Azure Key Vault-återställningshantering med skydd mot mjuk borttagning och rensning

2025-05-30

Den här artikeln beskriver två återställningsfunktioner i Azure Key Vault, mjuk borttagning och rensningsskydd. Det här dokumentet innehåller en översikt över de här funktionerna och visar hur du hanterar dem via Azure Portal, Azure CLI och Azure PowerShell.

Viktigt!

Om ett nyckelvalv inte har aktiverat skydd för mjuk borttagning tas den bort permanent om du tar bort en nyckel. Kunder uppmanas starkt att aktivera tillämpningen av mjuk borttagning för sina valv via Azure Policy.

Översikt över återställningsalternativ

Azure Key Vault innehåller flera alternativ för att säkerställa tillgängligheten och återställningsbarheten för dina valvdata:

Automatisk redundans och redundans: Key Vault replikerar automatiskt data mellan regioner och hanterar redundans vid avbrott – se Tillgänglighet och redundans i Azure Key Vault
Tillfälligt raderingsskydd och rensningsskydd (beskrivs i den här artikeln): Förhindrar oavsiktlig eller skadlig radering av ditt valv eller dess objekt
Manuell säkerhetskopiering och återställning: För enskilda hemligheter, nycklar och certifikat – se Säkerhetskopiering av Azure Key Vault

Den här artikeln fokuserar på funktioner för skydd mot mjuk borttagning och rensning som skyddar mot oavsiktlig eller skadlig borttagning.

Förutsättningar

En Azure-prenumeration – skapa en kostnadsfritt
Azure PowerShell.
Azure CLI
Ett Key Vault – du kan skapa ett med hjälp av Azure Portal Azure CLI eller Azure PowerShell

Användaren behöver följande behörigheter (på prenumerationsnivå) för att utföra åtgärder i mjukt borttagna valv:

Behörighet	beskrivning
Microsoft.KeyVault/locations/deletedVaults/läs	Visa egenskaperna för ett tillfälligt borttaget nyckelvalv
Microsoft.KeyVault/locations/deletedVaults/purge/action	Rensa ett mjukt borttaget nyckelvalv
Microsoft.KeyVault/locations/operationResults/read	Så här kontrollerar du rensningstillståndet för valvet
Key Vault-deltagare	Så här återställer du mjukt borttaget valv

Vad är mjuk radering och raderingsskydd

Mjuk borttagning och rensningsskydd är två olika nyckelvalvets återställningsfunktioner.

Mjuk borttagning är utformad för att förhindra oavsiktlig borttagning av ditt nyckelvalv och nycklar, hemligheter och certifikat som lagras i nyckelvalvet. Tänk på mjuk borttagning som en papperskorg. När du tar bort ett nyckelvalv eller ett key vault-objekt förblir det återställningsbart för en användarkonfigurerbar kvarhållningsperiod eller ett standardvärde på 90 dagar. Nyckelvalv i tillståndet för mjuk borttagning kan också rensas (tas bort permanent), vilket möjliggör att du kan återskapa nyckelvalv och objekt i nyckelvalv med samma namn. Både återställning och borttagning av nyckelvalv och -objekt kräver utökade behörigheter för åtkomstprinciper. När mjuk borttagning har aktiverats kan den inte inaktiveras.

Det är viktigt att observera att nyckelvalvsnamn är globalt unika, så att du inte kan skapa ett nyckelvalv med samma namn som ett nyckelvalv i tillståndet mjuk borttagning. På samma sätt är namnen på nycklar, hemligheter och certifikat unika i ett nyckelvalv. Du kan inte skapa en hemlighet, nyckel eller ett certifikat med samma namn som ett annat i mjukt borttaget tillstånd.

Skydd mot borttagning är utformat för att förhindra att ditt nyckelvalv, dina nycklar, hemligheter och certifikat tas bort av en illvillig insider. Tänk på det som en papperskorg med ett tidsbaserat lås. Du kan återställa objekt när som helst under den konfigurerbara kvarhållningsperioden. Du kommer inte att kunna ta bort eller rensa ett nyckelvalv permanent förrän kvarhållningsperioden har gått ut. När kvarhållningsperioden förflutit rensas nyckelvalvet eller nyckelvalvsobjektet automatiskt.

Anteckning

Rensningsskydd är utformat så att ingen administratörsroll eller behörighet kan åsidosätta, inaktivera eller kringgå rensningsskydd. När rensningsskydd är aktiverat kan det inte inaktiveras eller åsidosättas av någon, inklusive Microsoft. Det innebär att du måste återställa ett borttaget nyckelvalv eller vänta tills kvarhållningsperioden har gått ut innan du återanvänder nyckelvalvets namn igen.

Dessa funktioner rekommenderas starkt för produktionsmiljöer.

