Správa spravovaného HSM pomocí Azure CLI
Poznámka:
Key Vault podporuje dva typy prostředků: trezory a spravované HSM. Tento článek se týká spravovaného HSM. Pokud chcete zjistit, jak spravovat trezor, přečtěte si téma Správa služby Key Vault pomocí Azure CLI.
Přehled spravovaného HSM najdete v tématu Co je Managed HSM?
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Požadavky
K dokončení kroků v tomto článku musíte mít následující položky:
- Předplatné služby Microsoft Azure. Pokud žádný nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
- Azure CLI verze 2.25.0 nebo novější. Verzi zjistíte spuštěním příkazu
az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace rozhraní příkazového řádku Azure CLI. - Spravovaný HSM ve vašem předplatném. Viz Rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI ke zřízení a aktivaci spravovaného HSM.
Azure Cloud Shell
Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.
Spuštění služby Azure Cloud Shell:
| Možnost | Příklad nebo odkaz |
|---|---|
| Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu. |  |
| Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči. |  |
| Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal. |  |
Použití Azure Cloud Shellu:
Spusťte Cloud Shell.
Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.
Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.
Stisknutím klávesy Enter spusťte kód nebo příkaz.
Přihlášení k Azure
Pokud se chcete přihlásit k Azure pomocí rozhraní příkazového řádku, můžete zadat:
az login
Další informace o možnostech přihlášení prostřednictvím rozhraní příkazového řádku najdete v tématu Přihlášení pomocí Azure CLI.
Poznámka:
Všechny následující příkazy zobrazují dvě metody použití. Jeden z parametrů --hsm-name a --name (pro název klíče) a jiný pomocí parametru --id , kde můžete zadat celou adresu URL včetně názvu klíče, kde je to vhodné. Druhá metoda je užitečná, když volající (uživatel nebo aplikace) nemá v řídicí rovině přístup pro čtení a pouze omezený přístup k rovině dat.
Poznámka:
Některé interakce s klíčovým materiálem vyžadují konkrétní místní oprávnění RBAC. Úplný seznam předdefinovaných místních rolí a oprávnění RBAC najdete v tématu Předdefinované role RBAC spravovaného HSM. Pokud chcete přiřadit tato oprávnění uživateli, přečtěte si téma Zabezpečení přístupu ke spravovaným hsM.
Vytvoření klíče HSM
Poznámka:
Klíč vygenerovaný nebo importovaný do spravovaného HSM nelze exportovat. Projděte si doporučené osvědčené postupy pro přenositelnost klíčů a odolnost.
Pomocí az keyvault key create příkazu vytvořte klíč.
Vytvoření klíče RSA
Následující příklad ukazuje, jak vytvořit 3072bitový klíč RSA , který se použije pouze pro operace wrapKey, unwrapKey (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
Všimněte si, že get operace vrací pouze atributy veřejného klíče a klíče. Nevrací privátní klíč (v případě asymetrického klíče ani materiál klíče (v případě symetrického klíče).
Vytvoření klíče EC
Následující příklad ukazuje, jak vytvořit klíč EC s křivkou P-256, která se použije pouze pro operace podepisování a ověřování (--ops) a má dvě značky, použití a název aplikace. Značky pomáhají přidat další metadata ke klíči pro sledování a správu.
az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
Vytvoření 256bitového symetrického klíče
Následující příklad ukazuje, jak vytvořit 256bitový symetrický klíč, který se použije jenom pro operace šifrování a dešifrování (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt --tags --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256
Zobrazení klíčových atributů a značek
Příkaz slouží az keyvault key show k zobrazení atributů, verzí a značek pro klíč.
az keyvault key show --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Výpis klíčů
Pomocí az keyvault key list příkazu vypíšete všechny klíče ve spravovaném HSM.
az keyvault key list --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/
Odstranění klíče
Pomocí az keyvault key delete příkazu odstraňte klíč ze spravovaného HSM. Mějte na paměti, že obnovitelné odstranění je vždy zapnuté. Odstraněný klíč proto zůstane v odstraněném stavu a bude možné ho obnovit, dokud nepřejde počet dnů uchovávání, kdy se klíč vymaže (trvale odstraní) bez možného obnovení.
az keyvault key delete --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Výpis odstraněných klíčů
Pomocí az keyvault key list-deleted příkazu vypíšete všechny klíče v odstraněném stavu ve spravovaném HSM.
az keyvault key list-deleted --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/
Obnovení (zrušení odstranění) odstraněného klíče
Pomocí az keyvault key list-deleted příkazu vypíšete všechny klíče v odstraněném stavu ve spravovaném HSM. Pokud potřebujete obnovit (zrušit odstranění) klíče pomocí parametru --id při obnovování odstraněného klíče, musíte si poznamenat recoveryId hodnotu odstraněného klíče získaného az keyvault key list-deleted z příkazu.
az keyvault key recover --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Vyprázdnění (trvalé odstranění) klíče
Pomocí az keyvault key purge příkazu vyprázdníte (trvale odstraníte) klíč.
Poznámka:
Pokud má spravovaný HSM povolenou ochranu před vymazáním, operace vyprázdnění nebude povolená. Klíč se po uplynutí doby uchovávání automaticky vymaže.
az keyvault key purge --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Vytvoření zálohy s jedním klíčem
Slouží az keyvault key backup k vytvoření zálohy klíče. Záložní soubor je šifrovaný objekt blob kryptograficky svázaný s doménou zabezpečení zdrojového HSM. Dá se obnovit jenom v hsm, které sdílejí stejnou doménu zabezpečení. Přečtěte si další informace o doméně zabezpečení.
az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Obnovení jednoho klíče ze zálohy
Slouží az keyvault key restore k obnovení jednoho klíče. Zdrojový HSM, ve kterém se záloha vytvořila, musí sdílet stejnou doménu zabezpečení jako cílový HSM, ve kterém se klíč obnovuje.
Poznámka:
Obnovení nebude úspěšné, pokud klíč se stejným názvem existuje v aktivním nebo odstraněném stavu.
az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Import klíče ze souboru
K importu klíče (pouze RSA a EC) ze souboru použijte az keyvault key import příkaz. Soubor certifikátu musí mít privátní klíč a musí používat kódování PEM (jak je definováno v dokumentech RFCS 1421, 1422, 1423, 1424).
az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'
Pokud chcete importovat klíč z místního HSM do spravovaného HSM, přečtěte si téma Import klíčů chráněných HSM do spravovaného HSM (BYOK).
Další kroky
- Kompletní referenční informace k Azure CLI pro příkazy trezoru klíčů najdete v referenčních informacích k rozhraní příkazového řádku služby Key Vault.
- Referenční informace k programování najdete v příručce pro vývojáře ve službě Azure Key Vault.
- Další informace o správě spravovaných rolí HSM
- Další informace o osvědčených postupech spravovaného HSM