Exclusão reversível e proteção contra limpeza do HSM gerenciado

Este artigo descreve dois recursos de recuperação do HSM Gerenciado: exclusão suave e proteção contra eliminação. Ele fornece uma visão geral desses recursos e demonstra como gerenciá-los usando a CLI do Azure e o Azure PowerShell.

Para obter mais informações, consulte a visão geral do HSM gerenciado.

Pré-requisitos

Uma assinatura do Azure. Crie um gratuitamente.
O módulo do PowerShell.
CLI do Azure 2.25.0 ou posterior. Execute az --version para determinar qual versão você tem. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure.
Um HSM gerenciado. Você pode criar um usando a CLI do Azure ou o Azure PowerShell.

Os usuários precisarão das seguintes permissões para executar operações em HSMs ou chaves com exclusão reversível:

Atribuição de função	Description
Colaborador do HSM gerenciado	Listar, recuperar e limpar HSMs com exclusão reversível
Usuário de criptografia de HSM gerenciado	Listar chaves temporariamente excluídas
Responsável pela Criptografia do HSM Gerenciado	Limpar e recuperar chaves excluídas temporariamente

O que são exclusão suave e proteção contra purga?

Exclusão suave e proteção contra exclusão são recursos de recuperação.

A exclusão reversível foi projetada para impedir a exclusão acidental do HSM e das chaves. A exclusão reversível funciona como uma lixeira. Quando você excluir um HSM ou uma chave, ele permanecerá recuperável por um período de retenção configurável ou por um período padrão de 90 dias. Os HSMs e as chaves no estado de exclusão reversível também podem ser limpos, o que significa que eles são excluídos permanentemente. A limpeza permite recriar HSMs e chaves com o mesmo nome que o item limpo. A recuperação e a exclusão de HSMs e chaves exigem atribuições de função específicas. O soft-delete não pode ser desativado.

Observação

Como os recursos subjacentes permanecem alocados para o HSM mesmo quando ele estiver em um estado excluído, o recurso HSM continuará acumulando encargos por hora enquanto estiver nesse estado.

Os nomes de HSM gerenciados são globalmente exclusivos em todos os ambientes de nuvem. Portanto, você não pode criar um HSM gerenciado com o mesmo nome de um que exista em estado de exclusão reversível. Da mesma forma, os nomes das chaves são exclusivos em um HSM. Você não pode criar uma chave com o mesmo nome de um que exista em estado de exclusão reversível.

Para obter mais informações, confira Visão geral da exclusão reversível do HSM gerenciado.

A proteção contra limpeza é projetada para impedir a exclusão de seus HSMs e chaves por um insider mal-intencionado. É como uma lixeira com um bloqueio baseado em tempo. Você pode recuperar itens a qualquer momento durante o período de retenção configurável. Você não poderá excluir ou limpar permanentemente um HSM ou uma chave até que o período de retenção termine. Quando o período de retenção terminar, o HSM ou a chave serão limpos automaticamente.

Observação

Nenhuma função de administrador ou permissão pode substituir, desabilitar ou contornar a proteção contra limpeza. Se a proteção contra limpeza estiver habilitada, ela não poderá ser desabilitada ou substituída por ninguém, incluindo a Microsoft. Portanto, você deve recuperar um HSM excluído ou aguardar o término do período de retenção antes de poder reutilizar o nome do HSM.

HSMs gerenciados (CLI)

Para verificar o status da exclusão reversível e da proteção contra limpeza para um HSM gerenciado:
```
az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Para excluir um HSM, siga as instruções a seguir:
```
az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME}
```
Essa ação é recuperável porque a exclusão suave está ativada por padrão.

Para listar todos os HSMs com exclusão reversível:

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type hsm

Para recuperar uma chave com exclusão reversível:

az keyvault recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --___location {LOCATION}

Para limpar um HSM com exclusão reversível:

az keyvault purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --___location {LOCATION}

Aviso

Esta operação excluirá permanentemente o HSM.

Para habilitar a proteção de purga em um HSM:

az keyvault update-hsm --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} --hsm-name {HSM NAME} --enable-purge-protection true

Chaves (CLI)

Para excluir uma chave:

az keyvault key delete --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para listar as chaves excluídas:

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME}

Para recuperar uma chave excluída:

az keyvault key recover --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}

Para limpar uma chave com exclusão reversível:
```
az keyvault key purge --subscription {SUBSCRIPTION ID} --hsm-name {HSM NAME} --name {KEY NAME}
```
Aviso

Essa operação excluirá permanentemente sua chave.

HSMs gerenciados (PowerShell)

Para verificar o status da exclusão reversível e da proteção contra limpeza para um HSM gerenciado:
```
Get-AzKeyVaultManagedHsm -Name "ContosoHSM"
```
Para excluir um HSM, siga as instruções a seguir:
```
Remove-AzKeyVaultManagedHsm -Name 'ContosoHSM'
```
Essa ação é recuperável porque a exclusão suave está ativada por padrão.

Chaves (PowerShell)

Para excluir uma chave:

Remove-AzKeyVaultKey -HsmName ContosoHSM -Name 'MyKey'

Para listar todas as chaves excluídas:

Get-AzKeyVaultKey -HsmName ContosoHSM -InRemovedState

Para recuperar uma chave excluída:

Undo-AzKeyVaultKeyRemoval -HsmName ContosoHSM -Name ContosoFirstKey

Para limpar uma chave com exclusão reversível:
```
Remove-AzKeyVaultKey -HsmName ContosoHSM -Name ContosoFirstKey -InRemovedState
```
Aviso

Essa operação excluirá permanentemente sua chave.

Próximas etapas

Comentários

Esta página foi útil?

Last updated on 2025-10-10