Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Diese Funktion ist nur für den Ressourcentyp „Managed HSM“ verfügbar.
Verwaltetes HSM unterstützt das Erstellen einer vollständigen Sicherung des gesamten Inhalts des HSM, einschließlich aller Schlüssel, Versionen, Attribute, Tags und Rollenzuweisungen. Der Sicherungsvorgang verschlüsselt die Daten mithilfe kryptografischer Schlüssel, die der Sicherheitsdomäne des HSM zugeordnet sind.
Sicherung ist ein Datenebenenvorgang. Der Aufrufer, der den Sicherungsvorgang initiiert, muss über die Berechtigung zum Ausführen von dataAction Microsoft.KeyVault/managedHsm/backup/start/action verfügen.
Nur die folgenden integrierten Rollen verfügen über die Berechtigung zum Ausführen einer vollständigen Sicherung:
- Verwalteter HSM-Administrator
- Managed HSM Backup (Sicherung verwalteter HSMs)
Sie können einen vollständigen Sicherungs- und Wiederherstellungsvorgang auf zwei Arten ausführen:
- Weisen Sie dem Managed HSM-Dienst eine vom Benutzer zugewiesene verwaltete Identität (UAMI) zu. Sie können Ihr MHSM sichern und wiederherstellen, indem Sie eine vom Benutzer zugewiesene verwaltete Identität verwenden, unabhängig davon, ob Ihr Speicherkonto über einen öffentlichen Netzwerkzugriff oder über einen aktivierten privaten Netzwerkzugriff verfügt. Wenn sich das Speicherkonto hinter einem privaten Endpunkt befindet, funktioniert die UAMI-Methode mit einer vertrauenswürdigen Dienstumgehung, um die Sicherung und Wiederherstellung zu ermöglichen.
- Verwenden Sie ein SAS-Token für Speichercontainer mit Berechtigungen
crdw. Das Sichern und Wiederherstellen mithilfe eines Speichercontainer-SAS-Tokens erfordert, dass Ihr Speicherkonto den öffentlichen Netzwerkzugriff aktiviert hat.
Geben Sie die folgenden Informationen an, um eine vollständige Sicherung auszuführen:
- HSM-Name oder -URL
- Speicherkontoname
- Speicherkonto-Blobspeichercontainer
- Vom Benutzer zugewiesener verwalteter Identität OR Storage Container SAS Token mit Berechtigungen
crdw
Azure Cloud Shell
Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Cloud Shell-Befehle verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
So starten Sie Azure Cloud Shell:
| Option | Beispiel/Link |
|---|---|
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert. |
|
| Wechseln Sie zu https://shell.azure.com, oder wählen Sie die Schaltfläche "Cloud Shell starten " aus, um Cloud Shell in Ihrem Browser zu öffnen. | Schaltfläche  |
| Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. |
|
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit Strg+Shift+V auf Windows und Linux oder mit Cmd+Shift+V auf macOS in die Cloud Shell-Sitzung ein.
Wählen Sie Geben Sie ein, um den Code oder Befehl auszuführen.
Voraussetzungen für das Sichern und Wiederherstellen mithilfe der vom Benutzer zugewiesenen verwalteten Identität
- Stellen Sie sicher, dass Sie über Azure CLI Version 2.56.0 oder höher verfügen. Führen Sie
az --versionaus, um die Version zu ermitteln. Wenn Sie die Azure CLI installieren oder aktualisieren müssen, siehe Installieren der Azure CLI. - Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität.
- Erstellen Sie ein Speicherkonto (oder verwenden Sie ein vorhandenes Speicherkonto). Auf das Speicherkonto kann keine Unveränderlichkeitsrichtlinie angewendet werden.
- Wenn der Zugriff auf öffentliche Netzwerke für Ihr Speicherkonto deaktiviert ist, aktivieren Sie die Umgehung vertrauenswürdiger Dienste auf dem Speicherkonto auf der Registerkarte "Netzwerk " unter "Ausnahmen".
- Geben Sie der Rolle Storage Blob Data Contributor Zugriff auf die in Schritt 2 erstellte benutzerzugewiesene verwaltete Identität, indem Sie im Portal auf das Register Zugriffssteuerung gehen und Rollenzuweisung hinzufügen wählen. Wählen Sie dann verwaltete Identität und dann die verwaltete Identität aus, die in Schritt 2 –>Überprüfen und Zuweisen erstellt wurde.
- Erstellen Sie verwaltetes HSM, und ordnen Sie die verwaltete Identität zu:
az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Wenn Sie über ein vorhandenes verwaltetes HSM verfügen, ordnen Sie die verwaltete Identität zu, indem Sie den MHSM mit dem folgenden Befehl aktualisieren.
az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
Vollständige Sicherung
Die Sicherung ist ein zeitintensiver Vorgang, gibt aber sofort eine Auftrags-ID zurück. Sie können den Status des Sicherungsvorgangs mithilfe dieser Auftrags-ID überprüfen. Der Sicherungsvorgang erstellt einen Ordner innerhalb des angegebenen Containers mit dem folgenden Benennungsmuster: mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS} In diesem Muster ist HSM_NAME der Name des verwalteten HSM, das gesichert wird, und YYYY, MM, DD, HH, mm und SS sind das Jahr, der Monat, das Datum, die Stunde, die Minuten und die Sekunden des Datums und der Uhrzeit in UTC, zu der der Sicherungsbefehl empfangen wurde.
