Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto rychlém startu vytvoříte a aktivujete modul hardwarového zabezpečení spravovaného hsM (Azure Key Vault) pomocí Azure CLI. Spravovaný HSM je plně spravovaná, vysoce dostupná cloudová služba určená pro jednoho nájemce, která umožňuje chránit kryptografické klíče pro cloudové aplikace s využitím ověřených HSM splňujících standard FIPS 140-3 úroveň 3. Další informace o spravovaném HSM najdete v přehledu.
Požadavky
Vyžaduje se Azure předplatné. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.
Potřebujete také:
- Azure CLI verze 2.25.0 nebo novější. Verzi zjistíte spuštěním příkazu
az --version. Pokud potřebujete nainstalovat nebo upgradovat, přečtěte si téma Instalace Azure CLI.
Azure Cloud Shell
Azure hostuje Azure Cloud Shell, interaktivní prostředí shellu, které můžete použít v prohlížeči. K práci se službami Azure můžete použít Bash nebo PowerShell s Cloud Shell. Pomocí Cloud Shell předinstalovaných příkazů můžete spustit kód v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.
Spuštění Azure Cloud Shell:
| Možnost | Příklad nebo odkaz |
|---|---|
| Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Když vyberete Try It automaticky nekopíruje kód nebo příkaz do Cloud Shell. |
|
| Přejděte na https://shell.azure.com nebo vyberte tlačítko Cloud Shell a otevřete Cloud Shell v prohlížeči. |
|
| Vyberte tlačítko Cloud Shell na řádku nabídek v pravém horním rohu portálu Azure. |
|
Použití Azure Cloud Shell:
Spusťte Cloud Shell.
Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.
Vložte kód nebo příkaz do relace Cloud Shell tak, že vyberete Ctrl+Shift+V na Windows a Linuxu, nebo výběrem Cmd+Shift+V v systému macOS.
Stisknutím klávesy Enter spusťte kód nebo příkaz.
Přihlášení k Azure
Pokud se chcete přihlásit k Azure pomocí rozhraní příkazového řádku, zadejte:
az login
Další informace o možnostech ověřování prostřednictvím rozhraní příkazového řádku najdete v tématu Sign in with Azure CLI.
Vytvoření skupiny zdrojů
Skupina prostředků je logický kontejner, do kterého se nasazují a spravují Azure prostředky. Pomocí příkazu az group create vytvořte skupinu prostředků myResourceGroup v lokalitě eastus.
az group create --name "myResourceGroup" --location "EastUS"
Vytvoření spravovaného HSM
Vytvoření spravovaného HSM je dvoustupňový proces:
- Zřízení spravovaného prostředku HSM
- Aktivujte spravovaný HSM stažením artefaktu nazývaného jako doména zabezpečení.
Zřízení spravovaného HSM
az keyvault create Pomocí příkazu vytvořte spravovaný HSM. Tento skript má tři povinné parametry: název skupiny prostředků, název HSM a zeměpisné umístění.
Pokud chcete vytvořit spravovaný prostředek HSM, zadejte následující vstupy:
Název spravovaného HSM: Řetězec 3 až 24 znaků, který může obsahovat pouze čísla (0–9), písmena (a-z, A-Z) a pomlčky (-).
Důležité
Každý spravovaný HSM musí mít jedinečný název. V následujících příkladech nahraďte
<hsm-name>vlastním jedinečným názvem spravovaného HSM.Název skupiny prostředků: myResourceGroup.
Umístění: EastUS.
Seznam počátečních správců
Následující příklad vytvoří HSM pojmenovaný <hsm-name> ve skupině prostředků myResourceGroup, umístěné v lokalitě EastUS, s přihlášeným uživatelem jako jediným správcem a 7denní dobou uchování pro měkké smazání. Spravované HSM budete dál platit, dokud nebude odstraněno v období měkkého odstranění. Další informace najdete v tématu Obnovitelné odstranění a vyprázdnění spravovaného HSM a další informace o obnovitelném odstranění spravovaného HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Poznámka:
Pokud spravované identity používáte jako počáteční správce spravovaného HSM, zadejte identifikátor OID/PrincipalID spravovaných identit za --administrators a ne ID klienta.
