مشاركة عبر

التشغيل السريع: توفير وحدة HSM مُدارة وتنشيطها باستخدام PowerShell

  • مقالة

في هذا التشغيل السريع، تنشئ وتنشط وحدة أمان الأجهزة المُدارة (HSM) في Azure Key Vault باستخدام PowerShell. وحدة أمان الأجهزة المُدارة هي خدمة سحابية مُدارة بالكامل وعالية الإتاحة لمستأجر واحد ومتوافقة مع المعايير، تتيح لك إمكانية حماية مفاتيح التشفير الخاصة بتطبيقاتك السحابية باستخدام وحدات أمان الأجهزة المعتمدة طبقاً للمستوى الثالث من معايير معالجة المعلومات الفيدرالية (FIPS) 140-2. لمزيد من المعلومات حول وحدة أمان الأجهزة المُدارة، يمكنك مراجعة قسم نظرة عامة.

إذا اخترت تثبيت PowerShell واستخدامه محلياً، فإن هذا البرنامج التعليمي يتطلب إصدار وحدة Azure PowerShell 1.0.0 أو إصدار أحدث. اكتب $PSVersionTable.PSVersion للعثور على الإصدار. إذا كنت بحاجة إلى الترقية، فراجع تثبيت الوحدة النمطية Azure PowerShell. عند تشغيل PowerShell محلياً، يلزم تشغيل Connect-AzAccount لإنشاء الاتصال بـ Azure.

Connect-AzAccount

إنشاء مجموعة موارد

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم Azure PowerShell New-AzResourceGroup cmdlet لإنشاء مجموعة موارد تسمى myResourceGroup في موقع eastus2 .

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

الحصول على المعرّف الأساسي

لإنشاء HSM مدار، ستحتاج إلى معرف Microsoft Entra الأساسي. للحصول على هويتك، استخدم cmdlet Azure PowerShell Get-AzADUser، لتمرير عنوان بريدك الإلكتروني إلى المعلمة "UserPrincipalName":

Get-AzADUser -UserPrincipalName "<your@email.address>"

يُعاد المعرف الأساسي الخاص بك في التنسيق، "xxxxxxxx -xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".

إنشاء وحدة HSM مُدارة

يُعد إنشاء وحدة أمان أجهزة مُدارة عملية تتألف من خطوتين:

  1. توفير مورد لوحدة HSM المُدارة.
  2. نشّط وحدة الأجهزة المُدارة لديك عن طريق تنزيل أداة تُسمى مجال الأمان.

توفير وحدة أمان أجهزة مُدارة

استخدم New-AzKeyVaultManagedHsm cmdlet في Azure PowerShell لإنشاء وحدة أمان أجهزة مُدارة جديدة. ستحتاج إلى تقديم بعض المعلومات:

  • اسم HSM المدار: سلسلة من 3 إلى 24 حرفاً يمكن أن تحتوي فقط على أرقام (0-9)، وأحرف (a-z، A-Z) وواصلات (-)

    هام

    يجب أن يكون لكل وحدة أمان أجهزة مُدارة اسماً فريداً. استبدل <your-unique-managed-hsm-name> باسم وحدة أمان الأجهزة الُمدارة الخاصة بك في الأمثلة التالية.

  • اسم مجموعة الموارد: myResourceGroup.

  • الموقع: شرق الولايات المتحدة 2.

  • المعرف الأساسي الخاص بك: قم بتمرير معرف Microsoft Entra الأساسي الذي حصلت عليه في القسم الأخير إلى المعلمة "المسؤول".

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

إشعار

يمكن أن يستغرق أمر الإنشاء بضع دقائق. وبمجرد أن يعود بنجاح، يمكنك الاستعداد لتنشيط وحدة HSM لديك.

إخراج cmdlet هذا يظهِر خصائص وحدة أمان الأجهزة الُمدارة المُنشأة حديثاً. انتبه إلى هاتين الخاصيتين:

  • الاسم: الاسم الذي قدمته لوحدة أمان الأجهزة المُدارة.
  • HsmUri: في المثال، يكون هذا https://<your-unique-managed-hsm-name>.managedhsm.azure.net/. يجب أن تستخدم التطبيقات التي تستخدم مخزنك من خلال واجهة برمجة تطبيقات REST الخاصة بها معرّف الموارد المنتظم (URI).

