Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive due funzionalità di ripristino del modulo di protezione hardware gestito: protezione dalla rimozione definitiva e dall’eliminazione temporanea. Offre una panoramica di queste funzionalità e illustra come gestirle usando l'interfaccia della riga di comando di Azure e Azure PowerShell.
Per altre informazioni, vedere la panoramica sul modulo di protezione hardware gestito.
Prerequisiti
Una sottoscrizione di Azure. Creane uno gratis.
Modulo di PowerShell.
Interfaccia della riga di comando di Azure 2.25.0 o versione successiva. Eseguire
az --versionper determinare la versione in uso. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.Un modulo di protezione hardware gestito. È possibile crearne uno usando l'interfaccia della riga di comando di Azure o Azure PowerShell.
Gli utenti dovranno disporre delle autorizzazioni seguenti per eseguire operazioni su chiavi o moduli di protezione hardware eliminati temporaneamente:
Assegnazione di ruolo Description Managed HSM Contributor Elencare, ripristinare e rimuovere moduli di protezione hardware eliminati temporaneamente Managed HSM Crypto User Elencare le chiavi eliminate temporaneamente Managed HSM Crypto Officer Rimuovere e ripristinare le chiavi eliminate temporaneamente
Cosa sono la protezione dall'eliminazione temporanea e dalla rimozione definitiva?
Protezione dalla rimozione definitiva ed Eliminazione temporanea sono funzionalità di recupero.
Soft-delete è progettato per impedire l'eliminazione accidentale del modulo di sicurezza hardware (HSM) e delle chiavi. L'eliminazione temporanea funziona come un cestino. Quando si elimina un modulo di protezione hardware o una chiave, rimarrà recuperabile per un periodo di conservazione configurabile o per un periodo predefinito di 90 giorni. I moduli di protezione hardware e le chiavi nello stato eliminato temporaneamente possono anche essere rimossi definitivamente, il che significa che vengono eliminati definitivamente. La cancellazione permette di ricreare moduli di sicurezza hardware (HSM) e chiavi con lo stesso nome dell'elemento cancellato. Sia il ripristino che l'eliminazione di moduli di protezione hardware e chiavi richiedono assegnazioni di ruolo specifiche. L'eliminazione temporanea non può essere disabilitata.
Annotazioni
Poiché le risorse sottostanti rimangono allocate al modulo di protezione hardware anche quando si trova in uno stato eliminato, la risorsa HSM continuerà ad accumulare addebiti orari mentre si trova in tale stato.
I nomi del modulo di protezione hardware gestito sono globalmente univoci in ogni ambiente cloud. Non è quindi possibile creare un modulo di protezione hardware gestito con lo stesso nome di quello esistente in uno stato di eliminazione temporanea. Analogamente, i nomi delle chiavi sono univoci all'interno di un HSM (modulo di sicurezza hardware). Non è possibile creare una chiave con lo stesso nome di quella esistente nello stato eliminato temporaneamente.
Per altre informazioni, vedere Panoramica dell'eliminazione temporanea del modulo di protezione hardware gestito.
La Protezione dalla rimozione definitiva è progettata per impedire l'eliminazione dei moduli di protezione hardware e delle chiavi da parte di utenti malintenzionati. È come un cestino con un blocco temporizzato. È possibile recuperare gli elementi in qualsiasi momento durante il periodo di conservazione configurabile. Non sarà possibile eliminare o rimuovere definitivamente un modulo di protezione hardware o una chiave fino al termine del periodo di conservazione. Al termine del periodo di conservazione, il modulo di protezione hardware o la chiave verranno eliminati automaticamente.
Annotazioni
Nessun ruolo di amministratore o autorizzazione può sovrascrivere, disabilitare o aggirare la protezione dall'eliminazione. Se la protezione dall'eliminazione è abilitata, non può essere disabilitata o sottoposta a override da chiunque, incluso Microsoft. È quindi necessario recuperare un modulo di protezione hardware eliminato o attendere che il periodo di conservazione venga terminato prima di poter riutilizzare il nome del modulo di protezione hardware.
Gestire chiavi e moduli di protezione hardware gestiti
Moduli di protezione hardware gestiti (CLI)
Per controllare lo stato dell'eliminazione temporanea e della protezione dalla rimozione temporanea per un modulo di protezione hardware gestito:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Per eliminare un HSM:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}Questa azione è recuperabile perché l'eliminazione temporanea è attivata per impostazione predefinita.
Per elencare tutti gli HSM eliminati con eliminazione soft:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsmPer recuperare un modulo di protezione hardware eliminato temporaneamente:
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --___location {LOCATION}Per rimuovere definitivamente un modulo di protezione hardware eliminato temporaneamente:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --___location {LOCATION}Avvertimento
Questa operazione eliminerà permanentemente il tuo HSM.
Per abilitare la protezione dalle cancellazioni in un HSM:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
Chiavi (interfaccia della riga di comando)
Per eliminare una chiave:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Per elencare le chiavi cancellate:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}Per ripristinare una chiave eliminata:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Per rimuovere definitivamente una chiave eliminata temporaneamente:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Avvertimento
Questa operazione eliminerà definitivamente la chiave.