Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka:
Key Vault podporuje dva typy prostředků: trezory a spravované HSM. Tento článek je o řízeném HSM. Pokud chcete zjistit, jak spravovat trezor, přečtěte si téma Správa služby Key Vault pomocí Azure CLI.
Přehled spravovaného HSM najdete v tématu Co je Managed HSM?
Požadavky
K dokončení kroků v tomto článku musíte mít následující položky:
- Předplatné Microsoft Azure. Pokud ho nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
- Azure CLI verze 2.25.0 nebo novější. Verzi zjistíte spuštěním příkazu
az --version. Pokud potřebujete nainstalovat nebo upgradovat, přečtěte si téma Instalace Azure CLI. - Spravovaný HSM ve vašem předplatném. Viz Rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI ke zřízení a aktivaci spravovaného HSM.
Azure Cloud Shell
Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Ke spolupráci se službami Azure můžete použít Bash nebo PowerShell s Cloud Shellem. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.
Spuštění Azure Cloud Shellu:
| Možnost | Příklad nebo odkaz |
|---|---|
| Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu. |
|
| Přejděte na https://shell.azure.com, nebo vyberte tlačítko Spustit Cloud Shell a otevřete Cloud Shell v prohlížeči. |
|
| Na řádku nabídek v pravém horním rohu webu Azure Portal vyberte tlačítko Cloud Shell. |
|
Použití Azure Cloud Shellu:
Spusťte Cloud Shell.
Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.
Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.
Stisknutím klávesy Enter spusťte kód nebo příkaz.
Přihlášení k Azure
Zadáním následujícího příkazu se přihlaste k Azure pomocí rozhraní příkazového řádku:
az login
Další informace o možnostech přihlášení prostřednictvím rozhraní příkazového řádku najdete v tématu Přihlášení pomocí Azure CLI.
Poznámka:
Všechny následující příkazy zobrazují dvě metody použití. Jeden způsob používající parametry --hsm-name a --name (pro název klíče) a druhý způsob používající parametr --id, kde můžete zadat celou adresu URL včetně názvu klíče, pokud je to vhodné. Druhá metoda je užitečná, když volající (uživatel nebo aplikace) nemá v řídicí rovině přístup pro čtení a pouze omezený přístup k rovině dat.
Poznámka:
Některé interakce s klíčovým materiálem vyžadují konkrétní místní oprávnění RBAC. Úplný seznam předdefinovaných místních rolí a oprávnění RBAC najdete v tématu Předdefinované role RBAC spravovaného HSM. Pokud chcete přiřadit tato oprávnění uživateli, přečtěte si téma Zabezpečení přístupu ke spravovaným hsM.
Vytvoření klíče HSM
Poznámka:
Klíč, který je vygenerovaný nebo importovaný do spravovaného HSM, nelze exportovat. Jedinou výjimkou pravidla bez exportu je vytvoření klíče s konkrétní zásadou vydání klíče. Tato zásada umožňuje exportovat klíč pouze do důvěryhodných důvěrných výpočetních prostředí (zabezpečených enkláv), které explicitně definujete. Tato omezená funkce exportu je určená pro konkrétní scénáře zabezpečeného výpočetního prostředí a není stejná jako export klíče pro obecné účely. Projděte si doporučené osvědčené postupy pro přenositelnost klíčů a odolnost.
Pomocí az keyvault key create příkazu vytvořte klíč.
Vytvoření klíče RSA
Tento příklad ukazuje, jak vytvořit 3072bitový klíč RSA , který se používá pouze pro operace wrapKey, unwrapKey (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
Všimněte si, že get operace vrací pouze veřejný klíč a atributy klíče. Nevrací privátní klíč (pokud asymetrický klíč) nebo materiál klíče (pokud symetrický klíč).
Vytvoření klíče EC
Následující příklad ukazuje, jak vytvořit klíč EC s křivkou P-256, která se použije pouze pro operace podepisování a ověřování (--ops) a má dvě značky, použití a název aplikace. Značky pomáhají přidat další metadata ke klíči pro sledování a správu.
az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
Vytvoření 256bitového symetrického klíče
Tento příklad ukazuje, jak vytvořit 256bitový symetrický klíč, který se použije jenom pro operace šifrování a dešifrování (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt --tags --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256
Zobrazení klíčových atributů a značek
Použijte příkaz az keyvault key show k zobrazení atributů, verzí a značek klíče.
az keyvault key show --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Seznam klíčů
Pomocí az keyvault key list příkazu vypíšete všechny klíče ve spravovaném HSM.
az keyvault key list --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/
Smazat klíč
Pomocí az keyvault key delete příkazu odstraňte klíč ze spravovaného HSM. Obnovitelné odstranění je vždy zapnuté. Odstraněný klíč proto zůstává v odstraněném stavu a je možné ho obnovit, dokud nepřejde počet dnů uchovávání, v jakém okamžiku se klíč vymaže (trvale odstraní) bez možného obnovení.
az keyvault key delete --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Výpis odstraněných klíčů
Pomocí az keyvault key list-deleted příkazu vypíšete všechny klíče v odstraněném stavu ve spravovaném HSM.
az keyvault key list-deleted --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/
Obnovení odstraněného klíče
Pomocí az keyvault key list-deleted příkazu vypíšete všechny klíče v odstraněném stavu ve spravovaném HSM. Pokud potřebujete obnovit (zrušit odstranění) klíče pomocí parametru --id při obnovování odstraněného klíče, musíte si poznamenat recoveryId hodnotu odstraněného klíče získaného az keyvault key list-deleted z příkazu.
az keyvault key recover --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Vyprázdnění (trvalé odstranění) klíče
Pomocí az keyvault key purge příkazu vyprázdníte (trvale odstraníte) klíč.
Poznámka:
Pokud má spravovaný HSM povolenou ochranu před vymazáním, operace vyprázdnění není povolená. Klíč se automaticky vymaže, když uplynula doba uchovávání.
az keyvault key purge --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Vytvořte zálohu jednoho klíče
Slouží az keyvault key backup k vytvoření zálohy klíče. Záložní soubor je šifrovaný blob kryptograficky svázaný s bezpečnostní doménou zdrojového HSM. Lze obnovit jenom v HSM, které sdílejí stejnou doménu zabezpečení. Přečtěte si další informace o doméně zabezpečení.
az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Obnovení jednoho klíče ze zálohy
Slouží az keyvault key restore k obnovení jednoho klíče. Zdrojový HSM, ve kterém se záloha vytvořila, musí sdílet stejnou doménu zabezpečení jako cílový HSM, ve kterém se klíč obnovuje.
Poznámka:
Obnovení nebude úspěšné, pokud klíč se stejným názvem existuje v aktivním nebo odstraněném stavu.
az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Import klíče ze souboru
K importu klíče (pouze RSA a EC) ze souboru použijte az keyvault key import příkaz. Soubor certifikátu musí mít privátní klíč a musí používat kódování PEM (jak je definováno v dokumentech RFCS 1421, 1422, 1423, 1424).
az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'
Pokud chcete importovat klíč z místního HSM do spravovaného HSM, přečtěte si téma Import klíčů chráněných HSM do spravovaného HSM (BYOK).
Další kroky
- Kompletní referenční informace k Azure CLI pro příkazy trezoru klíčů najdete v referenčních informacích k rozhraní příkazového řádku služby Key Vault.
- Referenční informace k programování najdete v příručce pro vývojáře ve službě Azure Key Vault.
- Zjistěte více o správě rolí v Managed HSM
- Další informace o osvědčených postupech spravovaného HSM