本文介绍了托管式 HSM 的两项恢复功能:软删除和清除保护。 文中概述了这两项功能,并演示了如何通过 Azure CLI 和 Azure PowerShell 对其进行管理。
如需更多详细信息,请参阅托管 HSM 概述。
先决条件
Azure 订阅。 创建试用版订阅。
Azure CLI 2.25.0 或更高版本。 运行
az --version以确定你使用的版本。 如果需要进行安装或升级,请参阅安装 Azure CLI。托管的 HSM。 可使用 Azure CLI 或 Azure PowerShell 创建一个。
用户需要以下权限才能对软删除的 HSM 或密钥执行操作:
角色分配 说明 托管 HSM 参与者 列出、恢复和清除已软删除的 HSM 托管 HSM 加密用户 列出已软删除的密钥 托管 HSM 密码官 清除和恢复软删除的密钥
软删除和清除保护是什么?
软删除和清除保护均属于恢复功能。
软删除旨在防止意外删除 HSM 和密钥。 软删除的功能与回收站类似。 删除 HSM 或密钥后,相应内容在可配置的保持期或默认的 90 天内会保持可恢复状态。 处于软删除状态的 HSM 和密钥也可以被清除,这意味着它们将被永久删除。 清除后,你可以重新创建与已清除项同名的 HSM 和密钥。 恢复和删除 HSM 及密钥都需要特定的角色分配。 无法禁用软删除。
注意
即使基础资源处于已删除状态,由于其仍保持已分配给 HSM 的状态,因此 HSM 资源在处于该状态时仍将按小时产生费用。
托管 HSM 名称在每种云环境中都是全局唯一的。 因此,对于以软删除状态存在的 HSM,无法创建与之同名的托管 HSM。 同样,HSM 中的密钥名称也是唯一的。 无法创建与处于软删除状态的现有密钥同名的密钥。
如需更多详细信息,请参阅 托管 HSM 软删除概述。
清除保护机制旨在防止恶意内部人员删除您的 HSM 和密钥。 它就像一个带时间锁的回收站。 你可以在可配置的保留期内随时恢复项目。 在保持期结束之前,你无法永久删除或清除 HSM 或密钥。 保持期结束时,HSM 或密钥将自动清除。
注意
不论是管理员角色还是拥有何种权限都不能替代、禁用或绕过清除保护。 若启用清除保护,任何人(包括 Microsoft)都不能禁用或替代清除保护。 因此,你必须恢复已删除的 HSM 或等待保持期结束,才能重复使用 HSM 名称。
管理密钥和托管 HSM
- Azure 门户
- Azure CLI
- Azure PowerShell
托管 HSM (门户)
若要检查托管 HSM 的软删除和清除保护的状态,请在Azure门户中导航到托管 HSM 资源,然后在左侧菜单中选择 Properties。
若要删除 HSM,请导航到托管 HSM 资源,然后选择“ 删除”。 此操作可恢复,因为软删除默认为启用状态。
若要列出和恢复已删除的 HSM,请在 Azure 门户中搜索 Managed HSM 池,然后选择 管理已删除的 HSM 选项。
密钥(门户)
若要删除密钥,请导航到托管 HSM 资源,在 “设置” 下选择 “密钥”,选择密钥,然后选择“ 删除”。
若要列出已删除的密钥,请导航到托管 HSM 资源,在 “设置” 下选择 “密钥”,然后选择“ 管理已删除的密钥”。
若要恢复已删除的密钥,请从已删除的密钥列表中选择密钥,然后选择“ 恢复”。
若要清除软删除的密钥,请从已删除的密钥列表中选择密钥,然后选择“ 清除”。
警告
此操作永久删除密钥。