Poznámka:
Vytvoření příkazu může trvat několik minut. Jakmile úspěšně proběhne návrat, jste připraveni aktivovat váš HSM.
Varování
Spravované instance HSM se vždy používají. Pokud povolíte ochranu před vymazáním pomocí příznaku --enable-purge-protection , platíte za celou dobu uchovávání.
Výstup tohoto příkazu zobrazuje vlastnosti spravovaného HSM, který jste vytvořili. Dvě nejdůležitější vlastnosti jsou:
- name: Zadaný název. Tento název použijete pro jiné příkazy.
-
hsmUri: Identifikátor URI vašeho HSM (například
https://<hsm-name>.managedhsm.azure.net). Aplikace, které používají hsm prostřednictvím rozhraní REST API, musí používat tento identifikátor URI.
Váš účet Azure teď má oprávnění provádět jakékoli operace s tímto spravovaným HSM. Zatím nikdo jiný nemá oprávnění.
Aktivace spravovaného HSM
Všechny příkazy datové roviny jsou zakázané, dokud neaktivujete HSM. Nemůžete vytvářet klíče ani přiřazovat role. Modul hardwarového zabezpečení můžou aktivovat jenom určení správci, které přiřadíte během příkazu create. Pokud chcete aktivovat HSM, musíte stáhnout doménu zabezpečení.
K aktivaci HSM potřebujete:
- Minimálně tři páry klíčů RSA (maximálně 10)
- Minimální počet klíčů potřebných k dešifrování zabezpečené domény (označované jako kvorum)
Do HSM odešlete alespoň tři veřejné klíče RSA (maximálně 10). HsM zašifruje doménu zabezpečení pomocí těchto klíčů a odešle ji zpět. Po úspěšném dokončení stahování domény zabezpečení je váš HSM připravený k použití. Musíte také zadat kvorum, což je minimální počet privátních klíčů potřebných k dešifrování domény zabezpečení.
Následující příklad ukazuje, jak použít openssl k vygenerování tří certifikátů podepsaných svým držitelem:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Datum vypršení platnosti certifikátu nemá vliv na operace domény zabezpečení – k obnovení domény zabezpečení je možné použít i certifikát s vypršenou platností.
Důležité
Tyto privátní klíče RSA jsou kořenem důvěryhodnosti spravovaného HSM. V produkčních prostředích vygenerujte tyto klíče pomocí systému s mezerami vzduchu nebo místního HSM a bezpečně je uložte. Podrobné pokyny najdete v tématu Osvědčené postupy pro doménu zabezpečení .
Pomocí příkazu az keyvault security-domain download stáhněte doménu zabezpečení a aktivujte svůj spravovaný HSM. Následující příklad používá tři páry klíčů RSA (pro tento příkaz jsou potřeba pouze veřejné klíče) a nastaví kvorum na dva.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Bezpečně uložte soubor domény zabezpečení a páry klíčů RSA. Potřebujete je pro zotavení po havárii nebo pro vytvoření jiného spravovaného HSM, který sdílí stejnou doménu zabezpečení, aby oba mohli sdílet klíče.
Po úspěšném stažení domény zabezpečení je váš HSM v aktivním stavu a připravený k použití.
Vyčištění prostředků
Další rychlé návody a kurzy v této kolekci jsou založeny na tomto rychlém návodu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.
Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz Azure CLI az group delete:
az group delete --name "myResourceGroup"
Varování
Odstraněním skupiny prostředků se spravovaný HSM umístí do stavu měkkého odstranění. Spravovaný HSM bude nadále účtován, dokud se neodstraní. Viz Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM
Další kroky
V tomto rychlém startu jste zřídili spravovaný HSM a aktivovali ho. Další informace o spravovaném HSM a o tom, jak ho integrovat s vašimi aplikacemi, najdete v těchto článcích.
- Přečtěte si Přehled spravovaného HSM
- Informace o správě klíčů ve spravovaném HSM
- Informace o správě rolí pro spravovaný HSM
- Zkontrolujte Bezpečte si nasazení spravovaného HSM Azure