Inicio rápido: Aprovisionamiento y activación de un HSM administrado mediante PowerShell
En este inicio rápido, creará y activará un HSM (módulo de seguridad de hardware) administrado de Azure Key Vault con PowerShell. Managed HSM es un servicio en la nube que cumple los estándares totalmente administrado, de alta disponibilidad y de un solo inquilino que le permite proteger las claves criptográficas de las aplicaciones en la nube mediante HSM validados de FIPS 140-2 de nivel 3. Para más información sobre Managed HSM, puede consultar esta introducción.
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
- Si opta por usar Azure PowerShell en un entorno local:
- Instale la versión más reciente del módulo Az de PowerShell.
- Conéctese a su cuenta de Azure mediante el cmdlet Connect-AzAccount.
- Si decide usar Azure Cloud Shell:
- Para más información, consulte Introducción a Azure Cloud Shell.
Crear un grupo de recursos
Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Use el cmdlet New-AzResourceGroup de Azure PowerShell para crear un grupo de recursos llamado myResourceGroup en la ubicación norwayeast.
New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"
Obtención del identificador de entidad de seguridad
Para crear un HSM administrado, necesita su identificador de entidad de seguridad de Microsoft Entra. Para obtener el identificador, use el cmdlet de Azure PowerShell Get-AzADUser y pase la dirección de correo electrónico al parámetro "UserPrincipalName":
Get-AzADUser -UserPrincipalName "<your@email.address>"
El identificador de entidad de seguridad se devuelve con el formato: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".
Creación de un HSM administrado
La creación de un HSM administrado es un proceso que se compone de dos pasos:
- Aprovisionar un recurso de Managed HSM.
- Activar el HSM administrado mediante la descarga de un artefacto denominado el dominio de seguridad.
Aprovisionamiento de un HSM administrado
Use el cmdlet New-AzKeyVaultManagedHsm de Azure PowerShell para crear un nuevo HSM administrado. Debe proporcionar información:
Nombre del HSM administrado: cadena de entre 3 y 24 caracteres que puede contener solo números (0-9), letras (a-z, A-Z) y guiones (-).
Importante
Cada HSM administrado debe tener un nombre único. Reemplace <su-nombre-de-hsm-administrado-único> por el nombre de HSM administrado en los ejemplos siguientes.
Nombre del grupo de recursos: myResourceGroup.
La ubicación: Este de Noruega.
Su id. principal: pase el identificador de entidad de seguridad de Microsoft Entra que obtuvo en la última sección al parámetro "Administrador".
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Nota:
El comando de creación puede tardar unos minutos. Una vez que vuelva correctamente, está listo para activar el HSM.
La salida de este cmdlet muestra propiedades del HSM administrado que acaba de crear. Tome nota de estas dos propiedades:
- Name: el nombre que proporcionó para el HSM administrado.
- HsmUri: En el ejemplo, el HsmUri es https://<su-nombre-de-hsm-administrado-único>.managedhsm.azure.net/. Las aplicaciones que utilizan el almacén a través de su API de REST deben usar este identificador URI.
En este momento, su cuenta de Azure es la única autorizada para realizar operaciones en este nuevo HSM.
Activación de un HSM administrado
Todos los comandos de plano de datos estarán deshabilitados hasta que se active el HSM. No podrá crear claves ni asignar roles. El HSM solo pueden activarlo los administradores designados que se asignaron durante el comando create. Para activar el HSM, debe descargar el dominio de seguridad.
Para activar el HSM necesitará lo siguiente:
- Proporcionar un mínimo de tres pares de claves RSA (hasta un máximo de 10)
- Especificar el número mínimo de claves necesarias para descifrar el dominio de seguridad (denominado cuórum)
Para activar el HSM, envíe al menos tres claves públicas RSA (diez como máximo) al HSM. El HSM cifra el dominio de seguridad con estas claves y lo devuelve. Una vez que la descarga de este dominio de seguridad se haya completado correctamente, el HSM está listo para usarse. También debe especificar el cuórum, que es el número mínimo de claves privadas necesarias para descifrar el dominio de seguridad.
En el ejemplo siguiente se muestra cómo usar openssl
(disponible para Windows aquí) para generar tres certificados autofirmados.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Nota:
Incluso si el certificado ha expirado, todavía se puede usar para restaurar el dominio de seguridad.
Importante
Cree y almacene los pares de claves de RSA y el archivo de dominio de seguridad generados en este paso de forma segura.
Use el cmdlet Export-AzKeyVaultSecurityDomain de Azure PowerShell para descargar el dominio de seguridad y activar el HSM administrado. En el ejemplo siguiente, se usan tres pares de claves de RSA (para este comando solo se necesitan claves públicas) y se establece el cuórum en dos.
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Almacene el archivo del dominio de seguridad y los pares de claves de RSA de forma segura. Los necesitará tanto para la recuperación ante desastres como para crear otro HSM administrado que comparta el mismo dominio de seguridad, con el fin de que los dos puedan compartir claves.
Después de descargar correctamente el dominio de seguridad, el HSM estará en estado activo y listo para que lo use.
Limpieza de recursos
Otras guías de inicio rápido y tutoriales de esta colección se basan en los valores de esta. Si tiene pensado seguir trabajando en otras guías de inicio rápido y tutoriales, considere la posibilidad de dejar estos recursos activos.
Cuando ya no los necesite, puede usar el cmdlet Remove-AzResourceGroup de Azure PowerShell para eliminar el grupo de recursos y todos los recursos relacionados.
Remove-AzResourceGroup -Name "myResourceGroup"
Advertencia
La eliminación del grupo de recursos coloca el HSM administrado en un estado de eliminación temporal. El HSM administrado se seguirá facturando hasta que se purgue. Consulte Eliminación temporal y protección de purga del HSM administrado.
Pasos siguientes
En este inicio rápido, ha creado y activado un HSM administrado. Para más información sobre HSM administrado y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes:
- Lea una introducción a Azure Key Vault.
- Consulte la referencia para los cmdlets de Key Vault de Azure PowerShell.
- Consulte Introducción a la seguridad de Azure Key Vault