Fullständig säkerhetskopiering och återställning och selektiv nyckelåterställning

Anmärkning

Den här funktionen är endast tillgänglig för den hanterade HSM-resurstypen.

Hanterad HSM har stöd för att skapa en fullständig säkerhetskopia av hela innehållet i HSM, inklusive alla nycklar, versioner, attribut, taggar och rolltilldelningar. Säkerhetskopieringsprocessen krypterar data med hjälp av kryptografiska nycklar som är associerade med HSM:s säkerhetsdomän.

Säkerhetskopiering är en dataplansåtgärd. Anroparen som initierar säkerhetskopieringsåtgärden måste ha behörighet att utföra dataAction Microsoft.KeyVault/managedHsm/backup/start/action.

Endast följande inbyggda roller har behörighet att utföra en fullständig säkerhetskopia:

  • Managed HSM-administratör
  • Hanterad HSM-säkerhetskopiering

Om du vill säkerhetskopiera och återställa din hanterade HSM tilldelar du en användartilldelad hanterad identitet (UAMI) till den hanterade HSM-tjänsten. Du kan använda en UAMI oavsett om ditt lagringskonto har åtkomst till offentligt nätverk eller privat nätverksåtkomst aktiverat. Om lagringskontot finns bakom en privat slutpunkt fungerar UAMI-metoden med förbikoppling av betrodd tjänst för att tillåta säkerhetskopiering och återställning.

Om du vill köra en fullständig säkerhetskopia anger du följande information:

  • HSM-namn eller URL
  • Lagringskontonamn
  • Lagringskonto blob-lagringsbehållare
  • Användartilldelad hanterad identitet

Azure Cloud Shell

Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via webbläsaren. Du kan använda antingen Bash eller PowerShell med Cloud Shell för att arbeta med Azure-tjänster. Du kan använda förinstallerade Cloud Shell-kommandon för att köra koden i den här artikeln, utan att behöva installera något i din lokala miljö.

Så här startar du Azure Cloud Shell:

Option Exempel/länk
Välj Försök i det övre högra hörnet av kod- eller kommandoblocket. Om du väljer Prova kopieras inte koden eller kommandot automatiskt till Cloud Shell. Skärmbild som visar ett exempel på Try It for Azure Cloud Shell.
Gå till https://shell.azure.com eller Välj knappen Starta Cloud Shell för att öppna Cloud Shell i webbläsaren. Knapp för att starta Azure Cloud Shell.
Välj knappen Cloud Shell på menyn längst upp till höger i Azure-portalen. Skärmbild som visar Cloud Shell-knappen i Azure-portalen

Så här använder du Azure Cloud Shell:

  1. Starta den Cloud Shell.

  2. Välj knappen Kopiera i ett kodblock (eller kommandoblock) för att kopiera koden eller kommandot.

  3. Klistra in koden eller kommandot i Cloud Shell-sessionen genom att välja Ctrl+Skift+V i Windows och Linux, eller genom att välja Cmd+Skift+V på macOS.

  4. Välj Ange för att köra koden eller kommandot.

Förutsättningar för att säkerhetskopiera och återställa med hjälp av användartilldelad hanterad identitet

  1. Kontrollera att du har Azure CLI version 2.56.0 eller senare. Kör az --version för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI.
  2. Skapa en användartilldelad hanterad identitet.
  3. Skapa ett lagringskonto (eller använd ett befintligt lagringskonto). Lagringskontot kan inte ha en oföränderlig princip som tillämpas på det.
  4. Om åtkomsten till det offentliga nätverket är inaktiverad på ditt lagringskonto aktiverar du förbikoppling av betrodda tjänster på lagringskontot på fliken Nätverk under Undantag.
  5. Ge rollen Storage Blob Data Contributor åtkomst till den användartilldelade hanterade identiteten som skapades i steg 2 genom att gå till fliken Åtkomstkontroll i portalen och välja Lägg till rolltilldelning. Välj sedan hanterad identitet och välj den hanterade identitet som skapades i steg 2 –>Granska + tilldela
  6. Skapa managed HSM och associera den hanterade identiteten: 
    az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"

