Szybki start: tworzenie zarządzanego modułu HSM przy użyciu szablonu usługi ARM
W tym przewodniku Szybki start opisano sposób użycia szablonu usługi Azure Resource Manager (szablonu usługi ARM) do utworzenia zarządzanego modułu HSM usługi Azure Key Vault. Zarządzany moduł HSM to w pełni zarządzana, wysoce dostępna, jednodostępna, zgodna ze standardami usługa w chmurze, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych modułów HSM fiPS 140-2 poziom 3 .
Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu. W szablonie używana jest składnia deklaratywna. Możesz opisać zamierzone wdrożenie bez konieczności pisania sekwencji poleceń programowania w celu utworzenia wdrożenia.
Jeśli Twoje środowisko spełnia wymagania wstępne i masz doświadczenie w korzystaniu z szablonów ARM, wybierz przycisk Wdróż na platformie Azure. Szablon zostanie otwarty w witrynie Azure Portal.
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
Przegląd szablonu
Szablon używany w tym przewodniku Szybki start pochodzi z szablonów szybkiego startu platformy Azure:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
Zasób platformy Azure zdefiniowany w szablonie to:
- Microsoft.KeyVault/managedHSMs: tworzenie zarządzanego modułu HSM usługi Azure Key Vault.
Wdrażanie szablonu
Szablon wymaga identyfikatora obiektu skojarzonego z kontem. Aby go znaleźć, użyj polecenia az ad user show interfejsu wiersza polecenia platformy Azure, przekazując swój adres e-mail do parametru --id
. Dane wyjściowe można ograniczyć do identyfikatora obiektu tylko za pomocą parametru --query
.
az ad user show --id <your-email-address> --query "objectId"
Może być również potrzebny identyfikator dzierżawy. Aby go znaleźć, użyj polecenia az ad user show interfejsu wiersza polecenia platformy Azure. Dane wyjściowe można ograniczyć do identyfikatora dzierżawy tylko za pomocą parametru --query
.
az account show --query "tenantId"
Teraz możesz wdrożyć szablon usługi ARM:
Wybierz poniższy obraz, aby zalogować się na platformie Azure i otworzyć szablon. Szablon tworzy zarządzany moduł HSM.
Wybierz lub wprowadź następujące wartości. Jeśli nie zostanie określona, użyj wartości domyślnej, aby utworzyć zarządzany moduł HSM.
- Subskrypcja: wybierz subskrypcję platformy Azure.
- Grupa zasobów: wybierz pozycję Utwórz nową, wprowadź nazwę "myResourceGroup", a następnie wybierz przycisk OK.
- Lokalizacja: wybierz lokalizację. Na przykład Norwegia Wschodnia.
- managedHSMName: wprowadź nazwę zarządzanego modułu HSM.
- Identyfikator dzierżawy: funkcja szablonu automatycznie pobiera identyfikator dzierżawy; nie zmieniaj wartości domyślnej. Jeśli nie ma żadnej wartości, wprowadź identyfikator dzierżawy pobrany powyżej.
- initialAdminObjectIds: wprowadź identyfikator obiektu pobrany powyżej.
Wybierz pozycję Kup. Po pomyślnym wdrożeniu zarządzanego modułu HSM otrzymasz powiadomienie:
Szablon jest wdrażany za pomocą witryny Azure Portal. Oprócz witryny Azure Portal możesz również użyć programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure i interfejsu API REST. Aby dowiedzieć się więcej o innych metodach wdrażania, zobacz Wdrażanie szablonów.
Weryfikowanie wdrożenia
Możesz sprawdzić, czy zarządzany moduł HSM został utworzony za pomocą polecenia az keyvault list interfejsu wiersza polecenia platformy Azure. Dane wyjściowe będą łatwiejsze do odczytania w przypadku formatowania wyników jako tabeli:
az keyvault list -o table
Powinna zostać wyświetlona nazwa nowo utworzonego zarządzanego modułu HSM.
Czyszczenie zasobów
Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.
Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia az group delete interfejsu wiersza polecenia platformy Azure:
az group delete --name "myResourceGroup"
Ostrzeżenie
Usunięcie grupy zasobów powoduje przełączenie zarządzanego modułu HSM do stanu usunięcia nietrwałego. Zarządzany moduł HSM będzie nadal rozliczany do momentu jego przeczyszczania. Zobacz Nietrwałe usuwanie zarządzanego modułu HSM i ochrona przed przeczyszczaniem
Następne kroki
W tym przewodniku Szybki start utworzono zarządzany moduł HSM. Ten zarządzany moduł HSM nie będzie w pełni funkcjonalny, dopóki nie zostanie aktywowany. Zobacz Aktywowanie zarządzanego modułu HSM , aby dowiedzieć się, jak aktywować moduł HSM.
- Przeczytaj omówienie zarządzanego modułu HSM
- Dowiedz się więcej o zarządzaniu kluczami w zarządzanym module HSM
- Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zarządzanego modułu HSM