Während die Sicherung ausgeführt wird, funktioniert das HSM möglicherweise nicht mit dem vollständigen Durchsatz, da einige HSM-Partitionen ausgelastet sind, um den Sicherungsvorgang auszuführen.
Hinweis
Sicherungen für Speicherkonten mit angewendeter Unveränderlichkeitsrichtlinie werden nicht unterstützt.
Sicherung des HSM mit der vom Benutzer zugewiesenen verwalteten Identität
az keyvault backup start --use-managed-identity true --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name>
Sichern von HSM mithilfe des SAS-Tokens
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name <storage-account-name> --subscription <subscription-id>)
# Create a container
az storage container create --account-name <storage-account-name> --name <container-name> --account-key $skey
# Generate a container sas token
sas=$(az storage container generate-sas -n <container-name> --account-name <storage-account-name> --permissions crdw --expiry $end --account-key $skey -o tsv --subscription <subscription-id>)
# Backup HSM
az keyvault backup start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --subscription <subscription-id>
Vollständige Wiederherstellung
Die vollständige Wiederherstellung stellt den Inhalt des HSM aus einer vorherigen Sicherung wieder her, einschließlich aller Schlüssel, Versionen, Attribute, Tags und Rollenzuweisungen. Der Prozess entfernt alles, was derzeit im HSM gespeichert ist, und gibt ihn in denselben Zustand zurück, in dem es sich beim Erstellen der Quellsicherung befand.
Von Bedeutung
Die vollständige Wiederherstellung ist eine destruktive und störende Operation. Daher müssen Sie mindestens 30 Minuten vor einem restore-Vorgang eine vollständige Sicherung des HSM abschließen, das Sie wiederherstellen wollen.
Die Wiederherstellung ist ein Datenebenenvorgang. Der Aufrufer, der den Wiederherstellungsvorgang startet, muss über die Berechtigung zum Ausführen von dataAction Microsoft.KeyVault/managedHsm/restore/start/action verfügen. Das Quell-HSM, in dem Sie die Sicherung und das Ziel-HSM erstellt haben, in dem Sie die Wiederherstellung ausführen, muss dieselbe Sicherheitsdomäne aufweisen. Weitere Informationen zur verwalteten HSM-Sicherheitsdomäne.
Sie können eine vollständige Wiederherstellung auf zwei Arten ausführen. Geben Sie die folgenden Informationen an, um eine vollständige Wiederherstellung auszuführen:
- HSM-Name oder -URL
- Speicherkontoname
- Speicherkonto-BLOB-Container
- Vom Benutzer zugewiesene verwaltete Identität ODER SAS-Token für Speichercontainer mit Berechtigungen
rl - Name des Speichercontainerordners, in dem die Quellsicherung gespeichert ist
Die Wiederherstellung ist ein lange ausgeführter Vorgang, gibt aber sofort eine Auftrags-ID zurück. Sie können den Status des Wiederherstellungsvorgangs mithilfe dieser Auftrags-ID überprüfen. Wenn der Wiederherstellungsvorgang ausgeführt wird, wechselt das HSM in einen Wiederherstellungsmodus, und alle Datenebenenbefehle (mit Ausnahme des Wiederherstellungsstatus überprüfen) sind deaktiviert.
Wiederherstellen von HSM mithilfe der vom Benutzer zugewiesenen verwalteten Identität
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true
Wiederherstellen von HSM mithilfe des SAS-Tokens
# time for 500 minutes later for SAS token expiry
end=$(date -u -d "500 minutes" '+%Y-%m-%dT%H:%MZ')
# Get storage account key
skey=$(az storage account keys list --query '[0].value' -o tsv --account-name <storage-account-name> --subscription <subscription-id>)
# Generate a container sas token
sas=$(az storage container generate-sas -n <container-name> --account-name <storage-account-name> --permissions rl --expiry $end --account-key $skey -o tsv --subscription <subscription-id>)
# Restore HSM
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --backup-folder <backup-folder>
Selektive Schlüsselwiederherstellung
Die selektive Schlüsselwiederherstellung stellt einen Schlüssel zusammen mit allen zugehörigen Schlüsselversionen aus einer früheren Sicherung in einem HSM wieder her. Der Schlüssel muss gelöscht werden, damit die Wiederherstellung selektiver Schlüssel funktioniert. Wenn Sie versuchen, einen Soft Delete-Schlüssel wiederherzustellen, verwenden Sie Schlüsselwiederherstellung. Erfahren Sie mehr über die Wiederherstellung von Schlüsseln.
Selektive Schlüsselwiederherstellung mithilfe der vom Benutzer zugewiesenen verwalteten Identität
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --backup-folder <backup-folder> --use-managed-identity true --key-name <key-name>
Selektive Schlüsselwiederherstellung mithilfe des SAS-Tokens
az keyvault restore start --hsm-name <hsm-name> --storage-account-name <storage-account-name> --blob-container-name <container-name> --storage-container-SAS-token $sas --backup-folder <backup-folder> --key-name <key-name>
Nächste Schritte
- Siehe Verwalten eines verwalteten HSM mithilfe der Azure CLI.
- Erfahren Sie mehr über die verwaltete HSM-Sicherheitsdomäne.