Snabbstart: Skapa en hanterad HSM med hjälp av en ARM-mall

Den här snabbstarten beskriver hur du använder en Azure Resource Manager-mall (ARM-mall) för att skapa en Azure Key Vault-hanterad HSM. Managed HSM är en fullständigt hanterad, högtillgänglig molntjänst med en enda klientorganisation som är standardkompatibel och som gör att du kan skydda kryptografiska nycklar för dina molnprogram med fips 140–2-verifierade HSM:er på nivå 3 .

En Azure Resource Manager-mall är en JSON-fil (JavaScript Object Notation) som definierar infrastrukturen och konfigurationen för projektet. Mallen använder deklarativ syntax. Du beskriver den avsedda distributionen utan att skriva sekvensen med programmeringskommandon för att skapa distributionen.

Om din miljö uppfyller förhandskraven och du är van att använda ARM-mallar väljer du knappen Distribuera till Azure. Mallen öppnas på Azure-portalen.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

Granska mallen

Mallen som används i den här snabbstarten kommer från Azure-snabbstartsmallar:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

Azure-resursen som definieras i mallen är:

• Microsoft.KeyVault/managedHSMs: Skapa en Hanterad HSM för Azure Key Vault.

Distribuera mallen

Mallen kräver det objekt-ID som är associerat med ditt konto. Du hittar den genom att använda kommandot Azure CLI az ad user show och skicka din e-postadress till parametern --id . Du kan begränsa utdata till objekt-ID:t endast med parametern --query .

az ad user show --id <your-email-address> --query "objectId"

Du kan också behöva ditt klientorganisations-ID. Du hittar den med kommandot Azure CLI az ad user show . Du kan begränsa utdata till klient-ID:t endast med parametern --query .

az account show --query "tenantId"

Nu kan du distribuera ARM-mallen:

1. Välj följande bild för att logga in på Azure och öppna en mall. Mallen skapar en hanterad HSM.

   

2. Välj eller ange följande värden. Om du inte anger det använder du standardvärdet för att skapa den hanterade HSM:en.

   • Prenumeration: Välj en Azure-prenumeration.
   • Resursgrupp: Välj Skapa ny, ange "myResourceGroup" som namn och välj sedan OK.
   • Plats: Välj en plats. Till exempel Norge, östra.
   • managedHSMName: Ange ett namn för din hanterade HSM.
   • Klientorganisations-ID: Mallfunktionen hämtar automatiskt ditt klient-ID. Ändra inte standardvärdet. Om det inte finns något värde anger du det klient-ID som du hämtade ovan.
   • initialAdminObjectIds: Ange det objekt-ID som du hämtade ovan.

3. Välj Köp. När managed HSM har distribuerats får du ett meddelande:

Azure-portalen används för att distribuera mallen. Förutom Azure Portal kan du även använda Azure PowerShell, Azure CLI och REST API. Mer information om andra distributionsmetoder finns i Distribuera mallar.

Verifiera distributionen

Du kan kontrollera att den hanterade HSM:en skapades med kommandot Azure CLI az keyvault list . Det är lättare att läsa utdata om du formaterar resultatet som en tabell:

az keyvault list -o table

Du bör se namnet på din nyligen skapade hanterade HSM.

Rensa resurser

De andra snabbstarterna och självstudierna i den här samlingen bygger på den här snabbstarten. Om du planerar att fortsätta med efterföljande snabbstarter och självstudier kan du lämna kvar de här resurserna.

När det inte längre behövs kan du använda kommandot Azure CLI az group delete för att ta bort resursgruppen och alla relaterade resurser:

az group delete --name "myResourceGroup"

Varning

Om du tar bort resursgruppen försätts den hanterade HSM i ett mjukt borttaget tillstånd. Managed HSM fortsätter att faktureras tills den rensas. Se Skydd mot rensning av hanterad HSM och mjuk borttagning

Nästa steg

I den här snabbstarten skapade du en hanterad HSM. Den här hanterade HSM:en fungerar inte fullt ut förrän den har aktiverats. Se Aktivera din hanterade HSM för att lära dig hur du aktiverar din HSM.

• Läs en översikt över Hanterad HSM
• Lär dig mer om att hantera nycklar i en hanterad HSM
• Granska metodtips för hanterad HSM