Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Observação
Esta funcionalidade está disponível apenas para o HSM gerido por tipo de recurso.
O HSM gerido suporta a criação de uma cópia de segurança completa de todo o conteúdo do HSM, incluindo todas as chaves, versões, atributos, etiquetas e atribuições de funções. O processo de backup encripta os dados utilizando chaves criptográficas associadas ao domínio de segurança do HSM.
O backup é uma operação de plano de dados. O chamador que inicia a operação de backup deve ter permissão para executar dataAction Microsoft.KeyVault/managedHsm/backup/start/action.
Apenas as seguintes funções predefinidas têm permissão para realizar um backup completo:
- Administrador de HSM Gerenciado
- Cópia de Segurança do HSM Gerido
Para fazer backup e restaurar o seu HSM Gerido, atribua uma identidade gerida atribuída pelo utilizador (UAMI) ao serviço de HSM Gerido. Podes usar um UAMI independentemente de a tua conta de armazenamento ter acesso à rede pública ou privada ativado. Se a conta de armazenamento estiver por trás de um ponto final privado, o método UAMI funciona com o bypass de serviços confiáveis para permitir backup e restauração.
Para executar uma cópia de segurança completa, forneça a seguinte informação:
- Nome ou URL do HSM
- Nome da conta de armazenamento
- Contentor de blobs da conta de armazenamento
- Identidade gerenciada atribuída pelo usuário
Azure Cloud Shell
O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Você pode usar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar o Azure Cloud Shell:
| Opção | Exemplo/Ligação |
|---|---|
| Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. |
|
| Vá para https://shell.azure.com, ou selecione o botão Iniciar o Cloud Shell para abrir o Cloud Shell no navegador. |
|
| Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. |
|
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou comando.
Pré-requisitos para fazer backup e restaurar usando identidade gerida atribuída pelo utilizador
- Certifique-se de que tem a versão 2.56.0 ou posterior do CLI do Azure. Executar
az --versionpara localizar a versão. Se precisar de instalar ou atualizar, veja Instalar a CLI do Azure. - Crie uma identidade gerenciada atribuída pelo usuário.
- Crie uma conta de armazenamento (ou use uma conta de armazenamento existente). A conta de armazenamento não pode ter uma política de imutabilidade aplicada.
- Se o acesso à rede pública estiver desativado na sua conta de armazenamento, ative o bypass de serviço confiável na conta de armazenamento no separador Rede , em Exceções.
- Forneça acesso à função Contribuidor de Dados do Blob de Armazenamento à identidade gerida atribuída pelo utilizador criada no passo 2, indo ao separador Controlo de Acesso no portal e selecionando Adicionar Atribuição de Função. Depois, selecione identidade gerida e escolha a identidade gerida criada no passo 2 ->Revisar + Atribuir
- Crie o HSM gerido e associe a identidade gerida:
az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Se tiver um HSM Gerido existente, associe a identidade gerida atualizando o MHSM com o seguinte comando.
az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Backup completo
O backup é uma operação de longa duração, mas devolve imediatamente um ID de trabalho. Pode verificar o estado do processo de backup usando este ID de trabalho. O processo de backup cria uma pasta dentro do contentor designado com o seguinte padrão de nomenclatura: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}. Neste padrão, HSM_NAME é o nome do HSM gerido que está a ser feito backup, e YYYY, MM, DD, HH, mm, e SS são o ano, mês, data, hora, minutos e segundos da data e hora em UTC em que o comando de backup foi recebido.
Enquanto a cópia de segurança está em curso, o HSM pode não operar a pleno rendimento, pois algumas partições HSM estão ocupadas a realizar a operação de backup.
Observação
Backups para contas de armazenamento com uma política de imutabilidade aplicada não são suportados.
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu esquerdo, em Definições, selecione Backup.
Forneça os detalhes da conta de armazenamento e do contentor, depois selecione Iniciar Backup para iniciar o backup.
Restauração completa
A restauração completa restaura o conteúdo do HSM a partir de uma cópia de segurança anterior, incluindo todas as chaves, versões, atributos, etiquetas e atribuições de funções. O processo remove tudo o que está atualmente armazenado no HSM e devolve-o ao mesmo estado em que estava quando o backup de origem foi criado.
Importante
A restauração total é uma operação destrutiva e disruptiva. Portanto, deve completar uma cópia de segurança completa do HSM que está a restaurar pelo menos 30 minutos antes de uma operação restore.
A restauração é uma operação do plano de dados. O chamador que inicia a operação de restauro deve ter permissão para executar dataAction Microsoft.KeyVault/managedHsm/restore/start/action. O HSM de origem onde criou o backup e o HSM de destino onde realiza a restauração devem ter o mesmo Domínio de Segurança. Veja mais sobre o Domínio Gerido de Segurança HSM.
Pode executar uma restauração completa usando uma identidade gerida atribuída pelo utilizador. Para executar uma restauração completa, forneça a seguinte informação:
- Nome ou URL do HSM
- Nome da conta de armazenamento
- Contentor de blob da conta de armazenamento
- Identidade gerenciada atribuída pelo usuário
- Nome da pasta do contentor de armazenamento onde está guardado o backup de origem
A restauração é uma operação de longa duração, mas devolve imediatamente um ID de Trabalho. Pode verificar o estado do processo de restauro usando este ID de Trabalho. Quando o processo de restauração está em andamento, o HSM entra em modo de restauração e todos os comandos do plano de dados (exceto verificar o estado de restauro) ficam desativados.
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu esquerdo, em Definições, selecione Restaurar.
Forneça os detalhes da conta de armazenamento, do contentor e da pasta de backup, e depois inicie a restauração.
Restauração seletiva de chaves
A restauração seletiva de chaves restaura uma chave com todas as suas versões de chave de um backup anterior para um HSM. A chave deve ser purgada para que a restauração seletiva da chave funcione. Se está a tentar recuperar uma chave apagada em modo suave, use o key recover. Saiba mais sobre a recuperação de chaves.
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu esquerdo, em Definições, seleciona Restaurar e depois escolhe a opção de restaurar uma única chave do backup.
Passos seguintes
- Veja Gerenciar um HSM Gerido usando a CLI do Azure.
- Saiba mais acerca do Domínio de Segurança Gerido do HSM.