Inicio rápido: Creación de un HSM administrado mediante una plantilla de ARM
En este inicio rápido se describe cómo usar una plantilla de Azure Resource Manager (plantilla de ARM) para crear un HSM administrado de Azure Key Vault. Managed HSM es un servicio en la nube que cumple los estándares totalmente administrado, de alta disponibilidad y de un solo inquilino que le permite proteger las claves criptográficas de las aplicaciones en la nube mediante HSM validados de FIPS 140-2 de nivel 3.
Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Se describe la implementación deseada sin escribir la secuencia de comandos de programación para crear la implementación.
Si su entorno cumple los requisitos previos y está familiarizado con el uso de plantillas de Resource Manager, seleccione el botón Implementar en Azure. La plantilla se abrirá en Azure Portal.
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.
Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.
Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.
Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
Revisión de la plantilla
La plantilla que se usa en este inicio rápido forma parte de las plantillas de inicio rápido de Azure:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
El recurso de Azure definido en esta plantilla es:
- Microsoft.KeyVault/managedHSMs: creación de un HSM administrado de Azure Key Vault.
Implementación de la plantilla
La plantilla requiere el identificador de objeto asociado a la cuenta. Para encontrarlo, use el comando az ad user show de la CLI de Azure y pase su dirección de correo electrónico en el parámetro --id. Puede limitar la salida al identificador de objeto solo con el parámetro --query.
az ad user show --id <your-email-address> --query "objectId"
También puede necesitar su identificador de inquilino. Para encontrarla, use el comandoaz ad user show de la CLI de Azure. Puede limitar la salida al identificador de inquilino solo con el parámetro --query.
az account show --query "tenantId"
Ahora puede implementar la plantilla de ARM:
Seleccione la imagen siguiente para iniciar sesión en Azure y abrir una plantilla. La plantilla crea un HSM administrado.
Seleccione o escriba los siguientes valores. A menos que se especifique, use el valor predeterminado para crear el HSM administrado.
- Suscripción: Seleccione una suscripción de Azure.
- Grupo de recursos: seleccione Crear, escriba "miGrupoDeRecursos" como nombre y seleccione Aceptar.
- Ubicación: Seleccione una ubicación. Por ejemplo Este de EE. UU. 2.
- managedHSMName: escriba un nombre para el HSM administrado.
- Id. de inquilino: la función de la plantilla recupera automáticamente el identificador del inquilino; no cambie el valor predeterminado. Si no hay ningún valor, escriba el identificador de inquilino que recuperó anteriormente.
- initialAdminObjectIds: escriba el identificador de objeto que recuperó anteriormente.
Seleccione Comprar. Una vez implementado correctamente el HSM administrado, recibirá una notificación:
Azure Portal se usa para implementar la plantilla. Además de Azure Portal, también puede usar Azure PowerShell, la CLI de Azure y API REST. Para obtener información sobre otros métodos de implementación, consulte Implementación de plantillas.
Validación de la implementación
Puede comprobar que el HSM administrado se creó con el comando az keyvault list de la CLI de Azure. La salida se leerá más fácilmente si muestra los resultados como tabla:
az keyvault list -o table
Debería ver el nombre del HSM administrado recién creado.
Limpieza de recursos
Otras guías de inicio rápido y tutoriales de esta colección se basan en los valores de esta. Si tiene pensado seguir trabajando en otras guías de inicio rápido y tutoriales, considere la posibilidad de dejar estos recursos activos.
Cuando ya no se necesiten, puede usar el comando az group delete de la CLI de Azure para quitar el grupo de recursos y todos los recursos relacionados.
az group delete --name "myResourceGroup"
Advertencia
La eliminación del grupo de recursos coloca el HSM administrado en un estado de eliminación temporal. El HSM administrado se seguirá facturando hasta que se purgue. Consulte Eliminación temporal y protección de purga del HSM administrado.
Pasos siguientes
En este inicio rápido, ha creado un HSM administrado. Este HSM administrado no será completamente funcional hasta que se active. Para aprender a activar el HSM, consulte Activación del HSM administrado.
- Lea una introducción a Managed HSM
- Aprenda sobre la administración de claves en un HSM administrado.
- Consulte Procedimientos recomendados de Managed HSM