في هذه المرحلة، حسابك في Azure هو الوحيد المخول بإجراء أية عمليات على وحدة أمان الأجهزة الجديدة هذه.

تنشيط وحدة أمان الأجهزة المُدارة

يتم تعطيل كل أوامر وحدة البيانات حتى تخضع وحدة HSM للتنشيط. لن تتمكن من إنشاء مفاتيح أو تعيين أدوار. لا يمكن سوى للمسؤولين المخصصين الذين تم تعيينهم أثناء مرحلة أمر الإنشاء تنشيط وحدة HSM. لتنشيط وحدة أمان الأجهزة، يجب عليك تنزيل مجال الأمان.

لتنشيط وحدة أمان الأجهزة المُدارة، تحتاج إلى ما يلي:

  • لتوفير ثلاثة أزواج من مفاتيح RSA كحد أدنى (يمكن الوصول إلى 10 كحد أقصى)
  • لتحديد الحد الأدنى المطلوب من عدد المفاتيح لفك تشفير مجال الأمان (يُسمى حصة)

لتنشيط وحدة أمان الأجهزة، عليك إرسال 3 على الأقل (10 كحد أقصى) من مفاتيح RSA العامة إلى وحدة أمان الأجهزة. تعمل وحدة HSM على تشفير مجال الأمان باستخدام هذه المفاتيح وإعادة إرسالها. بمجرد الانتهاء من تنزيل مجال الأمان هذا بنجاح، تصبح وحدة HSM لديك جاهزة للاستخدام. كما يلزمك أيضاً تحديد الحصة، وهي الحد الأدنى لعدد المفاتيح الخاصة المطلوبة لفك تشفير مجال الأمان.

يوضح المثال أدناه كيفية استخدام openssl (متاحة لـ Windows هنا) لإنشاء ثلاث شهادات موقعة ذاتياً.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

هام

عليك إنشاء وتخزين أزواج مفاتيح RSA وملف مجال الأمان اللذين تم إنشاؤهما في هذه الخطوة بشكل آمن.

استخدم Export-AzKeyVaultSecurityDomain cmdlet في Azure PowerShell لتنزيل مجال الأمان وتنشيط وحدة أمان الأجهزة المُدارة. في المثال التالي، تُستخدم ثلاثة أزواج من مفاتيح RSA (المفاتيح العامة فقط مطلوبة لهذا الأمر) وتعيّن الحصة إلى اثنين منهم.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

يرجى تخزين ملف مجال الأمان وأزواج مفاتيح RSA بشكل آمن. ستحتاج إليهما من أجل عمليات الإصلاح بعد الكوارث أو لإنشاء وحدة أمان أجهزة مُدارة أخرى تتشارك مجال الأمان ذاته، وبالتالي يصبح بإمكانهما مشاركة المفاتيح.

بعد تنزيل مجال الأمان بنجاح، ستكون وحدة أمان الأجهزة الخاصة بك في حالة نشطة وجاهزة للاستخدام.

تنظيف الموارد

يعتمد البدء السريع والبرامج التعليمية الأخرى في هذه المجموعة على هذا البدء السريع. إذا كنت تخطط لمواصلة العمل مع التشغيلات السريعة والبرامج التعليمية الأخرى فقد ترغب في ترك هذه الموارد في مكانها.

عند انتهاء الحاجة إليها، يمكنك استخدام Remove-AzResourceGroup cmdlet الخاص بـ Azure PowerShell لإزالة مجموعة الموارد وجميع الموارد ذات الصلة.

Remove-AzResourceGroup -Name "myResourceGroup"

تحذير

يؤدي حذف مجموعة الموارد إلى وضع HSM المُدار في حالة حذف مبدئي. ستستمر فوترة HSM المُدار حتى تتم إزالته. راجع حماية الحذف المبدئي وإزالة HSM المُدار

الخطوات التالية

في هذا التشغيل السريع، أنشأت وحدة أمان أجهزة مُدارة ونشّطتها. لمعرفة المزيد حول وحدة أمان الأجهزة المُدارة وكيفية دمجها في تطبيقاتك، تابع إلى هذه المقالات: