Visão geral do soft-delete de HSM gerido

A funcionalidade de eliminação temporária de HSMs geridos permite a recuperação de HSMs e chaves eliminados. Especificamente, esta funcionalidade oferece as seguintes salvaguardas:

• Após a eliminação de um HSM ou chave, permanece recuperável durante um período configurável de 7 a 90 dias civis. Podes definir o período de retenção quando criares um HSM. Se não especificar um valor, será utilizado o período padrão de retenção de 90 dias. Este período dá aos utilizadores tempo suficiente para detetarem uma chave acidental ou eliminação do HSM e responderem.
• Para eliminar permanentemente uma chave, os utilizadores precisam de tomar duas ações. Primeiro, têm de eliminar a chave, o que a coloca no estado de eliminação suave. Em segundo lugar, devem purgar a chave no estado de eliminação suave. A operação de purga requer a função de Oficial Cripto do HSM Gerido. Estas salvaguardas adicionais reduzem o risco de um utilizador apagar acidentalmente ou maliciosamente uma chave ou um HSM.

Comportamento de remoção temporária

A eliminação suave não pode ser desativada para recursos HSM geridos.

Os recursos marcados como eliminados são mantidos por um período especificado. Existe também um mecanismo para recuperar HSMs ou chaves eliminadas, para que possas desfazer eliminações.

O período padrão de retenção é de 90 dias. Quando cria um recurso HSM, pode definir o intervalo da política de retenção para um valor de 7 a 90 dias. A política de retenção de proteção contra purgas utiliza o mesmo intervalo. Depois de definir a política de retenção, não pode alterá-la.

Não pode reutilizar o nome de um recurso HSM que foi apagado suavemente até o período de retenção terminar e o recurso HSM ser eliminado permanentemente.

Proteção contra purga

A proteção contra purgas é um comportamento opcional. Não está ativado por predefinição. Podes ativá-lo usando o Azure CLI ou PowerShell.

Quando a proteção contra eliminação está ativada, um HSM ou chave no estado eliminado não pode ser eliminado até que o período de retenção termine. HSMs e chaves apagadas manualmente ainda podem ser recuperados, o que garante que a política de retenção estará em vigor.

O período padrão de retenção é de 90 dias. Pode definir o intervalo da política de retenção para um valor de 7 a 90 dias quando criar um HSM. O intervalo da política de retenção só pode ser definido quando cria um HSM. Não pode ser alterado posteriormente.

Veja Como usar o soft-delete do HSM gerido com CLI ou Como usar o soft-delete do HSM gerido com o PowerShell.

Recuperação gerida de HSM

Quando elimina um HSM, o serviço cria um recurso proxy na subscrição, adicionando metadados suficientes para permitir a recuperação. O recurso proxy é um objeto armazenado. Está disponível na mesma localização onde estava o HSM apagado.

Recuperação de chaves

Quando apagas uma chave, o serviço coloca-a num estado de eliminação, tornando-a inacessível a qualquer operação. Durante este estado, as chaves podem ser listadas, recuperadas ou purgadas. Para visualizar os objetos, utilize o comando Azure CLI az keyvault key list-deleted (descrito em Proteção de eliminação suave e purga com o CLI) ou o parâmetro Azure PowerShell -InRemovedState (descrito em Proteção de eliminação suave e purga com o PowerShell).

Quando eliminar a chave, o HSM Gerido irá agendar a eliminação dos dados subjacentes que correspondem ao HSM ou chave eliminada para ocorrer após um intervalo de retenção pré-determinado. O registo DNS correspondente ao HSM também é mantido durante o intervalo de retenção.

Período de retenção de exclusão suave

Os recursos apagados suavemente são mantidos por um período de tempo definido: 90 dias. Durante o intervalo de retenção de eliminação suave, aplicam-se estas condições:

• Pode listar todos os HSMs e chaves no estado de eliminação suave da sua subscrição. Também pode aceder à informação de eliminação e recuperação sobre eles.
• Apenas os utilizadores com a função de Contribuidor de HSM Gerido podem listar HSMs eliminados. Recomendamos que crie uma função personalizada com estas permissões para gerir cofres eliminados.
• Os nomes de HSM geridos devem ser únicos numa determinada localização. Quando crias uma chave, não podes usar um nome se o HSM contiver uma chave com esse nome num estado eliminado.
• Apenas os utilizadores com o papel de Contribuidor de HSM Gerido podem listar, visualizar, recuperar e eliminar HSMs geridos.
• Apenas os utilizadores com o papel de Gestor de Criptografia HSM podem listar, visualizar, recuperar e eliminar chaves.

A menos que um HSM ou chave gerido seja recuperado, no final do intervalo de retenção, o serviço realiza uma purga do HSM ou chave deletado de forma suave. Não podes reprogramar a eliminação de recursos.

Implicações de faturação

O HSM gerido é um serviço de inquilino único. Quando cria um HSM gerido, o serviço reserva os recursos subjacentes alocados ao seu HSM. Estes recursos permanecem alocados mesmo quando o HSM está num estado eliminado. Serás faturado pelo HSM enquanto este estiver num estado eliminado.

Passos seguintes

Estes artigos descrevem os principais cenários para o uso do soft-delete:

• Como utilizar a eliminação suave do Managed HSM com PowerShell
• Como usar o Managed HSM soft-delete com a Azure CLI