Azure – KeyVault trwałe usuwanie sekretu

Azure – KeyVault permanently delete a secret

Azure KeyVault oferuje nam coś takiego jak ‘Soft delete’. Jest to przydatna opcja ponieważ zachowuje usunięte klucze, sekrety i certyfikaty w KeyVault przez określony czas. W poniższym przykładzie przechowuje je przez okres 90 dni. Jednak czasem ‘Soft delete’ przeszkadza.

Tworzenie w Azure KeyVaulta z opcją 'soft delete'

Gdy pomylimy się i wpiszemy nazwę sekretu małymi literami, a chcielibyśmy zachować nazewnictwo, to w prosty sposób z poziomu portalu tego już nie poprawimy.

Widok sekretów w Azure KeyVault

Kolejnym przypadkiem jest sytuacja gdy przypadkowo usunęliśmy ‘Sekret’, to nie mamy możliwości przywrócenia, albo stworzenia go od nowa za pomocą portalu.

Tworzenie sekretu w Azure KeyVault
Komunikat błędu tworzenia sekretu w KeyVault

Jedynym wyjściem jest przywrócenie, albo trwałe usunięcie sekretu z KeyVault za pomocą CLI/PS.

Przywrócenie sekretu

Usunięty sekret można przywrócić do ostatniej zapisanej wersji. Niestety nie można zmienić jego nazwy. Poniższe polecenia wypisują listę usuniętych sekretów i przywracają sekret o nazwie ‘secret-04’. Używając poleceń pamiętaj podać swoją nazwę KeyVaulta.

az keyvault secret list-deleted --vault-name KeyVault128463
az keyvault secret recover –name secret-04 --vault-name KeyVault128463

Trwałe usuwanie sekretu

Żeby zmienić wielkość liter, albo stworzyć nowy sekret o takiej samej nazwie trzeba go trwale usunąć. Zwykłe usunięcie przez portal.azure.com nie wystarczy. Żeby trwale usunąć sekret musimy mieć dodatkowe uprawnienia ‘Purge’. Możemy nadać je sobie przez portal.

Widok Access policies w KeyVault na platformie Azure

Gdy mamy już odpowiednie uprawnienia możemy usunąć sekret, jeśli jeszcze tego nie zrobiliśmy. Tylko usunięty sekret można trwale usunąć, do czego służy polecenie ‘az keyvault secret purge’. Teraz możemy w końcu stworzyć poprawną wersję sekretu przez portal albo CLI.

az keyvault secret delete --name secret-04 --vault-name KeyVault128463
az keyvault secret purge --name secret-04 --vault-name KeyVault128463
az keyvault secret set --name SECRET-04 --vault-name KeyVault128463 --value 'test'

Czasem trzeba chwilkę odczekać pomiędzy kolejnymi krokami usuwania i tworzenia nowego sekretu. Więcej informacji na temat KeyVaulta, a także ‘Soft delete’ znajdziecie w dokumentacji Microsoftu https://docs.microsoft.com/en-us/cli/azure/keyvault?view=azure-cli-latest

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *