Felügyelt HSM kezelése az Azure CLI használatával
Feljegyzés
A Key Vault két erőforrástípust támogat: a tárolókat és a felügyelt HSM-eket. Ez a cikk a felügyelt HSM-ről szól. Ha szeretné megtudni, hogyan kezelheti a tárolókat, olvassa el a Key Vault kezelése az Azure CLI használatával című témakört.
A felügyelt HSM áttekintése: Mi az a felügyelt HSM?
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Előfeltételek
A cikk lépéseinek elvégzéséhez a következő elemeket kell tartalmaznia:
- Egy Microsoft Azure-előfizetés. Ha még nincs fiókja, regisztráljon egy ingyenes próbaverzióra.
- Az Azure CLI 2.25.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt:
az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket. - Felügyelt HSM az előfizetésben. Tekintse meg a rövid útmutatót: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM kiépítéséhez és aktiválásához.
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
| Lehetőség | Példa/hivatkozás |
|---|---|
| Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe. |  |
| Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. |  |
| Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. |  |
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.
A kód vagy parancs futtatásához válassza az Enter lehetőséget .
Bejelentkezés az Azure-ba
Ha be szeretne jelentkezni az Azure-ba a parancssori felülettel, írja be a következőt:
az login
A cli-n keresztüli bejelentkezési lehetőségekről további információt az Azure CLI-vel való bejelentkezéssel kapcsolatban talál .
Feljegyzés
Az alábbi parancsok két használati módszert mutatnak. Az egyik a --hsm-name és a --name (kulcsnév) paramétereket használja, a másik pedig --id paramétert, ahol megadhatja a teljes URL-címet, beleértve adott esetben a kulcsnevet is. Ez utóbbi módszer akkor hasznos, ha a hívó (felhasználó vagy alkalmazás) nem rendelkezik olvasási hozzáféréssel a vezérlősíkon, és csak korlátozott hozzáféréssel rendelkezik az adatsíkon.
Feljegyzés
A kulcsfontosságú anyagokkal való egyes interakciókhoz meghatározott helyi RBAC-engedélyekre van szükség. A beépített helyi RBAC-szerepkörök és -engedélyek teljes listájáért tekintse meg a felügyelt HSM helyi RBAC beépített szerepköreit. Ha ezeket az engedélyeket egy felhasználóhoz szeretné hozzárendelni, tekintse meg a felügyelt HSM-ekhez való biztonságos hozzáférést
HSM-kulcs létrehozása
Feljegyzés
A felügyelt HSM-be létrehozott vagy importált kulcs nem exportálható. Tekintse meg a legfontosabb hordozhatóság és tartósság ajánlott eljárásait.
Kulcs létrehozása parancs használatával az keyvault key create .
RSA-kulcs létrehozása
Az alábbi példa bemutatja, hogyan hozhat létre 3072 bites RSA-kulcsot, amelyet csak wrapKey, unwrapKey műveletekhez (--ops) használunk.
az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
Vegye figyelembe, hogy a get művelet csak a nyilvános kulcsot és a kulcsattribútumokat adja vissza. Nem adja vissza a titkos kulcsot (aszimmetrikus kulcs esetén vagy a kulcs anyagát (szimmetrikus kulcs esetén).
EC-kulcs létrehozása
Az alábbi példa bemutatja, hogyan hozhat létre olyan P-256-görbével rendelkező EC-kulcsot, amely csak aláírási és ellenőrzési műveletekhez (--ops) lesz használva, és két címkével, használattal és alkalmazásnévvel rendelkezik. A címkék segítségével további metaadatokat adhat hozzá a kulcshoz a nyomon követés és kezelés érdekében.
az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
256 bites szimmetrikus kulcs létrehozása
Az alábbi példa bemutatja, hogyan hozhat létre 256 bites szimmetrikus kulcsot, amelyet csak titkosítási és visszafejtési műveletekhez (--ops) használnak.
az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt --tags --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256
Kulcsattribútumok és címkék megtekintése
A parancs segítségével az keyvault key show megtekintheti egy kulcs attribútumait, verzióit és címkéit.
az keyvault key show --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Listakulcsok
A parancs használatával az keyvault key list listázhatja a felügyelt HSM összes kulcsát.
az keyvault key list --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/
Kulcs törlése
A parancs használatával az keyvault key delete törölhet egy kulcsot egy felügyelt HSM-ből. Vegye figyelembe, hogy a helyreállítható törlés mindig be van kapcsolva. Ezért a törölt kulcsok törölt állapotban maradnak, és mindaddig helyreállíthatók, amíg el nem telt azoknak a megőrzési napoknak a száma, amikor a kulcs törölve lesz (véglegesen törölve), és nincs lehetőség helyreállításra.
az keyvault key delete --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Törölt kulcsok listázása
A parancs használatával az keyvault key list-deleted listázhatja a felügyelt HSM törölt állapotában lévő összes kulcsot.
az keyvault key list-deleted --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/
Törölt kulcsok helyreállítása (törlésének visszavonása)
A parancs használatával az keyvault key list-deleted listázhatja a felügyelt HSM törölt állapotában lévő összes kulcsot. Ha a törölt kulcs helyreállításakor a --id paraméterrel kell helyreállítania (undelete) egy kulcsot, fel kell jegyeznie a recoveryId parancsból az keyvault key list-deleted beszerzett törölt kulcs értékét.
az keyvault key recover --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Kulcs törlése (végleges törlése)
A parancs használatával az keyvault key purge törölhet (véglegesen törölhet) egy kulcsot.
Feljegyzés
Ha a felügyelt HSM kiürítési védelemmel rendelkezik, a törlési művelet nem engedélyezett. A kulcs automatikusan törlődik a megőrzési időszak leteltével.
az keyvault key purge --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Egyetlen kulcsos biztonsági mentés létrehozása
Kulcsos biztonsági mentés létrehozásához használható az keyvault key backup . A biztonsági mentési fájl egy titkosított blob, amely kriptográfiailag a forrás HSM biztonsági tartományához van kötve. Csak ugyanazzal a biztonsági tartománnyal rendelkező HSM-ekben állítható vissza. További információ a biztonsági tartományról.
az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Egyetlen kulcs visszaállítása biztonsági másolatból
Egyetlen kulcs visszaállítására használható az keyvault key restore . A biztonsági mentést létrehozó forrás HSM-nek ugyanazzal a biztonsági tartománnyal kell rendelkeznie, mint a cél HSM-nek, ahol a kulcs visszaállítása folyamatban van.
Feljegyzés
A visszaállítás nem fog sikerülni, ha egy azonos nevű kulcs aktív vagy törölt állapotban van.
az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Kulcs importálása fájlból
A az keyvault key import paranccsal importálhat egy kulcsot (csak RSA és EC) egy fájlból. A tanúsítványfájlnak titkos kulccsal kell rendelkeznie, és PEM-kódolást kell használnia (az RFCs 1421, 1422, 1423, 1424 kódban meghatározottak szerint).
az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --password 'mypassword'
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'
Ha egy kulcsot szeretne importálni a helyszíni HSM-ből a felügyelt HSM-be, olvassa el a HSM által védett kulcsok importálása felügyelt HSM-be (BYOK) című témakört .
Következő lépések
- A Key Vault parancsainak teljes Azure CLI-referenciája: Key Vault CLI-referencia.
- Programozási hivatkozásokért tekintse meg az Azure Key Vault fejlesztői útmutatóját
- További információ a felügyelt HSM-szerepkörök kezeléséről
- További információ a felügyelt HSM ajánlott eljárásairól