托管 HSM 软删除概述

重要

无法为托管 HSM 资源关闭软删除。

重要

已软删除的托管 HSM 资源将继续按其完整的每小时费率计费,直到被清除为止。

托管 HSM 的软删除功能可以恢复已删除的 HSM 和密钥。 具体而言,此功能提供以下安全措施:

  • 删除 HSM 或密钥后,它仍然可以在 7 到 90 个日历日的可配置周期内恢复。 可以在创建 HSM 时设置保持期。 如果未指定值,则使用默认保持期 90 天。 此时间段使用户有充足的时间来注意到意外的密钥或 HSM 删除,并做出响应。
  • 若要永久删除密钥,用户需要执行两个操作。 首先,必须删除该密钥,使其处于软删除状态。 其次,必须清除处于软删除状态的密钥。 清除操作需要“托管 HSM 加密管理人员”角色。 这些额外的保护措施减少了用户意外或恶意删除密钥或 HSM 的风险。

软删除行为

无法为托管 HSM 资源关闭软删除。

标记为已删除的资源将在指定时间段内保留。 还有一种用于恢复已删除的 HSM 或密钥的机制,因此可以撤消删除。

默认保持期为 90 天。 创建 HSM 资源时,可以将保留策略间隔设置为 7 到 90 天之间的值。 清除保护保留策略使用相同的间隔。 设置保留策略后,无法更改它。

在保留期结束并且 HSM 资源被清除之前,不能重复使用已软删除的 HSM 资源的名称。

清除保护

清除保护是一种可选行为。 默认情况下不启用此功能。 可以使用 Azure CLIPowerShell 启用它。

启用清除保护后,在保持期结束之前,无法清除处于已删除状态的 HSM 或密钥。 已软删除的 HSM 和密钥仍可恢复,这确保了保留策略的有效性。

默认保持期为 90 天。 创建 HSM 资源时,可以将保留策略间隔设置为 7 到 90 天之间的值。 只有在创建 HSM 时,才能设置保留策略间隔。 之后无法对此进行更改。

请参阅如何通过 CLI 来使用托管 HSM 软删除如何通过 PowerShell 来使用托管 HSM 软删除

托管 HSM 恢复

删除 HSM 时,服务在订阅中创建代理资源,以添加足够的元数据来启用恢复。 代理资源是一个存储对象。 它与已删除的 HSM 在同一位置提供。

密钥恢复

删除密钥时,服务会将该对象置于已删除状态,使其不可供任何操作访问。 在此状态下,密钥只能被列出、恢复或清除。 要查看对象,请使用 Azure CLI az keyvault key list-deleted 命令(如使用 CLI 进行托管 HSM 软删除和清除保护中所述)或 Azure PowerShell -InRemovedState 参数(如使用 PowerShell 进行托管 HSM 软删除和清除保护中所述)。

删除密钥时,托管 HSM 将计划删除对应于已删除 HSM 或密钥的基础数据,以便在预定的保留间隔之后执行。 在保留间隔期间,还会保留与 HSM 相对应的 DNS 记录。

软删除保留期

软删除的资源将保留一段时间:90 天。 在软删除保留间隔期间,以下条件适用:

  • 可以列出订阅所有处于软删除状态的 HMS 和密钥。 还可以访问有关删除和恢复的信息。
  • 只有具有“托管 HSM 参与者”角色的用户才能列出已删除的 HSM。 建议使用这些权限创建自定义角色来处理已删除的保管库。
  • 托管 HSM 名称在给定位置中必须是唯一的。 创建密钥时,如果 HSM 包含一个名称处于已删除状态的密钥,则不能使用该名称。
  • 只有具有“托管 HSM 参与者”角色的用户才能列出、查看、恢复和清除托管的 HSM。
  • 只有具有“托管 HSM 加密管理人员”角色的用户才能列出、查看、恢复和清除密钥。

除非托管 HSM 或密钥恢复,否则在保留时间间隔结束时,服务将对软删除的 HSM 或密钥执行清除。 无法重新计划删除资源。

计费影响

托管 HSM 是单租户服务。 在你创建托管 HSM 时,该服务将保留分配给 HSM 的基础资源。 即使 HSM 处于已删除状态,这些资源仍然处于已分配状态。 当 HSM 处于已删除状态时,将收取相应费用。

后续步骤

这些文章介绍了使用软删除的主要场景: