Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Cloud HSM est un service à locataire unique validé FIPS 140-3 de niveau 3 hautement disponible qui vous permet de déployer des modules de sécurité matériels (HSM) à l’aide de différentes méthodes. Ces méthodes incluent Azure CLI, Azure PowerShell, les modèles Azure Resource Manager (modèles ARM), Terraform ou le portail Azure. Ce guide de démarrage rapide vous guide tout au long du processus de déploiement dans le portail Azure.
Conditions préalables
- Un compte Azure avec un abonnement actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
- Autorisations appropriées pour créer des ressources dans votre abonnement, notamment la possibilité de créer des ressources HSM et des identités managées.
- Pour les environnements de production, un réseau virtuel et un sous-réseau existants pour la configuration des points de terminaison privés.
Remarque
Si vous n’avez pas de réseau virtuel et de sous-réseau prêt, vous pouvez tout d’abord créer le HSM et ajouter la connectivité réseau ultérieurement. Nous vous recommandons vivement d’utiliser des points de terminaison privés pour les environnements de production, comme décrit dans la sécurité réseau pour le HSM cloud Azure.
Créer une ressource HSM Cloud Azure
Pour créer une ressource Azure Cloud HSM via le portail Azure :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Azure HSM Cloud.
Cliquez sur Créer.
Configurer les paramètres de base
Sous l’onglet Général :
Sélectionnez votre abonnement Azure.
Sélectionnez un groupe de ressources existant ou créez-en un.
Nous vous recommandons de déployer vos ressources HSM cloud dans un groupe de ressources distinct de vos ressources de réseau virtuel client et de machine virtuelle associées. Cette séparation offre une meilleure gestion et une meilleure isolation de la sécurité.
Spécifiez les valeurs Nom, Région et SKU (niveau produit).
Le nom du HSM doit être unique. Si vous spécifiez un nom de ressource HSM qui existe déjà dans la région choisie, votre déploiement échoue.
Conservez le paramètre de réutilisation du nom de domaine par défaut en tant que réutilisation du locataire. Ce paramètre permet d’empêcher la prise de contrôle malveillante de sous-domaines et de s’assurer que le nom de domaine complet (FQDN) ne peut être réutilisé que dans votre instance locataire.
Configurer une identité managée (facultatif)
Sous l’onglet Identité managée , tenez compte des options suivantes :
Aucune identité : sélectionnez cette option si vous ne prévoyez pas d’utiliser les opérations de sauvegarde et de restauration.
Par défaut, Azure Cloud HSM est défini sur No Identity , car il utilise principalement l’authentification basée sur mot de passe avec la gestion des utilisateurs gérée directement sur le HSM. Toutefois, pour les opérations de sauvegarde et de restauration, vous avez besoin d’une identité managée.
User-Assigned Identity : nous vous recommandons de sélectionner cette option pour la continuité d’activité et la récupération d’urgence (BCDR). Chaque cluster HSM cloud ne peut avoir qu’une seule identité managée, mais vous pouvez utiliser la même identité managée pour plusieurs HSM ou attribuer des identités différentes.
Pour obtenir des instructions détaillées sur la configuration d’une identité affectée par l’utilisateur pour les opérations de sauvegarde et de restauration, consultez Appliquer une identité managée et créer un compte de stockage.
Configurer la mise en réseau
Pour une connectivité sécurisée, établissez un point de terminaison privé vers azure Cloud HSM. Cette tâche nécessite un réseau virtuel existant.
Sous l’onglet Mise en réseau :
Sélectionnez l’abonnement qui contient votre réseau virtuel.
Sélectionnez votre réseau virtuel et votre sous-réseau.
Configurez les paramètres d’intégration dns (Domain Name System) en fonction des besoins.
Conseil / Astuce
Les points de terminaison privés sont essentiels pour la sécurité. Ils permettent des connexions sécurisées à Azure Cloud HSM via une liaison privée. Ces connexions garantissent que le trafic entre votre réseau virtuel et le service traverse le réseau principal Microsoft. Cette configuration élimine l’exposition à l’Internet public, comme décrit dans La sécurité réseau pour azure Cloud HSM.
Ajouter des balises (facultatif)
Les balises sont des paires nom/valeur qui vous aident à organiser et classer les ressources pour la gestion et la création de rapports. Sous l’onglet Balises , vous pouvez entrer des détails pour créer des balises. Cette étape est facultative mais recommandée pour l’organisation des ressources, en particulier dans les environnements d’entreprise.
Déployer votre ressource HSM cloud
Sous l’onglet Révision + Envoi :
Passez en revue tous les détails du module HSM, notamment les paramètres d’identité managée et de réseau.
Sélectionnez Créer pour commencer l’approvisionnement de votre ressource HSM Cloud Azure.
Le portail affiche Le déploiement est en cours pendant qu’il crée la ressource. Une fois le déploiement terminé, le portail affiche que votre déploiement est terminé.
Initialiser et configurer votre HSM
Vous ne pouvez pas activer ou configurer azure Cloud HSM via le portail. Vous devez utiliser le Kit de développement logiciel (SDK) Azure Cloud HSM et les outils clients.
Après avoir déployé votre ressource HSM cloud, procédez comme suit :
Téléchargez et installez le SDK Azure Cloud HSM à partir de GitHub sur une machine virtuelle qui dispose d’une connectivité réseau à votre HSM.
Initialisez et configurez votre HSM en suivant les étapes détaillées du guide d’intégration du HSM Cloud Azure.
Établissez la gestion des utilisateurs avec les agents de chiffrement et les utilisateurs appropriés, comme décrit dans gestion des utilisateurs dans Azure Cloud HSM.
Implémentez des pratiques de gestion de clés appropriées pour garantir une sécurité et des performances optimales, comme indiqué dans la gestion des clés dans azure Cloud HSM.
Nettoyer les ressources
Si vous avez créé un groupe de ressources uniquement pour ce guide de démarrage rapide et que vous n’avez pas besoin de conserver ces ressources, vous pouvez supprimer l’ensemble du groupe de ressources :
Dans le portail Azure, accédez au groupe de ressources qui contient vos ressources HSM cloud.
Sélectionnez Supprimer le groupe de ressources.
Entrez le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.
Résoudre les problèmes de déploiement courants
Si vous rencontrez des problèmes pendant le déploiement :
- Conflits de nom de ressource : vérifiez que votre nom HSM est unique dans la région. Si le déploiement échoue à cause d'un conflit de nommage, utilisez un autre nom.
- Problèmes de connectivité réseau : vérifiez que votre machine virtuelle dispose d’un accès réseau approprié au HSM. Pour connaître les meilleures pratiques, passez en revue la sécurité réseau pour le HSM cloud Azure.
- Échecs d’authentification : vérifiez que vous utilisez le format correct pour les informations d’identification, comme détaillé dans l’authentification dans Azure Cloud HSM.
- Erreurs de connexion du client : vérifiez que le client Azure Cloud HSM est en cours d’exécution et correctement configuré. Pour connaître les problèmes courants de connexion client, consultez Résoudre les problèmes liés au HSM Cloud Azure.