Om du har en befintlig hanterad HSM associerar du den hanterade identiteten genom att uppdatera MHSM med följande kommando.

 az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"

Fullständig säkerhetskopiering

Säkerhetskopiering är en tidskrävande åtgärd, men den returnerar omedelbart ett jobb-ID. Du kan kontrollera status för säkerhetskopieringsprocessen med hjälp av det här jobb-ID:t. Säkerhetskopieringsprocessen skapar en mapp i den avsedda containern med följande namngivningsmönster: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}. I det här mönstret HSM_NAME är namnet på den hanterade HSM som säkerhetskopieras, och YYYY, MM, DD, HH, mm, och SS är året, månaden, datum, timme, minuter och sekunder för datum och tid i UTC när säkerhetskopieringskommandot togs emot.

Medan säkerhetskopieringen pågår kanske HSM inte fungerar med fullständigt dataflöde eftersom vissa HSM-partitioner är upptagna med att utföra säkerhetskopieringen.

Anmärkning

Säkerhetskopieringar till lagringskonton med en oföränderlig princip stöds inte.

  1. I Azure-portalen går du till din hanterade HSM-resurs.

  2. I den vänstra menyn går du till Inställningar och väljer Säkerhetskopiera.

  3. Ange information om lagringskontot och containern och välj sedan Starta säkerhetskopiering för att initiera säkerhetskopieringen.

    Skärmbild av panelen för Hanterad HSM-säkerhetskopiering i Azure-portalen.

Fullständig återställning

Fullständig återställning återställer innehållet i HSM från en tidigare säkerhetskopia, inklusive alla nycklar, versioner, attribut, taggar och rolltilldelningar. Processen tar bort allt som för närvarande lagras i HSM och returnerar det till samma tillstånd som när källsäkerhetskopian skapades.

Viktigt!

Fullständig återställning är en destruktiv och störande åtgärd. Därför måste du slutföra en fullständig säkerhetskopia av den HSM som du återställer minst 30 minuter före en restore åtgärd.

Återställning är en dataplansåtgärd. Anroparen som startar återställningsåtgärden måste ha behörighet att utföra dataAction Microsoft.KeyVault/managedHsm/restore/start/action. Den HSM-källa där du skapade säkerhetskopian och mål-HSM där du utför återställningen måste ha samma säkerhetsdomän. Läs mer om säkerhetsdomänen för Managed HSM.

Du kan köra en fullständig återställning med hjälp av en användartilldelad hanterad identitet. Om du vill köra en fullständig återställning anger du följande information:

  • HSM-namn eller URL
  • Lagringskontonamn
  • Blobcontainer för lagringskonto
  • Användartilldelad hanterad identitet
  • Lagringscontainermappens namn där källsäkerhetskopian lagras

Återställning är en tidskrävande åtgärd, men den returnerar omedelbart ett jobb-ID. Du kan kontrollera status för återställningsprocessen med hjälp av det här jobb-ID:t. När återställningsprocessen pågår går HSM in i ett återställningsläge och alla dataplan-kommandon (utom kontrollera återställningsstatus) inaktiveras.

  1. I Azure-portalen går du till din hanterade HSM-resurs.

  2. I den vänstra menyn går du till Inställningar och väljer Återställ.

  3. Ange information om lagringskontot, containern och säkerhetskopieringsmappen och starta sedan återställningen.

    Skärmbild av bladet Hanterad HSM-återställning på Azure-portalen.

Selektiv nyckelåterställning

Selektiv nyckelåterställning återställer en nyckel med alla dess nyckelversioner från en tidigare säkerhetskopia till en HSM. Nyckeln måste rensas för att selektiv nyckelåterställning ska fungera. Om du försöker återställa en mjukborttagen nyckel, använd återställning av nyckel. Läs mer om återställning av nycklar.

  1. I Azure-portalen går du till din hanterade HSM-resurs.

  2. I den vänstra menyn, under Inställningar, väljer du Återställ och väljer sedan alternativet för att återställa en enda nyckel från säkerhetskopian.

Nästa steg

  • Last updated on