Já encontrou uma mensagem de erro ao trabalhar com o Azure Key Vault? Se sim, você não está sozinho. Neste post do blog, exploraremos o conceito de soft-delete no Azure Key Vault e como ele pode afetar suas operações.

O soft-delete é um recurso no Azure Key Vault que permite recuperar chaves, segredos e certificados excluídos dentro de um determinado período de retenção. Isso pode ser útil em caso de exclusões acidentais ou para atender a requisitos de conformidade. No entanto, o soft-delete também pode causar alguns problemas inesperados se não for devidamente compreendido.

Vamos considerar um cenário em que você precisa remover uma chave do Azure Key Vault e recriá-la para fins de teste. Você pode supor que excluir a chave e criar uma nova com o mesmo nome seria um processo simples. No entanto, você pode encontrar uma mensagem de erro informando que a chave não pode ser criada devido ao soft-delete.

Para resolver esse problema, você pode usar o PowerShell para purgar a chave excluída suavemente. Primeiro, você precisa localizar o nome ou ID da chave excluída suavemente usando o cmdlet Get-AzKeyVaultKey com o parâmetro -InRemovedState. Isso mostrará todas as chaves excluídas suavemente no Key Vault.

Get-AzKeyVaultKey -VaultName "seu-key-vault" -InRemovedState

Depois de identificar a chave excluída suavemente, você pode usar o cmdlet Remove-AzKeyVaultKey para removê-la permanentemente. No entanto, você pode encontrar uma mensagem de erro informando “A operação retornou um código de status inválido ‘Proibido'”. Esse erro ocorre quando o usuário que executa o comando não tem permissão de purga explicitamente concedida no Key Vault.

Para resolver esse problema, você precisa ir para o Portal do Azure, navegar até o seu Key Vault e ir para Políticas de Acesso. A partir daí, conceda ao usuário que está executando o cmdlet a permissão de Purge para chaves. Essa permissão pode ser encontrada em uma seção especial no menu suspenso chamada “Operações de Chave Privilegiada”.

Depois de conceder a permissão de purga, você pode executar novamente o cmdlet Remove-AzKeyVaultKey. Você será solicitado a confirmar a remoção permanente da chave. Se não houver resposta, significa que a operação foi bem-sucedida.

É importante observar que, mesmo que você tenha herdado ou concedido explicitamente funções RBAC como Contribuidor ou Proprietário, essas permissões não concedem a capacidade de remover uma chave excluída suavemente. A permissão de purga deve ser concedida explicitamente.

Em conclusão, o soft-delete no Azure Key Vault às vezes pode causar problemas inesperados ao tentar excluir e recriar chaves. Ao compreender o conceito de soft-delete e as permissões necessárias, você pode evitar erros e gerenciar com sucesso seus recursos do Key Vault.

Obrigado por ler este post do blog. Esperamos que você tenha achado útil para entender o soft-delete no Azure Key Vault. Fique ligado para mais artigos sobre o SQL Server e o Azure!