Rövid útmutató: Felügyelt HSM kiépítése és aktiválása a PowerShell használatával
Ebben a rövid útmutatóban egy Azure Key Vault által felügyelt HSM-et (hardveres biztonsági modult) fog létrehozni és aktiválni a PowerShell-lel. A felügyelt HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a felhőalkalmazások titkosítási kulcsainak védelmét a FIPS 140-2 3 . szintű hitelesített HSM-ekkel. A felügyelt HSM-ről további információt az áttekintésben talál.
Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez az oktatóanyaghoz az Azure PowerShell-modul 1.0.0-s vagy újabb verziójára van szükség. Írja be $PSVersionTable.PSVersion
a verziót. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, akkor emellett a Connect-AzAccount
futtatásával kapcsolatot kell teremtenie az Azure-ral.
Connect-AzAccount
Erőforráscsoport létrehozása
Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az Azure PowerShell New-AzResourceGroup parancsmaggal hozzon létre egy myResourceGroup nevű erőforráscsoportot az eastus2 helyen.
New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"
Az egyszerű azonosító lekérése
Felügyelt HSM létrehozásához szüksége lesz a Microsoft Entra egyszerű azonosítóra. Az azonosító beszerzéséhez használja az Azure PowerShell Get-AzADUser parancsmagot, és adja meg az e-mail-címét a "UserPrincipalName" paraméternek:
Get-AzADUser -UserPrincipalName "<your@email.address>"
Az egyszerű azonosító a következő formátumban lesz visszaadva: "xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".
Felügyelt HSM létrehozása
Felügyelt HSM létrehozása kétlépéses folyamat:
- Felügyelt HSM-erőforrás kiépítése.
- Aktiválja a felügyelt HSM-et egy biztonsági tartomány nevű összetevő letöltésével.
Felügyelt HSM kiépítése
Új felügyelt HSM létrehozásához használja az Azure PowerShell New-AzKeyVaultManagedHsm parancsmagot. A következő információkat kell megadnia:
Felügyelt HSM-név: 3–24 karakterből álló sztring, amely csak számokat (0-9), betűket (a-z, A-Z) és kötőjeleket (-) tartalmazhat
Fontos
Minden felügyelt HSM-nek egyedi névvel kell rendelkeznie. Cserélje le <az egyedi-managed-hsm-nevét> a felügyelt HSM nevére az alábbi példákban.
Erőforráscsoport neve: myResourceGroup.
A hely: USA 2. keleti régiója.
Az egyszerű azonosító: Adja meg az utolsó szakaszban beszerzett Microsoft Entra-egyszerű azonosítót a "Rendszergazda istrator" paraméternek.
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Megjegyzés:
A létrehozási parancs eltarthat néhány percig. Miután sikeresen visszatért, készen áll a HSM aktiválására.
A parancsmag kimenete az újonnan létrehozott felügyelt HSM tulajdonságait jeleníti meg. Jegyezze fel ezt a két tulajdonságot:
- Név: A felügyelt HSM-hez megadott név.
- HsmUri: A példában ez https://< your-unique-managed-hsm-name.managedhsm.azure.net/>. A tárolót a REST API-ján keresztül használó alkalmazásoknak ezt az URI-t kell használniuk.
Ezen a ponton az Azure-fiók az egyetlen jogosult az új HSM-en végzett műveletek végrehajtására.
A felügyelt HSM aktiválása
A HSM aktiválásáig minden adatsík-parancs le van tiltva. Nem fog tudni kulcsokat létrehozni vagy szerepköröket hozzárendelni. Csak a létrehozási parancs során hozzárendelt kijelölt rendszergazdák aktiválhatják a HSM-et. A HSM aktiválásához le kell töltenie a biztonsági tartományt.
A HSM aktiválásához a következőkre lesz szüksége:
- Legalább három RSA kulcspár biztosítása (legfeljebb 10)
- A biztonsági tartomány (kvórum) visszafejtéséhez szükséges kulcsok minimális számának megadása
A HSM aktiválásához legalább három (legfeljebb 10) RSA nyilvános kulcsot kell elküldenie a HSM-nek. A HSM ezekkel a kulcsokkal titkosítja a biztonsági tartományt, és visszaküldi. A biztonsági tartomány letöltésének sikeres befejezése után a HSM készen áll a használatra. Meg kell adnia a kvórumot is, amely a biztonsági tartomány visszafejtéséhez szükséges titkos kulcsok minimális száma.
Az alábbi példa bemutatja, hogyan használható openssl
(a Windows esetében itt érhető el) három önaláírt tanúsítvány létrehozásához.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Fontos
Hozza létre és tárolja biztonságosan az ebben a lépésben létrehozott RSA-kulcspárokat és biztonsági tartományfájlt.
Az Azure PowerShell Export-AzKeyVaultSecurityDomain parancsmaggal töltse le a biztonsági tartományt, és aktiválja a felügyelt HSM-et. Az alábbi példa három RSA-kulcspárt használ (ehhez a parancshoz csak nyilvános kulcsokra van szükség), és a kvórum értékét kettőre állítja.
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Tárolja biztonságosan a biztonsági tartományfájlt és az RSA-kulcspárokat. Szüksége lesz rájuk vészhelyreállításhoz vagy egy másik felügyelt HSM létrehozásához, amely ugyanazzal a biztonsági tartománnyal rendelkezik, hogy a kettő meg tudja osztani a kulcsokat.
A biztonsági tartomány sikeres letöltése után a HSM aktív állapotban lesz, és készen áll a használatra.
Clean up resources
A gyűjtemény részét képező többi rövid útmutató és oktatóanyag erre a rövid útmutatóra épül. Ha azt tervezi, hogy az ezt követő rövid útmutatókkal és oktatóanyagokkal dolgozik tovább, ne törölje ezeket az erőforrásokat.
Ha már nincs rá szükség, az Azure PowerShell Remove-AzResourceGroup parancsmaggal eltávolíthatja az erőforráscsoportot és az összes kapcsolódó erőforrást.
Remove-AzResourceGroup -Name "myResourceGroup"
Figyelmeztetés:
Az erőforráscsoport törlésével a felügyelt HSM helyreállíthatóan törölt állapotba kerül. A felügyelt HSM számlázása a törlésig folytatódik. Lásd: Felügyelt HSM helyreállítható törlés és törlés elleni védelem
Következő lépések
Ebben a rövid útmutatóban létrehozott és aktivált egy felügyelt HSM-et. Ha többet szeretne megtudni a felügyelt HSM-ről és arról, hogyan integrálható az alkalmazásokkal, folytassa az alábbi cikkekkel:
- Az Azure Key Vault áttekintése
- Tekintse meg az Azure PowerShell Key Vault-parancsmagok hivatkozását
- Tekintse át a Key Vault biztonsági áttekintését