التشغيل السريع: إنشاء HSM مدار باستخدام قالب ARM
يصف هذا التشغيل السريع كيفية استخدام قالب Azure Resource Manager (قالب ARM) لإنشاء HSM مدار بواسطة Azure Key Vault. تُعد "Managed HSM" خدمة سحابية مُدارة بالكامل ومتاحة بشكل كبير في مستأجر واحد ومتوافقة مع المعايير بحيث تتيح لك إمكانية حماية مفاتيح التشفير الخاصة بتطبيقات السحابة لديك باستخدام وحدات إف آي بي إس المستوى 3 التابع للمعيار إف آي بي إس 140-2.
قالب Azure Resource Manager هو ملف JavaScript Object Notation (JSON) الذي يحدد البنية الأساسية والتكوين لمشروعك. يستخدم القالب عبارات توضيحية. يمكنك وصف النشر المقصود دون كتابة تسلسل أوامر البرمجة لإنشاء النشر.
إذا كانت بيئتك تلبي المتطلبات الأساسية وكنت معتاداً على استخدام قوالب "ARM"، فحدد زر "Deploy to Azure". سيتم فتح القالب في مدخل Azure.
المتطلبات الأساسية
في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.
استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.
عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.
يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.
مراجعة القالب
القالب المستخدم في هذا التشغيل السريع من قوالب Azure Quickstart:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
مورد Azure المحدد في القالب هو:
- Microsoft.KeyVault/managedHSMs: إنشاء Azure Key Vault Managed HSM.
نشر القالب
يتطلب القالب آي دي عنصر مرتبطاً بحسابك. للعثور عليه، استخدم أمر "Azure CLI az ad user show"، ما يؤدي إلى تجاوز عنوان بريدك الإلكتروني إلى --id المعلمة. يمكنك تقييد النتائج إلى آي دي العنصر فقط باستخدام المعلمة --query.
az ad user show --id <your-email-address> --query "objectId"
قد تحتاج كذلك إلى آي دي المستأجر الخاص بك. للعثور عليه، استخدم أمر " Azure CLI az ad user show". يمكنك تقييد النتائج إلى آي دي المستأجر فقط باستخدام المعلمة --query.
az account show --query "tenantId"
يمكنك الآن نشر قالب ARM:
حدد الصورة التالية لتسجيل الدخول إلى Azure وفتح قالب. يقوم القالب بإنشاء HSM مدار.
حدد القيم التالية أو أدخلها. ما لم يتم تحديده، استخدم القيمة الافتراضية لإنشاء HSM المدار.
- الاشتراك: تحديد اشتراك Azure.
- Resource group: حدد Create new، وأدخل "myResourceGroup" كاسم، ثم حدد OK.
- Location: حدد موقعاً. على سبيل المثال، East US 2.
- managedHSMName: أدخل اسماً لـ HSM المُدار.
- آي دي المستأجر: تقوم دالة القالب تلقائياً باسترداد آي دي المستأجر الخاص بك؛ فلا تقم بتغيير القيمة الافتراضية. إذا لم تكن هناك قيمة، أدخل معرف المستأجر الذي قمت باسترداده أعلاه.
- initialAdminObjectIds: أدخل معرف الكائن الذي قمت باسترداده أعلاه.
حدد شراء. بعد نشر HSM المُدار بنجاح، سيصلك إشعار:
يُستخدم مدخل Microsoft Azure لنشر القالب. بالإضافة إلى بوابة Azure، يمكنك أيضًا استخدام Azure PowerShell، Azure CLI, and REST API. لمعرفة طرق النشر الأخرى، راجع نشر القوالب.
التحقُّق من صحة عملية النشر
يمكنك التحقق من إنشاء HSM المدار باستخدام الأمر Azure CLI az keyvault list . ستجد الإخراج أسهل للقراءة إذا قمت بتنسيق النتائج كجدول:
az keyvault list -o table
يجب أن ترى اسم HSM المدار الذي تم إنشاؤه حديثا.
تنظيف الموارد
يعتمد البدء السريع والبرامج التعليمية الأخرى في هذه المجموعة على هذا البدء السريع. إذا كنت تخطط لمواصلة العمل مع الخطوات السريعة والبرامج التعليمية اللاحقة، فقد ترغب في ترك هذه الموارد في مكانها.
يمكنك، عند عدم الحاجة إلى ذلك، استخدام الأمر az group delete في Azure CLI لإزالة مجموعة الموارد وجميع الموارد ذات الصلة:
az group delete --name "myResourceGroup"
تحذير
يؤدي حذف مجموعة الموارد إلى وضع HSM المُدار في حالة حذف مبدئي. ستستمر فوترة HSM المُدار حتى تتم إزالته. راجع حماية الحذف المبدئي وإزالة HSM المُدار
الخطوات التالية
في هذا التشغيل السريع، قمت بإنشاء HSM مُدار. لن يعمل HSM المُدار بشكل كامل حتى يتم تفعيله. اطلع على تفعيل HSM المُدار لمعرفة كيفية تفعيل HSM.