Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento rychlý start ukazuje, jak pomocí šablony Azure Resource Manageru (šablony ARM) vytvořit spravovaný HSM služby Azure Key Vault. Spravovaný HSM je plně spravovaná, vysoce dostupná cloudová služba určená pro jednoho nájemce, která umožňuje chránit kryptografické klíče pro cloudové aplikace s využitím ověřených HSM splňujících standard FIPS 140-3 úroveň 3. Další informace o spravovaném HSM najdete v přehledu.
Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.
Pokud vaše prostředí splňuje požadavky a jste obeznámeni s používáním šablon ARM, vyberte tlačítko Nasazení do Azure. Šablona se otevře na portálu Azure.
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Kontrola šablony
V tomto rychlém startu se používá šablona z šablon Azure Pro rychlý start:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
Šablona definuje následující prostředek Azure:
- Microsoft.KeyVault/managedHSMs: Vytvoření spravovaného HSM služby Azure Key Vault
Nasazení šablony
Šablona vyžaduje ID objektu přidružené k vašemu účtu. Pokud ho chcete najít, použijte příkaz Azure CLI az ad user show a předejte mu e-mailovou adresu jako parametr--id. Výstup můžete omezit pouze na ID objektu pomocí parametru --query .
az ad user show --id <user-email> --query "id"
Možná budete potřebovat i ID tenanta. Pokud ho chcete najít, použijte příkaz Az ad user show v Azure CLI. Výstup můžete omezit pouze na ID tenanta pomocí parametru --query .
az account show --query "tenantId"
Teď můžete nasadit šablonu ARM:
Vyberte následující obrázek a přihlaste se k Azure a otevřete šablonu. Šablona vytvoří spravovaný HSM.
Vyberte nebo zadejte následující hodnoty. Pokud není zadáno, použijte výchozí hodnotu k vytvoření spravovaného HSM.
- Předplatné: Vyberte předplatné Azure.
- Skupina prostředků: Vyberte Vytvořit nový, zadejte název skupiny prostředků a pak vyberte OK.
- Umístění: Vyberte umístění. Například USA – východ.
- managedHSMName: Zadejte název spravovaného HSM.
- ID tenanta: Funkce šablony automaticky načte ID tenanta, neměňte výchozí hodnotu. Pokud žádná hodnota neexistuje, zadejte ID tenanta, které jste získali dříve.
- initialAdminObjectIds: Zadejte ID objektu, které jste získali dříve.
Vyberte Koupit. Po úspěšném nasazení spravovaného HSM se zobrazí oznámení:
Varování
Spravované instance HSM se vždy používají. Pokud povolíte ochranu před vymazáním pomocí příznaku --enable-purge-protection , platíte za celou dobu uchovávání.
K nasazení šablony se použije Azure Portal. Kromě webu Azure Portal můžete také použít také Azure PowerShell, Azure CLI a REST API. Další informace o dalších metodách nasazení najdete v tématu Nasazení šablon.
Ověření nasazení
Můžete ověřit, že spravovaný HSM byl vytvořen, pomocí příkazu Azure CLI az keyvault list. Naformátujte výsledky jako tabulku, aby se výstup snadněji četl:
az keyvault list -o table
Zobrazí se název nově vytvořeného spravovaného HSM.
Vyčištění prostředků
Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.
Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete v Azure CLI:
az group delete --name "myResourceGroup"
Varování
Odstraněním skupiny prostředků se spravovaný HSM umístí do stavu měkkého odstranění. Spravovaný HSM bude nadále účtován, dokud se neodstraní. Viz Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM
Další kroky
V tomto rychlém startu jste vytvořili spravovaný HSM. Tento spravovaný HSM není plně funkční, dokud ho neaktivujete. Informace o aktivaci HSM najdete v tématu Aktivace spravovaného HSM.
- Přečtěte si přehled spravovaného HSM.
- Přečtěte si o správě klíčů ve spravovaném HSM.
- Zkontrolujte zabezpečení nasazení spravovaného HSM Azure.