Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечание
Эта функция доступна только для управляемого HSM типа ресурса.
Управляемый HSM поддерживает создание полной резервной копии всего содержимого HSM, включая все ключи, версии, атрибуты, теги и назначения ролей. Процесс резервного копирования шифрует данные с помощью криптографических ключей, связанных с доменом безопасности HSM.
Операция резервного копирования относится к операции в плоскости данных. Вызывающий объект, инициирующий операцию резервного копирования, должен иметь разрешение на выполнение dataAction Microsoft.KeyVault/managedHsm/backup/start/action.
Только следующие встроенные роли имеют разрешение на выполнение полной резервной копии:
- Администратор управляемого модуля аппаратной безопасности (HSM)
- резервное копирование Управляемого устройства HSM.
Можно выполнить полную операцию резервного копирования и восстановления двумя способами:
- Назначьте удостоверение с управлением пользователем (UAMI) для службы управляемого аппаратного модуля безопасности (HSM). Вы можете создать резервную копию и восстановить MHSM с помощью управляемого удостоверения, назначаемого пользователем, независимо от того, имеет ли учетная запись хранения доступ к общедоступной сети или доступ к частной сети. Если учетная запись хранения находится за частной конечной точкой, метод UAMI работает с обходом доверенной службы для обеспечения резервного копирования и восстановления.
- Используйте SAS-токен контейнера хранилища с разрешениями
crdw. Для выполнения резервного копирования и восстановления с использованием маркера SAS контейнера хранилища необходимо, чтобы в учетной записи хранилища был включен доступ к общедоступной сети.
Чтобы выполнить полную резервную копию, укажите следующие сведения:
- Имя или URL-адрес HSM
- Название учетной записи хранилища
- Контейнер учетной записи для хранения blob-объектов
- Назначенное пользователем управляемое удостоверение ИЛИ SAS токен контейнера хранения с разрешениями
crdw
Azure Cloud Shell
Azure размещает Azure Cloud Shell, интерактивную среду оболочки, которую можно использовать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для выполнения кода в этой статье можно использовать предустановленные команды Cloud Shell, не устанавливая ничего в локальной среде.
Чтобы запустить Azure Cloud Shell, выполните приведенные действия.
| Вариант | Пример и ссылка |
|---|---|
| Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически. |
|
| Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell. |
|
| Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure. |
|
Чтобы использовать Azure Cloud Shell, выполните следующие действия:
Запустите Cloud Shell.
Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.
Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.
Нажмите Enter, чтобы запустить код или команду.
Предварительные требования для резервного копирования и восстановления с помощью управляемого удостоверения, назначаемого пользователем
- Убедитесь, что у вас есть Azure CLI версии 2.56.0 или более поздней. Чтобы узнать версию, выполните команду
az --version. Если вам нужно установить или обновить, см. статью "Установка Azure CLI". - Создайте управляемый идентификатор, назначенный пользователем.
- Создайте учетную запись хранения (или используйте существующую учетную запись хранения). Политика неизменяемости не может быть применена к учетной записи хранения.
- Если доступ к общедоступной сети отключен в учетной записи хранения, включите обход доверенных сервисов на вкладке "Сеть" в разделе "Исключения".
- Предоставьте роли участника данных blob-объектов хранилища доступ к управляемому удостоверению, назначенному пользователем, созданному на шаге 2, перейдите на вкладку "Управление доступом " на портале и выбрав "Добавить назначение ролей". Затем выберите управляемое удостоверение и выберите управляемое удостоверение , созданное на шаге 2 ->Проверка и назначение
- Создайте управляемый модуль HSM и свяжите управляемое удостоверение:
az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Если у вас уже есть управляемый HSM, свяжите управляемую идентификацию, обновив HSM с помощью следующей команды.
az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Полное резервное копирование
Резервное копирование — это длительная операция, но она немедленно возвращает идентификатор задания. Вы можете проверить состояние процесса резервного копирования с помощью этого идентификатора задания. Процесс резервного копирования создает папку внутри указанного контейнера со следующим шаблоном именования: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS} В этом шаблоне HSM_NAME является именем управляемого HSM, который резервируется, а YYYY, MM, DD, HH, mm и SS — годом, месяцем, числом, часом, минутами и секундами даты и времени в формате UTC, когда была получена команда резервного копирования.
