Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu programu PowerShell
W tym przewodniku Szybki start utworzysz i aktywujesz zarządzany moduł HSM usługi Azure Key Vault (sprzętowy moduł zabezpieczeń) przy użyciu programu PowerShell. Zarządzany moduł HSM to w pełni zarządzana, wysoce dostępna, jednodostępna, zgodna ze standardami usługa w chmurze, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych modułów HSM fiPS 140-2 poziom 3 . Aby uzyskać więcej informacji na temat zarządzanego modułu HSM, możesz zapoznać się z omówieniem.
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
- Jeśli zdecydujesz się używać programu Azure PowerShell lokalnie:
- Zainstaluj najnowszą wersję modułu Az programu PowerShell.
- Połącz się z kontem platformy Azure przy użyciu polecenia cmdlet Connect-AzAccount .
- Jeśli zdecydujesz się używać usługi Azure Cloud Shell:
- Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Cloud Shell .
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia cmdlet New-AzResourceGroup programu Azure PowerShell, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji norweskiej.
New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"
Uzyskiwanie identyfikatora podmiotu zabezpieczeń
Aby utworzyć zarządzany moduł HSM, potrzebny jest identyfikator podmiotu zabezpieczeń firmy Microsoft. Aby uzyskać swój identyfikator, użyj polecenia cmdlet Get-AzADUser programu Azure PowerShell, przekazując swój adres e-mail do parametru "UserPrincipalName":
Get-AzADUser -UserPrincipalName "<your@email.address>"
Identyfikator podmiotu zabezpieczeń jest zwracany w formacie "xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".
Tworzenie zarządzanego modułu HSM
Tworzenie zarządzanego modułu HSM jest procesem dwuetapowym:
- Aprowizuj zasób zarządzanego modułu HSM.
- Aktywuj zarządzany moduł HSM, pobierając artefakt o nazwie domena zabezpieczeń.
Aprowizuj zarządzany moduł HSM
Użyj polecenia cmdlet New-AzKeyVaultManagedHsm programu Azure PowerShell, aby utworzyć nowy zarządzany moduł HSM. Musisz podać kilka informacji:
Nazwa zarządzanego modułu HSM: ciąg o długości od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-)
Ważne
Każdy zarządzany moduł HSM musi mieć unikatową nazwę. Zastąp <ciąg your-unique-managed-hsm-name> nazwą zarządzanego modułu HSM w poniższych przykładach.
Nazwa grupy zasobów: myResourceGroup.
Lokalizacja: Norwegia Wschodnia.
Identyfikator podmiotu zabezpieczeń: przekaż identyfikator podmiotu zabezpieczeń firmy Microsoft uzyskany w ostatniej sekcji do parametru "Administrator".
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Uwaga
Polecenie create może potrwać kilka minut. Po pomyślnym powrocie można przystąpić do aktywowania modułu HSM.
Dane wyjściowe tego polecenia cmdlet pokazują właściwości nowo utworzonego zarządzanego modułu HSM. Zanotuj te dwie właściwości:
- Nazwa: nazwa podana dla zarządzanego modułu HSM.
- HsmUri: w tym przykładzie identyfikator HsmUri to https://< jour-unique-managed-hsm-name.managedhsm.azure.net/>. Aplikacje korzystające z magazynu za pomocą jego interfejsu API REST muszą używać tego identyfikatora URI.
Na tym etapie Twoje konto platformy Azure jest jedynym autoryzowanym do wykonywania jakichkolwiek operacji na tym nowym module HSM.
Aktywowanie zarządzanego modułu HSM
Wszystkie polecenia płaszczyzny danych są wyłączone do momentu aktywowania modułu HSM. Nie będzie można tworzyć kluczy ani przypisywać ról. Tylko wyznaczeni administratorzy, którzy zostali przypisani podczas tworzenia polecenia, mogą aktywować moduł HSM. Aby aktywować moduł HSM, należy pobrać domenę zabezpieczeń.
Aby aktywować moduł HSM, potrzebne są następujące elementy:
- Aby zapewnić co najmniej trzy pary kluczy RSA (maksymalnie 10)
- Aby określić minimalną liczbę kluczy wymaganych do odszyfrowywania domeny zabezpieczeń (nazywanej kworum)
Aby aktywować moduł HSM, należy wysłać co najmniej trzy (maksymalnie 10) klucze publiczne RSA do modułu HSM. Moduł HSM szyfruje domenę zabezpieczeń przy użyciu tych kluczy i wysyła je z powrotem. Po pomyślnym zakończeniu pobierania tej domeny zabezpieczeń moduł HSM jest gotowy do użycia. Należy również określić kworum, czyli minimalną liczbę kluczy prywatnych wymaganych do odszyfrowania domeny zabezpieczeń.
W poniższym przykładzie pokazano, jak używać openssl
metody (dostępnej dla systemu Windows tutaj) do generowania trzech certyfikatów z podpisem własnym.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Uwaga
Nawet jeśli certyfikat "wygasł", można go nadal użyć do przywrócenia domeny zabezpieczeń.
Ważne
Utwórz i zapisz pary kluczy RSA oraz plik domeny zabezpieczeń wygenerowany w tym kroku bezpiecznie.
Użyj polecenia cmdlet Azure PowerShell Export-AzKeyVaultSecurityDomain , aby pobrać domenę zabezpieczeń i aktywować zarządzany moduł HSM. W poniższym przykładzie użyto trzech par kluczy RSA (wymagane są tylko klucze publiczne) i ustawia kworum na dwa.
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Przechowuj bezpiecznie plik domeny zabezpieczeń i pary kluczy RSA. Będą one potrzebne do odzyskiwania po awarii lub utworzenia innego zarządzanego modułu HSM, który współużytkuje tę samą domenę zabezpieczeń, aby te dwa mogły współużytkować klucze.
Po pomyślnym pobraniu domeny zabezpieczeń moduł HSM będzie w stanie aktywnym i będzie gotowy do użycia.
Czyszczenie zasobów
Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z innych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.
Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia cmdlet Remove-AzResourceGroup programu Azure PowerShell.
Remove-AzResourceGroup -Name "myResourceGroup"
Ostrzeżenie
Usunięcie grupy zasobów powoduje przełączenie zarządzanego modułu HSM do stanu usunięcia nietrwałego. Zarządzany moduł HSM będzie nadal rozliczany, dopóki nie zostanie przeczyszczone. Zobacz Nietrwałe usuwanie zarządzanego modułu HSM i ochrona przed przeczyszczaniem
Następne kroki
W tym przewodniku Szybki start utworzono i aktywowano zarządzany moduł HSM. Aby dowiedzieć się więcej na temat zarządzanego modułu HSM i sposobu integrowania go z aplikacjami, przejdź do następujących artykułów:
- Przeczytaj omówienie usługi Azure Key Vault
- Zapoznaj się z dokumentacją poleceń cmdlet usługi Azure PowerShell Key Vault
- Przegląd zabezpieczeń usługi Key Vault