) são desabilitados.
No portal Azure, navegue até o recurso HSM Gerenciado.
No menu à esquerda, em Configurações, selecione Restaurar.
Forneça os detalhes da conta de armazenamento, do contêiner e da pasta de backup e inicie a restauração.
Restauração de chave seletiva
A restauração seletiva de chave restaura uma chave com todas as suas versões de chave de um backup anterior para um HSM. A chave deve ser removida para que a restauração seletiva de chave funcione. Se você estiver tentando recuperar uma chave excluída suavemente, use o comando key recover. Saiba mais sobre a recuperação de chave.
No portal Azure, navegue até o recurso HSM Gerenciado.
No menu à esquerda, em Configurações, selecione Restaurar e escolha a opção para restaurar uma única chave do backup.
Próximas Etapas
- Consulte Gerenciar um HSM Gerenciado usando a CLI do Azure.
- Saiba mais sobre o Domínio de Segurança do HSM Gerenciado.