Rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI
V tomto rychlém startu vytvoříte a aktivujete spravovaný HSM služby Azure Key Vault (modul hardwarového zabezpečení) pomocí Azure CLI. Spravovaný HSM je plně spravovaná, vysoce dostupná cloudová služba kompatibilní s jedním tenantem, která umožňuje chránit kryptografické klíče pro cloudové aplikace s využitím ověřených HSM úrovně 140-2 FIPS 2 . Další informace o spravovaném HSM najdete v přehledu.
Požadavky
Abyste mohli dokončit kroky v tomto článku, musíte mít:
- Předplatné služby Microsoft Azure. Pokud ho nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
- Azure CLI verze 2.25.0 nebo novější. Verzi zjistíte spuštěním příkazu
az --version
. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace rozhraní příkazového řádku Azure CLI.
Azure Cloud Shell
Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.
Spuštění služby Azure Cloud Shell:
Možnost | Příklad nebo odkaz |
---|---|
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu. | |
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči. | |
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal. |
Použití Azure Cloud Shellu:
Spusťte Cloud Shell.
Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.
Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.
Stisknutím klávesy Enter spusťte kód nebo příkaz.
Přihlášení k Azure
Pokud se chcete přihlásit k Azure pomocí rozhraní příkazového řádku, můžete zadat:
az login
Vytvoření skupiny zdrojů
Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Následující příklad vytvoří skupinu prostředků ContosoResourceGroup v norskoeast umístění.
az group create --name "ContosoResourceGroup" --location norwayeast
Vytvoření spravovaného HSM
Vytvoření spravovaného HSM je dvoustupňový proces:
- Zřízení spravovaného prostředku HSM
- Aktivujte spravovaný HSM stažením artefaktu označovaného jako doména zabezpečení.
Zřízení spravovaného HSM
az keyvault create
Pomocí příkazu vytvořte spravovaný HSM. Tento skript má tři povinné parametry: název skupiny prostředků, název HSM a zeměpisné umístění.
Pokud chcete vytvořit spravovaný prostředek HSM, musíte zadat následující vstupy:
- Skupina prostředků, ve které se umístí do vašeho předplatného.
- Umístění Azure
- Seznam počátečních správců
Následující příklad vytvoří HSM s názvem ContosoMHSM ve skupině prostředků ContosoResourceGroup, která se nachází v umístění Norsko – východ , s aktuálním přihlášeným uživatelem jako jediným správcem s 7denní dobou uchování pro obnovitelné odstranění. Spravovaný HSM se bude dál účtovat, dokud se nevyprázdní v období obnovitelného odstranění. Další informace najdete v tématu Obnovitelné odstranění a vyprázdnění spravovaného HSM a další informace o obnovitelném odstranění spravovaného HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "norwayeast" --administrators $oid --retention-days 7
Poznámka:
Pokud spravované identity používáte jako počáteční správce spravovaného HSM, měli byste zadávat identifikátor OID/PrincipalID spravovaných identit po --administrators, a ne ID klienta.
Poznámka:
Vytvoření příkazu může trvat několik minut. Jakmile se úspěšně vrátí, budete připraveni k aktivaci hsm.
Upozorňující
Spravované instance HSM se považují za vždy používané. Pokud se rozhodnete povolit ochranu před vymazáním pomocí příznaku --enable-purge-protection
, bude se vám účtovat celá doba uchovávání.
Výstup tohoto příkazu zobrazuje vlastnosti spravovaného HSM, které jste vytvořili. Dvě nejdůležitější vlastnosti jsou:
- name: V příkladu je název ContosoMHSM. Tento název použijete pro jiné příkazy.
- hsmUri: V příkladu je identifikátor URI 'https://contosohsm.managedhsm.azure.net.' Aplikace, které používají hsm prostřednictvím rozhraní REST API, musí používat tento identifikátor URI.
Váš účet Azure má teď oprávnění provádět všechny operace s tímto spravovaným HSM. Zatím nikdo jiný nemá oprávnění.
Aktivace spravovaného HSM
Všechny příkazy roviny dat jsou zakázány, dokud se neaktivuje HSM. Nebudete například moct vytvářet klíče ani přiřazovat role. HsM můžou aktivovat jenom určené správce, kteří byli přiřazeni během příkazu create. Pokud chcete aktivovat HSM, musíte stáhnout doménu zabezpečení.
K aktivaci HSM budete potřebovat:
- Poskytnutí minimálně tří párů klíčů RSA (maximálně 10)
- Určení minimálního počtu klíčů potřebných k dešifrování domény zabezpečení (označované jako kvorum)
K aktivaci HSM odešlete do HSM alespoň tři veřejné klíče RSA (maximálně 10). HsM zašifruje doménu zabezpečení pomocí těchto klíčů a odešle ji zpět. Po úspěšném dokončení stahování této domény zabezpečení je váš HSM připravený k použití. Musíte také zadat kvorum, což je minimální počet privátních klíčů potřebných k dešifrování domény zabezpečení.
Následující příklad ukazuje, jak použít openssl
k vygenerování tří certifikátů podepsaných svým držitelem.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Poznámka:
I v případě, že platnost certifikátu vypršela, je možné ho použít k obnovení domény zabezpečení.
Důležité
Vytvořte a uložte páry klíčů RSA a soubor domény zabezpečení vygenerovaný v tomto kroku bezpečně.
az keyvault security-domain download
Pomocí příkazu stáhněte doménu zabezpečení a aktivujte spravovaný HSM. Následující příklad používá tři páry klíčů RSA (pro tento příkaz jsou potřeba pouze veřejné klíče) a nastaví kvorum na dva.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Bezpečně uložte soubor domény zabezpečení a páry klíčů RSA. Budete je potřebovat pro zotavení po havárii nebo pro vytvoření jiného spravovaného HSM, který sdílí stejnou doménu zabezpečení, aby tyto dva klíče mohly sdílet.
Po úspěšném stažení domény zabezpečení bude váš HSM v aktivním stavu a připravený k použití.
Vyčištění prostředků
Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.
Pokud už je nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete. Prostředky můžete odstranit následujícím způsobem:
az group delete --name ContosoResourceGroup
Upozorňující
Odstraněním skupiny prostředků se spravovaný HSM umístí do stavu obnovitelného odstranění. Spravovaný HSM se bude dál účtovat, dokud se nevyprázdní. Viz Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM
Další kroky
V tomto rychlém startu jste zřídili spravovaný HSM a aktivovali ho. Další informace o spravovaném HSM a o tom, jak ho integrovat s vašimi aplikacemi, najdete v těchto článcích.
- Přehled spravovaného HSM
- Informace o správě klíčů ve spravovaném HSM
- Informace o správě rolí pro spravovaný HSM
- Kontrola osvědčených postupů pro spravované HSM