Compartir vía


Inicio rápido: Creación de un HSM administrado mediante una plantilla de ARM

En este inicio rápido se describe cómo usar una plantilla de Azure Resource Manager (plantilla de ARM) para crear un HSM administrado de Azure Key Vault. Managed HSM es un servicio en la nube que cumple los estándares totalmente administrado, de alta disponibilidad y de un solo inquilino que le permite proteger las claves criptográficas de las aplicaciones en la nube mediante HSM validados de FIPS 140-2 de nivel 3.

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Se describe la implementación deseada sin escribir la secuencia de comandos de programación para crear la implementación.

Si su entorno cumple los requisitos previos y está familiarizado con el uso de plantillas de Resource Manager, seleccione el botón Implementar en Azure. La plantilla se abrirá en Azure Portal.

Botón para implementar la plantilla de Resource Manager en Azure.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Revisión de la plantilla

La plantilla que se usa en este inicio rápido forma parte de las plantillas de inicio rápido de Azure:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

El recurso de Azure definido en esta plantilla es:

  • Microsoft.KeyVault/managedHSMs: creación de un HSM administrado de Azure Key Vault.

Implementación de la plantilla

La plantilla requiere el identificador de objeto asociado a la cuenta. Para encontrarlo, use el comando az ad user show de la CLI de Azure y pase su dirección de correo electrónico en el parámetro --id. Puede limitar la salida al identificador de objeto solo con el parámetro --query.

az ad user show --id <your-email-address> --query "objectId"

También puede necesitar su identificador de inquilino. Para encontrarla, use el comandoaz ad user show de la CLI de Azure. Puede limitar la salida al identificador de inquilino solo con el parámetro --query.

az account show --query "tenantId"

Ahora puede implementar la plantilla de ARM:

  1. Seleccione la imagen siguiente para iniciar sesión en Azure y abrir una plantilla. La plantilla crea un HSM administrado.

    Botón para implementar la plantilla de Resource Manager en Azure.

  2. Seleccione o escriba los siguientes valores. A menos que se especifique, use el valor predeterminado para crear el HSM administrado.

    • Suscripción: Seleccione una suscripción de Azure.
    • Grupo de recursos: seleccione Crear, escriba "miGrupoDeRecursos" como nombre y seleccione Aceptar.
    • Ubicación: Seleccione una ubicación. Por ejemplo, Este de Noruega.
    • managedHSMName: escriba un nombre para el HSM administrado.
    • Id. de inquilino: la función de la plantilla recupera automáticamente el identificador del inquilino; no cambie el valor predeterminado. Si no hay ningún valor, escriba el identificador de inquilino que recuperó anteriormente.
    • initialAdminObjectIds: escriba el identificador de objeto que recuperó anteriormente.
  3. Seleccione Comprar. Una vez implementado correctamente el HSM administrado, recibirá una notificación:

Azure Portal se usa para implementar la plantilla. Además de Azure Portal, también puede usar Azure PowerShell, la CLI de Azure y API REST. Para obtener información sobre otros métodos de implementación, consulte Implementación de plantillas.

Validación de la implementación

Puede comprobar que el HSM administrado se creó con el comando az keyvault list de la CLI de Azure. La salida se leerá más fácilmente si muestra los resultados como tabla:

az keyvault list -o table

Debería ver el nombre del HSM administrado recién creado.

Limpieza de recursos

Otras guías de inicio rápido y tutoriales de esta colección se basan en los valores de esta. Si tiene pensado seguir trabajando en otras guías de inicio rápido y tutoriales, considere la posibilidad de dejar estos recursos activos.

Cuando ya no se necesiten, puede usar el comando az group delete de la CLI de Azure para quitar el grupo de recursos y todos los recursos relacionados.

az group delete --name "myResourceGroup"

Advertencia

La eliminación del grupo de recursos coloca el HSM administrado en un estado de eliminación temporal. El HSM administrado se seguirá facturando hasta que se purgue. Consulte Eliminación temporal y protección de purga del HSM administrado.

Pasos siguientes

En este inicio rápido, ha creado un HSM administrado. Este HSM administrado no será completamente funcional hasta que se active. Para aprender a activar el HSM, consulte Activación del HSM administrado.