Пока выполняется резервное копирование, HSM может не работать с полной пропускной способностью, так как некоторые секции HSM заняты выполнением операции резервного копирования.
Замечание
Резервные копии в учетные записи хранения с применением политики неизменяемости не поддерживаются.
Резервное копирование HSM с помощью управляемого удостоверения, заданного пользователем
az keyvault backup start --use-managed-identity true --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name>
Резервное копирование HSM с помощью токена SAS
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name <storage-account-name> --subscription <subscription-id>)
# Create a container
az storage container create --account-name <storage-account-name> --name <container-name> --account-key $skey
# Generate a container sas token
sas=$(az storage container generate-sas -n <container-name> --account-name <storage-account-name> --permissions crdw --expiry $end --account-key $skey -o tsv --subscription <subscription-id>)
# Backup HSM
az keyvault backup start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --subscription <subscription-id>
Полное восстановление
Полное восстановление восстанавливает содержимое HSM из предыдущей резервной копии, включая все ключи, версии, атрибуты, теги и назначения ролей. Процесс удаляет все, что в настоящее время хранится в HSM, и возвращает его в то же состояние, в которое он был выполнен при создании исходной резервной копии.
Это важно
Полное восстановление является разрушительной и разрушительной операцией. Поэтому, чтобы восстановить HSM, вы должны выполнить ее полную резервную копию как минимум за 30 минут до операции restore.
Восстановление — это операция плоскости данных. Вызывающий объект, запускающий операцию восстановления, должен иметь разрешение на выполнение dataAction Microsoft.KeyVault/managedHsm/restore/start/action. Исходный HSM, в котором вы создали резервную копию и целевой HSM, где выполняется восстановление , должны иметь тот же домен безопасности. Узнать больше об управляемом домене безопасности HSM.
Вы можете выполнить полное восстановление двумя способами. Чтобы выполнить полное восстановление, укажите следующие сведения:
- Имя или URL-адрес HSM
- Название учетной записи хранилища
- Контейнер BLOB-объектов учетной записи хранилища
- Назначаемое пользователем управляемое удостоверение или маркер SAS контейнера хранилища с разрешениями
rl - Имя папки контейнера хранилища, в которой хранится исходная резервная копия
Восстановление — это длительная операция, но она немедленно возвращает идентификатор задания. Вы можете проверить состояние процесса восстановления с помощью этого идентификатора задания. При выполнении процесса восстановления HSM вводит режим восстановления, а все команды плоскости данных (за исключением проверки состояния восстановления) отключены.
Восстановите HSM, используя назначенное пользователем управляемое удостоверение.
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true
Восстановление HSM с помощью токена SAS
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name <storage-account-name> --subscription <subscription-id>)
# Generate a container sas token
sas=$(az storage container generate-sas -n <container-name> --account-name <storage-account-name> --permissions rl --expiry $end --account-key $skey -o tsv --subscription <subscription-id>)
# Restore HSM
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --backup-folder <backup-folder>
Выборочное восстановление ключа
Выборочное восстановление ключа восстанавливает один ключ со всеми версиями ключей из предыдущей резервной копии в HSM. Ключ необходимо очистить, чтобы восстановление выборочного ключа работало правильно. Если вы пытаетесь восстановить ключ, который был мягко удален, используйте команду "восстановление ключа". Дополнительные сведения о восстановлении ключа.
Выборочное восстановление ключа с помощью управляемого удостоверения, назначаемого пользователем
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true --key-name <key-name>
Выборочное восстановление ключа с помощью токена SAS
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --backup-folder <backup-folder> --key-name <key-name>
Дальнейшие действия
- См. статью "Управление управляемым HSM" с помощью Azure CLI.
- Дополнительные сведения об управляемом домене безопасности HSM.