Felügyelt HSM kezelése az Azure CLI használatával
Megjegyzés
A Key Vault két erőforrástípust támogat: a tárolókat és a felügyelt HSM-eket. Ez a cikk a felügyelt HSM-ről szól. Ha meg szeretné tudni, hogyan kezelheti a tárolókat, olvassa el a Key Vault kezelése az Azure CLI használatával című témakört.
A felügyelt HSM áttekintése: Mi a felügyelt HSM?
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Előfeltételek
A cikk lépéseinek elvégzéséhez a következő elemeket kell tartalmaznia:
- Egy Microsoft Azure-előfizetésre. Ha még nincs fiókja, regisztráljon egy ingyenes próbaverzióra.
- Az Azure CLI 2.25.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt:
az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket. - Felügyelt HSM az előfizetésben. Lásd : Rövid útmutató: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM kiépítéséhez és aktiválásához.
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsokkal futtathatja a kódot ebben a cikkben anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
| Beállítás | Példa/hivatkozás |
|---|---|
| Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőséget választva nem másolja automatikusan a kódot vagy a parancsot a Cloud Shell. |  |
| Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. |  |
| Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. |  |
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy parancsot a Cloud Shell munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval.
A kód vagy parancs futtatásához válassza az Enter lehetőséget.
Bejelentkezés az Azure-ba
Ha a parancssori felülettel szeretne bejelentkezni az Azure-ba, írja be a következőt:
az login
A cli-n keresztüli bejelentkezési lehetőségekről további információt az Azure CLI-vel való bejelentkezésről szóló cikkben talál.
Megjegyzés
Az alábbi parancsok két használati módszert mutatnak. Az egyik a --hsm-name és a --name (kulcsnév) paramétereket használja, a másik pedig az --id paramétert, ahol teljes URL-címet adhat meg, beleértve a kulcsnevet is, ha szükséges. Ez utóbbi módszer akkor hasznos, ha a hívó (felhasználó vagy alkalmazás) nem rendelkezik olvasási hozzáféréssel a vezérlősíkon, és csak az adatsíkon korlátozott hozzáféréssel rendelkezik.
Megjegyzés
A kulcsfontosságú anyagokkal való egyes interakciókhoz meghatározott helyi RBAC-engedélyekre van szükség. A beépített helyi RBAC-szerepkörök és engedélyek teljes listájáért lásd: Felügyelt HSM helyi RBAC beépített szerepkörei. Az engedélyek felhasználóhoz rendeléséhez lásd: Biztonságos hozzáférés a felügyelt HSM-ekhez
HSM-kulcs létrehozása
Megjegyzés
A felügyelt HSM-be létrehozott vagy importált kulcs nem exportálható. Tekintse meg a legfontosabb hordozhatóságra és tartósságra vonatkozó ajánlott eljárásokat.
Kulcs létrehozásához használja az keyvault key create a parancsot.
RSA-kulcs létrehozása
Az alábbi példa bemutatja, hogyan hozhat létre egy 3072 bites RSA-kulcsot , amelyet csak wrapKey, unwrapKey műveletekhez (--ops) használunk.
az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
Vegye figyelembe, hogy a get művelet csak a nyilvános kulcsot és a kulcsattribútumokat adja vissza. Nem adja vissza a titkos kulcsot (aszimmetrikus kulcs esetén vagy a kulcs anyagát (szimmetrikus kulcs esetén).