Mer information om mjuk borttagning finns i Översikt över mjuk borttagning av Azure Key Vault

Kontrollera om mjuk borttagning är aktiverat i ett nyckelvalv och aktivera mjuk borttagning

Logga in på Azure-portalen.
Välj ditt tangentvalv.
Välj bladet Egenskaper.
Kontrollera om alternativknappen bredvid mjuk borttagning är inställd på "Aktivera återställning".
Om mjuk borttagning inte är aktiverat i nyckelvalvet, välj alternativknappen för att aktivera mjuk borttagning och klicka på "Spara".

På Egenskaper markeras mjuk radering, liksom värdet som möjliggör funktionen.

Bevilja åtkomst till tjänstens huvudnamn för att rensa och återställa borttagna hemligheter

Logga in på Azure-portalen.
Välj ditt tangentvalv.
Välj bladet "Åtkomstpolicy".
I tabellen letar du reda på raden för det säkerhetsobjekt som du vill bevilja åtkomst till (eller lägger till ett nytt säkerhetsobjekt).
Välj listrutan för nycklar, certifikat och hemligheter.
Rulla längst ned i listrutan och välj "Återställ" och "Rensa"
Säkerhetsobjekt behöver också funktionerna "get" och "list" för att utföra de flesta åtgärder.

I det vänstra navigeringsfönstret är Åtkomstpolicyer markerade. På Åtkomstpolicyer visas listrutan Hemliga positioner och fyra objekt har valts: Hämta, Lista, Återställ och Rensa.

Lista, återställa eller permanent radera ett tillfälligt borttaget nyckelvalv

Logga in på Azure-portalen.
Välj sökfältet överst på sidan.
Sök efter tjänsten "Key Vault". Välj inte ett enskilt nyckelvalv.
Längst upp på skärmen väljer du alternativet att hantera raderade valv
Ett kontextfönster öppnas till höger på skärmen.
Välj din prenumeration.
Om ditt nyckelvalv har tagits bort mjukt visas det i kontextfönstret till höger.
Om det finns för många valv kan du antingen välja "Läs in mer" längst ned i kontextfönstret eller använda CLI eller PowerShell för att hämta resultatet.
När du har hittat valvet som du vill återställa eller rensa markerar du kryssrutan bredvid det.
Välj alternativet återställning längst ned i kontextfönstret om du vill återställa nyckelvalvet.
Välj rensningsalternativet om du vill ta bort nyckelvalvet permanent.

On Key vaults, the Manage deleted vaults option is highlighted. I Nyckelvalv är alternativet Hantera borttagna valv markerat.

I Hantera borttagna nyckelvalv är det enda listade nyckelvalvet markerat och valt, och knappen Återställ är markerad.

Lista, återställa eller rensa mjukt borttagna hemligheter, nycklar och certifikat

Logga in på Azure-portalen.
Välj ditt tangentvalv.
Välj bladet som motsvarar den hemliga typ som du vill hantera (nycklar, hemligheter eller certifikat).
Längst upp på skärmen väljer du "Hantera borttagna (nycklar, hemligheter eller certifikat)
En kontextruta visas till höger på skärmen.
Om din hemlighet, nyckel eller certifikat inte visas i listan är den inte i mjukt borttaget tillstånd.
Välj den hemlighet, nyckel eller det certifikat som du vill hantera.
Välj alternativet för att återställa eller rensa längst ned i kontextfönstret.

På Nycklar är alternativet Hantera borttagna nycklar markerat.

Key Vault (CLI)

Kontrollera om ett nyckelvalv har mjuk radering aktiverad

az keyvault show --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Aktivera mjuk borttagning i key-vault

Alla nya nyckelvalv har mjuk borttagning aktiverad som standard. Om du för närvarande har ett nyckelvalv som inte har mjuk borttagning aktiverat använder du följande kommando för att aktivera mjuk borttagning.
```
az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
```

Ta bort nyckelvalv (kan återställas om soft deletion är aktiverat)

az keyvault delete --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}

Visa en lista över alla mjukt borttagna nyckelvalv

az keyvault list-deleted --subscription {SUBSCRIPTION ID} --resource-type vault

Återställa mjukt raderade nyckelvalv

az keyvault recover --subscription {SUBSCRIPTION ID} -n {VAULT NAME}

Ta bort mjukt raderade nyckelvalv (VARNING! DEN HÄR ÅTGÄRDEN KOMMER ATT RADERA DITT NYCKELVALV PERMANENT)
```
az keyvault purge --subscription {SUBSCRIPTION ID} -n {VAULT NAME}
```

Aktivera rensningsskydd i key-vault

az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true

Certifikat (CLI)

Bevilja åtkomst till rensning och återställning av certifikat

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --certificate-permissions recover purge

Ta bort certifikat

az keyvault certificate delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Lista borttagna certifikat

az keyvault certificate list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Återställa borttaget certifikat

az keyvault certificate recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Rensa mjukt borttaget certifikat (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT CERTIFIKATET PERMANENT)

az keyvault certificate purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {CERTIFICATE NAME}

