この記事では、Managed HSM の 2 つの回復機能 (論理的な削除と消去の保護) について説明します。 これらの機能の概要を説明し、Azure CLI と Azure PowerShell を使用してそれらの機能を管理する方法を示します。
詳細については、「 Managed HSM の概要」を参照してください。
[前提条件]
Azure サブスクリプション。 無料で作成できます。
Azure CLI 2.25.0 以降。
az --versionを実行して、使用しているバージョンを確認します。 インストールまたはアップグレードが必要な場合は、Azure CLI のインストールを参照してください。管理されたHSM Azure CLI または Azure PowerShell を使用して作成できます。
ユーザーは、論理的に削除された HSM またはキーに対して操作を実行するために次のアクセス許可が必要になります。
ロールの割り当て Description Managed HSM 共同作成者 ソフト削除された HSM の一覧表示、回復、消去 マネージド ハードウェアセキュリティモジュール 暗号化ユーザー 論理的に削除されたキーを一覧表示する Managed HSM 暗号化担当者 論理的に削除されたキーを消去および復旧する
論理的な削除と消去保護とは
ソフト削除と完全削除防止は復旧機能です。
ソフト削除 は、HSM とキーが誤って削除されないように設計されています。 ソフトデリートは、リサイクルビンのように機能します。 HSM またはキーを削除しても、構成可能なリテンション期間または既定の 90 日間は回復可能なままになります。 論理的に削除された状態の HSM とキーは、消去することもできます。これは、完全に削除されることを意味します。 消去すると、消去された項目と同じ名前の HSM とキーを再作成できます。 HSM とキーの回復と削除の両方に、特定のロールの割り当てが必要です。 ソフト削除は無効化できません。
注
基になるリソースは削除された状態であっても HSM に割り当てられたままであるため、HSM リソースは、その状態にある間も時間単位の料金が発生し続けます。
マネージド HSM 名は、すべてのクラウド環境でグローバルに一意です。 したがって、ソフト削除された状態にあるものと同じ名前のマネージドHSMを作成することはできません。 同様に、キーの名前は HSM 内で一意です。 ソフト削除された状態にあるキーと同じ名前のキーを作成することはできません。
詳細については、「 Managed HSM の論理的な削除の概要」を参照してください。
消去保護 は、悪意のある内部関係者による HSM とキーの削除を防ぐために設計されています。 これは、時間ベースのロックが設定されたごみ箱のようなものです。 アイテムは、構成可能なリテンション期間中の任意の時点で回復できます。 保持期間が終了するまで、HSM またはキーを完全に削除または消去することはできません。 リテンション期間が終了すると、HSM またはキーが自動的に消去されます。
注
管理者ロールまたはアクセス許可は、消去保護をオーバーライド、無効化、または回避できません。 消去保護が有効になっている場合、Microsoft を含む誰でも無効にしたりオーバーライドしたりすることはできません。 そのため、削除された HSM を復旧するか、保持期間が終了するまで待ってから、HSM 名を再利用する必要があります。
キーとマネージド HSM の管理
管理されたHSM(CLI)
マネージド HSM のソフト削除とパージ保護の状態を確認するには:
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}HSM を削除するには:
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}このアクションは、論理的な削除が既定でオンになっているため、回復可能です。
論理的に削除されたすべての HSM を一覧表示するには:
az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsmソフト削除された HSM を復元するには
az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --___location {LOCATION}論理的に削除された HSM を消去するには:
az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --___location {LOCATION}Warnung
この操作により、HSM が完全に削除されます。
HSM で消去保護を有効にするには:
az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true
キー (CLI)
キーを削除するには:
az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}削除されたキーを一覧表示するには:
az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}削除されたキーを回復するには:
az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}論理的に削除されたキーを消去するには:
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}Warnung
この操作により、キーが完全に削除されます。