Rychlý start: Vytvoření spravovaného HSM pomocí šablony ARM

Tento rychlý start popisuje, jak pomocí šablony Azure Resource Manageru (šablony ARM) vytvořit spravovaný HSM služby Azure Key Vault. Spravovaný HSM je plně spravovaná, vysoce dostupná cloudová služba kompatibilní s jedním tenantem, která umožňuje chránit kryptografické klíče pro cloudové aplikace pomocí ověřených HSM úrovně 140–2 FIPS 3 .

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.

Pokud vaše prostředí splňuje požadavky a jste obeznámeni s používáním šablon ARM, vyberte tlačítko Nasazení do Azure. Šablona se otevře v prostředí Azure Portal.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Kontrola šablony

Šablona použitá v tomto rychlém startu pochází ze šablon Rychlého startu Azure:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

Prostředek Azure definovaný v šabloně je:

• Microsoft.KeyVault/managedHSMs: Vytvoření spravovaného HSM služby Azure Key Vault

Nasazení šablony

Šablona vyžaduje ID objektu přidružené k vašemu účtu. Pokud ho chcete najít, použijte příkaz az ad user show azure CLI a předejte mu e-mailovou --id adresu. Výstup můžete omezit pouze na ID objektu pomocí parametru --query .

az ad user show --id <your-email-address> --query "objectId"

Možná budete potřebovat i ID tenanta. Pokud ho chcete najít, použijte příkaz Az ad user show v Azure CLI. Výstup můžete omezit jenom na ID tenanta pomocí parametru --query .

az account show --query "tenantId"

Teď můžete nasadit šablonu ARM:

1. Vyberte následující obrázek a přihlaste se k Azure a otevřete šablonu. Šablona vytvoří spravovaný HSM.

   

2. Vyberte nebo zadejte následující hodnoty. Pokud není zadáno, použijte výchozí hodnotu k vytvoření spravovaného HSM.

   • Předplatné: Vyberte předplatné Azure.
   • Skupina prostředků: Vyberte Vytvořit nový, jako název zadejte myResourceGroup a pak vyberte OK.
   • Umístění: Vyberte umístění. Například Norsko – východ.
   • managedHSMName: Zadejte název spravovaného HSM.
   • ID tenanta: Funkce šablony automaticky načte ID tenanta, neměňte výchozí hodnotu. Pokud neexistuje žádná hodnota, zadejte ID tenanta, které jste získali výše.
   • initialAdminObjectIds: Zadejte ID objektu, které jste získali výše.

3. Vyberte Koupit. Po úspěšném nasazení spravovaného HSM se zobrazí oznámení:

K nasazení šablony se použije Azure Portal. Kromě webu Azure Portal můžete také použít Azure PowerShell, Azure CLI a rozhraní REST API. Další metody nasazení najdete v tématu Nasazení šablon.

Ověření nasazení

Spravovaný HSM můžete ověřit pomocí příkazu Azure CLI az keyvault list . Pokud výsledky naformátujete jako tabulku, bude výstup přehlednější:

az keyvault list -o table

Měl by se zobrazit název nově vytvořeného spravovaného HSM.

Vyčištění prostředků

Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete v Azure CLI:

az group delete --name "myResourceGroup"

Upozorňující

Odstraněním skupiny prostředků se spravovaný HSM umístí do stavu obnovitelného odstranění. Spravovaný HSM se bude dál účtovat, dokud se nevyprázdní. Viz Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM

Další kroky

V tomto rychlém startu jste vytvořili spravovaný HSM. Tento spravovaný HSM nebude plně funkční, dokud se neaktivuje. Informace o tom, jak aktivovat HSM, najdete v tématu Aktivace spravovaného HSM .

• Přehled spravovaného HSM
• Informace o správě klíčů ve spravovaném HSM
• Kontrola osvědčených postupů pro spravované HSM