Nycklar (CLI)

Bevilja åtkomst till rensning och återställning av nycklar

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --key-permissions recover purge

Ta bort nyckeln

az keyvault key delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Lista borttagna nycklar

az keyvault key list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Återställa borttagen nyckel

az keyvault key recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Rensa mjukt borttagen nyckel (VARNING! DEN HÄR ÅTGÄRDEN KOMMER ATT TA BORT DIN NYCKEL PERMANENT)

az keyvault key purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {KEY NAME}

Hemligheter (CLI)

Bevilja åtkomst till rensning och återställning av hemligheter

az keyvault set-policy --upn user@contoso.com --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME}  --secret-permissions recover purge

Ta bort hemlighet

az keyvault secret delete --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Lista borttagna hemligheter

az keyvault secret list-deleted --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME}

Återställa borttagen hemlighet

az keyvault secret recover --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Rensa mjukt raderad hemlighet (VARNING! DEN HÄR ÅTGÄRDEN KOMMER ATT PERMANENT RADERA DIN HEMLIGHET)

az keyvault secret purge --subscription {SUBSCRIPTION ID} --vault-name {VAULT NAME} --name {SECRET NAME}

Key Vault (PowerShell)

Kontrollera om ett nyckelvalv har mjuk radering aktiverad
```
Get-AzKeyVault -VaultName "ContosoVault"
```

Ta bort nyckelvalv

Remove-AzKeyVault -VaultName 'ContosoVault'

Visa en lista över alla mjukt borttagna nyckelvalv
```
Get-AzKeyVault -InRemovedState
```

Återställa mjukt raderade nyckelvalv

Undo-AzKeyVaultRemoval -VaultName ContosoVault -ResourceGroupName ContosoRG -Location westus

Rensa mjukt borttagna nyckelvalv (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT DITT NYCKELVALV PERMANENT)
```
Remove-AzKeyVault -VaultName ContosoVault -InRemovedState -Location westus
```

Aktivera rensningsskydd i key-vault

Update-AzKeyVault -VaultName ContosoVault -ResourceGroupName ContosoRG -EnablePurgeProtection

Certifikat (PowerShell)

Bevilja behörigheter för att återställa och rensa certifikat

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToCertificates recover,purge

Ta bort ett certifikat

Remove-AzKeyVaultCertificate -VaultName ContosoVault -Name 'MyCert'

Visa en lista över alla borttagna certifikat i ett nyckelvalv

Get-AzKeyVaultCertificate -VaultName ContosoVault -InRemovedState

Återställa ett certifikat i borttaget tillstånd

Undo-AzKeyVaultCertificateRemoval -VaultName ContosoVault -Name 'MyCert'

Rensa ett tillfälligt borttaget certifikat (VARNING! DEN HÄR ÅTGÄRDEN KOMMER ATT TA BORT DITT CERTIFIKAT PERMANENT)
```
Remove-AzKeyVaultcertificate -VaultName ContosoVault -Name 'MyCert' -InRemovedState
```

Nycklar (PowerShell)

Bevilja behörigheter för att återställa och rensa nycklar

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToKeys recover,purge

Ta bort en nyckel

Remove-AzKeyVaultKey -VaultName ContosoVault -Name 'MyKey'

Visa en lista över alla borttagna nycklar i ett nyckelvalv

Get-AzKeyVaultKey -VaultName ContosoVault -InRemovedState

Så här återställer du en mjuk borttagen nyckel

Undo-AzKeyVaultKeyRemoval -VaultName ContosoVault -Name ContosoFirstKey

Rensa en tillfälligt borttagen nyckel (VARNING! DEN HÄR ÅTGÄRDEN KOMMER ATT PERMANENT TA BORT DIN NYCKEL)
```
Remove-AzKeyVaultKey -VaultName ContosoVault -Name ContosoFirstKey -InRemovedState
```

Hemligheter (PowerShell)

Bevilja behörigheter för att återställa och rensa hemligheter

Set-AzKeyVaultAccessPolicy -VaultName ContosoVault -UserPrincipalName user@contoso.com -PermissionsToSecrets recover,purge

Ta bort en hemlighet med namnet SQLPassword

Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword

Visa en lista över alla borttagna hemligheter i ett nyckelvalv
```
Get-AzKeyVaultSecret -VaultName ContosoVault -InRemovedState
```

Återställa en hemlighet i borttaget tillstånd

Undo-AzKeyVaultSecretRemoval -VaultName ContosoVault -Name SQLPassword

Rensa en hemlighet i borttaget tillstånd (VARNING! DEN HÄR ÅTGÄRDEN TAR BORT NYCKELN PERMANENT)
```
Remove-AzKeyVaultSecret -VaultName ContosoVault -Name SQLPassword -InRemovedState 
```

Nästa steg

Feedback

Var den här sidan till hjälp?