Rövid útmutató: Felügyelt HSM létrehozása ARM-sablonnal

Ez a rövid útmutató azt ismerteti, hogyan hozhat létre Azure Key Vault által felügyelt HSM-et egy Azure Resource Manager-sablon (ARM-sablon) használatával. A felügyelt HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a felhőalkalmazások titkosítási kulcsainak védelmét a FIPS 140-2 3 . szintű hitelesített HSM-ekkel.

Az Azure Resource Manager-sablon egy JavaScript Object Notation (JSON) fájl, amely meghatározza a projekt infrastruktúráját és konfigurációját. A sablon deklaratív szintaxist használ. Az üzembe helyezés létrehozásához szükséges programozási parancsok sorozatának megírása nélkül írhatja le a tervezett üzembe helyezést.

Ha a környezet megfelel az előfeltételeknek, és már ismeri az ARM-sablonokat, kattintson az Üzembe helyezés az Azure-ban gombra. A sablon az Azure Portalon fog megnyílni.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

A sablon áttekintése

Az ebben a rövid útmutatóban használt sablon az Azure gyorsindítási sablonjaiból származik:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

A sablonban definiált Azure-erőforrás a következő:

• Microsoft.KeyVault/managedHSMs: Azure Key Vault által felügyelt HSM létrehozása.

A sablon üzembe helyezése

A sablonhoz a fiókhoz társított objektumazonosító szükséges. A kereséshez használja az Azure CLI az ad user show parancsot, és adja át az e-mail-címét a --id paraméternek. A kimenetet csak a paraméterrel korlátozhatja az objektumazonosítóra --query .

az ad user show --id <your-email-address> --query "objectId"

Szükség lehet a bérlőazonosítóra is. A kereséshez használja az Azure CLI az ad user show parancsot. A kimenetet csak a paraméterrel korlátozhatja a bérlőazonosítóra --query .

az account show --query "tenantId"

Most már üzembe helyezheti az ARM-sablont:

1. Kattintson az alábbi gombra az Azure-ba való bejelentkezéshez és egy sablon megnyitásához. A sablon létrehoz egy felügyelt HSM-et.

   

2. Válassza ki vagy adja meg a következő értékeket. Ha nincs megadva, használja az alapértelmezett értéket a felügyelt HSM létrehozásához.

   • Előfizetés: válasszon ki egy Azure-előfizetést.
   • Erőforráscsoport: Válassza az Új létrehozása lehetőséget, adja meg a "myResourceGroup" nevet, majd kattintson az OK gombra.
   • Hely: Válasszon egy helyet. Például az USA 2. keleti régiója.
   • managedHSMName: Adja meg a felügyelt HSM nevét.
   • Bérlőazonosító: A sablonfüggvény automatikusan lekéri a bérlőazonosítót, ne módosítsa az alapértelmezett értéket. Ha nincs érték, adja meg a fent lekért bérlőazonosítót.
   • initial Rendszergazda ObjectIds: Adja meg a fent lekért objektumazonosítót.

3. Válassza a Vásárlás lehetőséget. A felügyelt HSM sikeres üzembe helyezése után értesítést kap:

Az Azure Portalon helyezhető üzembe a sablon. Az Azure Portalon kívül használhatja az Azure PowerShellt, az Azure CLI-t és a REST API-t is. Az egyéb üzembehelyezési módszerekről a Sablonok üzembe helyezése című témakörben olvashat.

Az üzembe helyezés ellenőrzése

Ellenőrizheti, hogy a felügyelt HSM az Azure CLI az keyvault list paranccsal lett-e létrehozva. A kimenet könnyebben olvasható lesz, ha táblázatként formázza az eredményeket:

az keyvault list -o table

Látnia kell az újonnan létrehozott felügyelt HSM nevét.

Az erőforrások eltávolítása

A gyűjtemény részét képező többi rövid útmutató és oktatóanyag erre a rövid útmutatóra épül. Ha azt tervezi, hogy az ezt követő rövid útmutatókkal és oktatóanyagokkal dolgozik tovább, ne törölje ezeket az erőforrásokat.

Ha már nincs rá szükség, az Azure CLI az group delete parancsával eltávolíthatja az erőforráscsoportot és az összes kapcsolódó erőforrást:

az group delete --name "myResourceGroup"

Figyelmeztetés

Az erőforráscsoport törlésével a felügyelt HSM helyreállíthatóan törölt állapotba kerül. A felügyelt HSM számlázása a törlésig folytatódik. Lásd: Managed HSM puha törlés és törlési védelem

Következő lépések

Ebben a rövid útmutatóban létrehozott egy felügyelt HSM-et. Ez a felügyelt HSM csak akkor működik teljes mértékben, ha aktiválódik. A HSM aktiválásáról további információt a felügyelt HSM aktiválása című témakörben talál.

• A felügyelt HSM áttekintése
• Tudnivalók a kulcsok felügyelt HSM-ben való kezeléséről
• A felügyelt HSM ajánlott eljárásainak áttekintése