EC-kulcs létrehozása
Az alábbi példa bemutatja, hogyan hozhat létre egy OLYAN P-256-görbével rendelkező EC-kulcsot , amelyet csak aláírási és ellenőrzési műveletekhez (--ops) használnak, és két címkével, használattal és alkalmazásnévvel rendelkezik. A címkék segítségével további metaadatokat adhat hozzá a kulcshoz a nyomon követés és kezelés érdekében.
az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
256 bites szimmetrikus kulcs létrehozása
Az alábbi példa bemutatja, hogyan hozhat létre egy 256 bites szimmetrikus kulcsot, amelyet csak titkosítási és visszafejtési műveletekhez (--ops) használnak.
az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt --tags --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256
Kulcsattribútumok és címkék megtekintése
A az keyvault key show paranccsal megtekintheti egy kulcs attribútumait, verzióit és címkéit.
az keyvault key show --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Listakulcsok
A az keyvault key list paranccsal listázhatja a felügyelt HSM összes kulcsát.
az keyvault key list --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/
Kulcs törlése
A az keyvault key delete paranccsal törölhet egy kulcsot egy felügyelt HSM-ből. Vegye figyelembe, hogy a helyreállítható törlés mindig be van kapcsolva. Ezért a törölt kulcs törölt állapotban marad, és helyreállítható mindaddig, amíg el nem telt a kulcs végleges törlésekor (véglegesen törölve) eltelt megőrzési napok száma, és a helyreállítás nem lehetséges.
az keyvault key delete --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Törölt kulcsok listázása
A az keyvault key list-deleted paranccsal listázhatja a törölt állapotban lévő összes kulcsot a felügyelt HSM-ben.
az keyvault key list-deleted --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/
Törölt kulcsok helyreállítása (törlésének visszavonása)
A az keyvault key list-deleted paranccsal listázhatja a törölt állapotban lévő összes kulcsot a felügyelt HSM-ben. Ha egy törölt kulcs helyreállításakor a --id paraméterrel kell helyreállítania (undelete) egy kulcsot, jegyezze fel a recoveryId parancsból az keyvault key list-deleted beszerzett törölt kulcs értékét.
az keyvault key recover --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Kulcs végleges törlése (végleges törlése)
A az keyvault key purge paranccsal törölhet (véglegesen törölhet) egy kulcsot.
Megjegyzés
Ha a felügyelt HSM-nek engedélyezve van a végleges törlés elleni védelem, a végleges törlési művelet nem lesz engedélyezve. A kulcs automatikusan törlődik a megőrzési időszak leteltével.
az keyvault key purge --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Egyetlen kulcsos biztonsági mentés létrehozása
Kulcs az keyvault key backup biztonsági mentésének létrehozása. A biztonsági mentési fájl egy titkosított blob, amely kriptográfiailag a forrás HSM biztonsági tartományához van kötve. Csak olyan HSM-ekben állítható vissza, amelyek ugyanazon a biztonsági tartományon osztoznak. További információ a biztonsági tartományról.
az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Egyetlen kulcs visszaállítása biztonsági másolatból
Egyetlen kulcs visszaállítására használható az keyvault key restore . A biztonsági mentést létrehozó forrás HSM-nek ugyanazzal a biztonsági tartománnyal kell rendelkeznie, mint a cél HSM-nek, ahol a kulcs visszaállítása folyamatban van.
Megjegyzés
A visszaállítás nem lesz sikeres, ha egy azonos nevű kulcs aktív vagy törölt állapotban van.
az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Kulcs importálása fájlból
A az keyvault key import paranccsal importálhat egy kulcsot (csak RSA és EC) egy fájlból. A tanúsítványfájlnak titkos kulccsal kell rendelkeznie, és PEM-kódolást kell használnia (az RFCs 1421, 1422, 1423, 1424 kódban meghatározottak szerint).
az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --password 'mypassword'
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'
Ha a helyszíni HSM-ből szeretne kulcsot importálni a felügyelt HSM-be, olvassa el a HSM által védett kulcsok importálása felügyelt HSM-be (BYOK) című témakört.
Következő lépések
- A key vault parancsainak teljes Azure CLI-referenciáját lásd: Key Vault CLI-referencia.
- Programozási referenciákért tekintse meg az Azure Key Vault fejlesztői útmutatóját
- További információ a felügyelt HSM-szerepkörök kezeléséről
- További információ a felügyelt HSM ajánlott eljárásairól