Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Dokument wird gezeigt, wie Sie geheime Schlüssel, Schlüssel und Zertifikate sichern, die in Ihrem Schlüsseltresor gespeichert sind. Eine Sicherung soll Ihnen im unwahrscheinlichen Fall, dass Sie den Zugriff auf Ihren Schlüsseltresor verlieren, eine Offlinekopie aller Geheimschlüssel bereitstellen.
Überblick
Azure Key Vault bietet automatisch Features, mit denen Sie die Verfügbarkeit verwalten und Datenverluste verhindern können. Sichern Sie Geheimnisse nur dann, wenn eine wichtige geschäftliche Begründung vorliegt. Das Sichern von Geheimnissen in Ihrem Schlüsseltresor kann betriebliche Herausforderungen mit sich bringen, etwa im Zusammenhang mit der Verwaltung von mehreren Protokoll-, Berechtigungs- und Sicherungssätzen beim Ablauf oder bei der Rotation von Geheimnissen.
Key Vault gewährleistet die Verfügbarkeit in Notfallszenarien und führt automatisch ein Failover von Anforderungen auf ein Regionspaar aus, ohne dass ein manuelles Eingreifen erforderlich ist. Weitere Informationen finden Sie unter Azure Key Vault: Verfügbarkeit und Redundanz.
Wenn Sie Schutz vor versehentlicher oder böswilliger Löschung Ihrer geheimen Schlüssel benötigen, konfigurieren Sie Soft Delete- und Löschschutzfeatures auf Ihrem Schlüsseltresor. Weitere Informationen finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.
Einschränkungen
Wichtig
Key Vault unterstützt nicht die Möglichkeit, mehr als 500 frühere Versionen eines Schlüssel-, Geheim- oder Zertifikatobjekts zu sichern, und der Versuch, dies zu tun, kann zu einem Fehler führen. Es ist nicht möglich, frühere Versionen eines Schlüssels, Geheimnisses oder Zertifikats zu löschen.
Key Vault bietet derzeit keine Möglichkeit, einen gesamten Schlüsseltresor in einem einzigen Vorgang zu sichern, und Schlüssel, Geheimnisse und Zertifikate müssen einzeln gesichert werden.
Berücksichtigen Sie außerdem die folgenden Probleme:
- Das Sichern von Geheimnissen mit mehreren Versionen kann zu Timeoutfehlern führen.
- Bei der Sicherung wird eine Point-in-Time-Momentaufnahme erstellt. Geheimnisse könnten während einer Sicherung erneuert werden, was zu einem Missverhältnis bei den Verschlüsselungsschlüsseln führt.
- Wenn die Grenzwerte des Schlüsseltresordiensts für Anforderungen pro Sekunde überschritten werden, wird der Schlüsseltresor gedrosselt. Dies führt zu einem Fehler bei der Sicherung.
Entwurfsüberlegungen
Wenn Sie ein Schlüsseltresorobjekt, z. B. einen geheimen Schlüssel, einen Schlüssel oder ein Zertifikat, sichern, lädt der Sicherungsvorgang das Objekt als verschlüsselten BLOB herunter. Dieses Blob kann nicht außerhalb von Azure entschlüsselt werden. Um verwendbare Daten aus diesem Blob zu erhalten, müssen Sie das Blob in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und der Azure-Geografie wiederherstellen.
Voraussetzungen
Zum Sichern eines Schlüsseltresorobjekts benötigen Sie Folgendes:
- Mindestens Berechtigungen auf der Ebene „Mitwirkender“ für ein Azure-Abonnement
- Einen primären Schlüsseltresor mit den zu sichernden Geheimnissen
- Sekundärer Schlüsseltresor, in dem Geheimnisse wiederhergestellt werden
Sichern und Wiederherstellen über das Azure-Portal
Führen Sie die Schritte in diesem Abschnitt aus, um Objekte mithilfe des Azure-Portals zu sichern und wiederherzustellen.
Sichern
Öffnen Sie das Azure-Portal.
Wählen Sie Ihren Schlüsseltresor aus.
Wechseln Sie zu dem Objekt (geheimer Schlüssel oder Zertifikat), das Sie sichern möchten.
Wählen Sie das Objekt aus.
Wählen Sie Sicherung herunterladen aus.
Wählen Sie Herunterladen aus.
Speichern Sie das verschlüsselte Blob an einem sicheren Speicherort.
Wiederherstellen
Öffnen Sie das Azure-Portal.
Wählen Sie Ihren Schlüsseltresor aus.
Wechseln Sie zu dem Objekttyp (geheimer Schlüssel oder Zertifikat), den Sie wiederherstellen möchten.
Wählen Sie Sicherung wiederherstellenaus.
Wechseln Sie zu dem Speicherort, an dem Sie das verschlüsselte Blob gespeichert haben.
Wählen Sie OK aus.
Sichern und Wiederherstellen von Azure CLI oder Azure PowerShell
## Log in to Azure
az login
## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}
## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault
## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}
## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}