Início rápido: provisionar e ativar um HSM Gerenciado usando o PowerShell
Neste início rápido, você criará e ativará um HSM Gerenciado do Azure Key Vault (Módulo de Segurança de Hardware) com o PowerShell. O HSM Gerenciado é um serviço de nuvem de apenas um locatário, altamente disponível, totalmente gerenciado e em conformidade com os padrões do setor, que permite proteger chaves criptográficas para seus aplicativos de nuvem usando HSMs validados FIPS 140-2 Nível 3. Para obter mais informações sobre o HSM Gerenciado, examine a Visão geral.
Pré-requisitos
Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
- Se você optar por usar o Azure PowerShell localmente:
- Instale a versão mais recente do módulo do Az PowerShell.
- Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount.
- Se você optar por usar o Azure Cloud Shell:
- Confira Visão geral do Azure Cloud Shell para obter mais informações.
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização norwayeast.
New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"
Obter a ID da entidade de segurança
Para criar um HSM Gerenciado, você precisa da ID da entidade de segurança do Microsoft Entra. Para obter a ID, use o cmdlet Get-AzADUser do Azure PowerShell, passando o endereço de email para o parâmetro "UserPrincipalName":
Get-AzADUser -UserPrincipalName "<your@email.address>"
Sua ID da entidade de segurança será retornada no formato "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".
Criar um HSM Gerenciado
A criação de um HSM Gerenciado é um processo de duas etapas:
- Provisionar um recurso de HSM gerenciado.
- Ative o HSM Gerenciado baixando um artefato chamado domínio de segurança.
Provisionar um HSM Gerenciado
Use o cmdlet New-AzKeyVaultManagedHsm do Azure PowerShell para criar um HSM Gerenciado. Você precisa fornecer algumas informações:
Nome do HSM gerenciado: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)
Importante
Cada HSM Gerenciado precisa ter um nome exclusivo. Substitua, nos exemplos a seguir, o texto <your-unique-managed-hsm-name> pelo nome do seu HSM Gerenciado.
Nome do grupo de recursos: myResourceGroup.
O local: Leste da Noruega.
Sua ID da entidade de segurança: transmita a ID da entidade de segurança do Microsoft Entra obtida na última seção ao parâmetro "Administrador".
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Observação
O comando Criar pode levar alguns minutos. Quando ele retornar com sucesso, você estará pronto para ativar o HSM.
A saída desse cmdlet mostra as propriedades do HSM Gerenciado recém-criado. Anote estas duas propriedades:
- Nome: o nome que você forneceu para o HSM Gerenciado.
- HsmUri: no exemplo o HsmUri é https://<your-unique-managed-hsm-name>.managedhsm.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.
Nesse ponto, sua conta do Azure é a única autorizada a executar qualquer operação nesse novo HSM.
Ativar o HSM Gerenciado
Todos os comandos do plano de dados ficam desabilitados até que o HSM seja ativado. Você não poderá criar chaves nem atribuir funções. Somente os administradores designados que foram atribuídos durante o comando create podem ativar o HSM. Para ativar o HSM, você deve baixar o Domínio de Segurança.
Para ativar o HSM, você precisará:
- Fornecer pelo menos três (no máximo 10) pares de chaves RSA
- Especificar o número mínimo de chaves necessário para descriptografar o domínio de segurança (chamado de quorum)
Para ativar o HSM, você envia pelo menos três (no máximo 10) chaves públicas RSA para o HSM. O HSM criptografa o domínio de segurança com essas chaves e o envia de volta. Depois que o download do domínio de segurança for concluído com êxito, o HSM estará pronto para uso. Você também precisa especificar quorum, que é o número mínimo de chaves privadas necessárias para descriptografar o domínio de segurança.
O exemplo a seguir mostra como usar openssl
(disponível para Windows aqui) a fim de gerar três certificados auto-assinados.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Observação
Mesmo que o certificado tenha "expirado", ele ainda poderá ser usado para restaurar o domínio de segurança.
Importante
Crie e armazene os pares de chaves RSA e o arquivo de domínio de segurança gerados nesta etapa com segurança.
Use o cmdlet Export-AzKeyVaultSecurityDomain do Azure PowerShell para baixar o domínio de segurança e ativar o HSM Gerenciado. O exemplo a seguir usa três pares de chaves RSA (somente chaves públicas são necessárias para este comando) e define o quórum como duas.
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Armazene o arquivo de domínio de segurança e os pares de chaves RSA com segurança. Você precisará deles para a recuperação de desastre ou para criar outro HSM Gerenciado que compartilhe o mesmo domínio de segurança para que ambos possam compartilhar chaves.
Depois de baixar com sucesso o domínio de segurança, o HSM estará em estado ativo e pronto para o uso.
Limpar os recursos
Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com outros tutoriais e inícios rápidos, deixe esses recursos onde estão.
Quando o grupo de recursos e todos os recursos relacionados não forem mais necessários, use o cmdlet Remove-AzResourceGroup do Azure PowerShell para removê-los.
Remove-AzResourceGroup -Name "myResourceGroup"
Aviso
Excluir o grupo de recursos coloca o HSM gerenciado em um estado de exclusão reversível. O HSM gerenciado continuará a ser cobrado até que seja limpo. Consulte Exclusão reversível e proteção contra limpeza do HSM gerenciado
Próximas etapas
Nesse início rápido, você criou e ativou um HSM Gerenciado. Para saber mais sobre o HSM Gerenciado e como integrá-lo aos seus aplicativos, prossiga para examinar os seguintes artigos:
- Leia uma Visão geral do Azure Key Vault
- Confira a referência dos cmdlets do Key Vault do Azure PowerShell
- Examine a Visão geral de segurança do Key Vault