Guia de início rápido: provisionar e ativar um HSM gerenciado usando o PowerShell
Neste início rápido, você cria e ativa um HSM (Módulo de Segurança de Hardware) gerenciado pelo Azure Key Vault com o PowerShell. O HSM gerenciado é um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões que permite proteger chaves criptográficas para seus aplicativos em nuvem, usando HSMs validados pelo FIPS 140-2 Nível 3 . Para obter mais informações sobre o HSM gerenciado, consulte a Visão geral.
Pré-requisitos
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
- Se você optar por usar o Azure PowerShell localmente:
- Instale a versão mais recente do módulo Az PowerShell.
- Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount .
- Se você optar por usar o Azure Cloud Shell:
- Consulte Visão geral do Azure Cloud Shell para obter mais informações.
Criar um grupo de recursos
Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup no local norwayeast.
New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"
Obtenha o seu ID principal
Para criar um HSM gerenciado, você precisa do ID principal do Microsoft Entra. Para obter sua ID, use o cmdlet Get-AzADUser do Azure PowerShell, passando seu endereço de email para o parâmetro "UserPrincipalName":
Get-AzADUser -UserPrincipalName "<your@email.address>"
O seu ID principal é devolvido no formato "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".
Criar um HSM gerenciado
Criar um HSM gerenciado é um processo de duas etapas:
- Provisione um recurso HSM gerenciado.
- Ative seu HSM gerenciado baixando um artefato chamado domínio de segurança.
Provisionar um HSM gerenciado
Use o cmdlet New-AzKeyVaultManagedHsm do Azure PowerShell para criar um novo HSM gerenciado. Você precisa fornecer algumas informações:
Nome do HSM gerenciado: uma cadeia de caracteres de 3 a 24 caracteres que pode conter apenas números (0-9), letras (a-z, A-Z) e hífenes (-)
Importante
Cada HSM gerenciado deve ter um nome exclusivo. Substitua <your-unique-managed-hsm-name> pelo nome do seu HSM gerenciado nos exemplos a seguir.
Nome do grupo de recursos: myResourceGroup.
A localização: Noruega Leste.
Sua ID principal: passe a ID principal do Microsoft Entra obtida na última seção para o parâmetro "Administrador".
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Nota
O comando create pode levar alguns minutos. Uma vez que ele retorna com sucesso, você está pronto para ativar seu HSM.
A saída desse cmdlet mostra as propriedades do HSM gerenciado recém-criado. Tome nota destas duas propriedades:
- Nome: o nome fornecido para o HSM gerenciado.
- HsmUri: No exemplo, o HsmUri é https://< your-unique-managed-hsm-name.managedhsm.azure.net/>. As aplicações que utilizam o cofre através da respetiva API têm de utilizar este URI.
Neste ponto, sua conta do Azure é a única autorizada a executar quaisquer operações neste novo HSM.
Ative seu HSM gerenciado
Todos os comandos do plano de dados são desativados até que o HSM seja ativado. Você não poderá criar chaves ou atribuir funções. Somente os administradores designados que foram atribuídos durante o comando create podem ativar o HSM. Para ativar o HSM, você deve baixar o Domínio de segurança.
Para ativar seu HSM, você precisará:
- Para fornecer um mínimo de três pares de chaves RSA (até um máximo de 10)
- Para especificar o número mínimo de chaves necessárias para desencriptar o domínio de segurança (denominado quórum)
Para ativar o HSM, envie pelo menos três (máximo 10) chaves públicas RSA para o HSM. O HSM criptografa o domínio de segurança com essas chaves e o envia de volta. Quando o download desse domínio de segurança for concluído com sucesso, seu HSM estará pronto para uso. Você também precisa especificar quorum, que é o número mínimo de chaves privadas necessárias para descriptografar o domínio de segurança.
O exemplo a seguir mostra como usar openssl
(disponível para Windows aqui) para gerar três certificados autoassinados.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Nota
Mesmo que o certificado tenha "expirado", ele ainda pode ser usado para restaurar o domínio de segurança.
Importante
Crie e armazene os pares de chaves RSA e o arquivo de domínio de segurança gerados nesta etapa com segurança.
Use o cmdlet Azure PowerShell Export-AzKeyVaultSecurityDomain para baixar o domínio de segurança e ativar seu HSM gerenciado. O exemplo a seguir usa três pares de chaves RSA (somente chaves públicas são necessárias para este comando) e define o quorum como dois.
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Guarde o ficheiro de domínio de segurança e os pares de chaves RSA de forma segura. Você precisará deles para recuperação de desastres ou para criar outro HSM gerenciado que compartilhe o mesmo domínio de segurança para que os dois possam compartilhar chaves.
Depois de fazer o download bem-sucedido do domínio de segurança, seu HSM estará em um estado ativo e pronto para ser usado.
Clean up resources (Limpar recursos)
Outros inícios rápidos e tutoriais desta coleção têm por base este início rápido. Se quiser continuar a trabalhar com outros inícios rápidos e tutoriais, pode manter estes recursos.
Quando não for mais necessário, você poderá usar o cmdlet Azure PowerShell Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos relacionados.
Remove-AzResourceGroup -Name "myResourceGroup"
Aviso
A exclusão do grupo de recursos coloca o HSM gerenciado em um estado de exclusão suave. O HSM gerenciado continuará a ser cobrado até ser limpo. Consulte Proteção contra eliminação recuperável e remoção do HSM Gerido
Próximos passos
Neste início rápido, você criou e ativou um HSM gerenciado. Para saber mais sobre o HSM gerenciado e como integrá-lo aos seus aplicativos, continue nestes artigos:
- Leia uma visão geral do Azure Key Vault
- Consulte a referência para os cmdlets do Azure PowerShell Key Vault
- Revise a visão geral de segurança do Cofre de Chaves