Mengelola HSM Terkelola menggunakan Azure CLI
Catatan
Key Vault mendukung dua jenis sumber daya: vault dan HSM terkelola. Artikel ini berisi dasarkan Managed HSM. Jika Anda ingin mempelajari cara mengelola vault, silakan lihat Mengelola Key Vault menggunakan Azure CLI.
Untuk gambaran umum tentang HSM Terkelola, lihat Apa itu HSM Terkelola?
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Prasyarat
Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda harus memiliki item berikut:
- Berlangganan Microsoft Azure. Jika tidak memilikinya, Anda dapat mendaftar untuk uji coba gratis.
- Azure CLI versi 2.25.0 atau yang lebih baru. Jalankan
az --versionuntuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, Pasang Azure CLI. - HSM terkelola dalam langganan Anda. Lihat Mulai Cepat: Sediakan dan aktifkan HSM terkelola menggunakan Azure CLI untuk menyediakan dan mengaktifkan HSM terkelola.
Azure Cloud Shell
Azure meng-hosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini tanpa harus menginstal apa-apa di lingkungan lokal Anda.
Untuk memulai Azure Cloud Shell:
| Opsi | Contoh/Tautan |
|---|---|
| Pilih Coba di pojok kanan atas blok kode atau perintah. Memilih Coba tidak otomatis menyalin kode atau perintah ke Cloud Shell. |  |
| Buka https://shell.azure.com, atau pilih tombol Luncurkan Cloud Shell untuk membuka Cloud Shell di browser Anda. |  |
| Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Microsoft Azure. |  |
Untuk menggunakan Azure Cloud Shell:
Mulai Cloud Shell.
Pilih tombol Salin pada blok kode (atau blok perintah) untuk menyalin kode atau perintah.
Tempel kode atau perintah ke dalam sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux, atau dengan memilih Cmd+Shift+V di macOS.
Pilih Masukkan untuk menjalankan kode atau perintah.
Masuk ke Azure
Untuk masuk ke Azure menggunakan CLI, ketik:
az login
Untuk informasi selengkapnya tentang opsi masuk melalui CLI, lihat masuk dengan Azure CLI
Catatan
Semua perintah di bawah ini menunjukkan dua metode penggunaan. Satu menggunakan parameter --hsm-name dan --name (untuk nama kunci) dan yang lain menggunakan parameter --id di mana Anda dapat menentukan seluruh url termasuk nama kunci jika sesuai. Metode terakhir berguna ketika penelepon (pengguna atau aplikasi) tidak memiliki akses baca pada sarana kontrol dan hanya akses terbatas pada sarana data.
Catatan
Beberapa interaksi dengan materi utama memerlukan izin RBAC Lokal tertentu. Untuk daftar lengkap peran dan izin RBAC Lokal bawaan, lihat Peran bawaan RBAC lokal HSM terkelola. Untuk menetapkan izin ini ke pengguna, lihat Mengamankan akses ke HSM terkelola Anda
Membuat kunci HSM
Catatan
Kunci yang dihasilkan atau diimpor ke HSM Terkelola tidak dapat diekspor. Lihat praktik terbaik yang direkomendasikan untuk portabilitas dan daya tahan kunci.
Gunakan perintah az keyvault key create untuk membuat kunci.
Membuat kunci RSA
Contoh di bawah ini menunjukkan cara membuat kunci RSA 3072-bit yang hanya akan digunakan untuk operasi wrapKey, unwrapKey (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
Perhatikan, operasi get hanya mengembalikan atribut kunci publik dan atribut kunci. Operasi ini tidak mengembalikan kunci pribadi (untuk kunci asimetris, atau materi kunci (untuk kunci simetris).
Membuat kunci EC
Contoh di bawah ini menunjukkan cara membuat kunci EC dengan kurva P-256 yang hanya akan digunakan untuk operasi tanda tangan dan verifikasi (--ops) dan memiliki dua tag, penggunaan dan nama aplikasi. Tag membantu Anda menambahkan metadata tambahan ke kunci untuk pelacakan dan pengelolaan.
az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
Membuat kunci simetris 256-bit
Contoh di bawah ini menunjukkan cara membuat kunci simetris 256-bit yang hanya akan digunakan untuk operasi enkripsi dan dekripsi (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt --tags --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256
Melihat atribut dan tag kunci
Gunakan perintah az keyvault key show untuk melihat atribut, versi, dan tag untuk kunci.
az keyvault key show --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Membuat daftar kunci
Gunakan perintah az keyvault key list untuk mencantumkan semua kunci di dalam HSM terkelola.
az keyvault key list --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/
Menghapus kunci
Gunakan perintah az keyvault key delete untuk menghapus kunci dari HSM terkelola. Pastikan penghapusan sementara selalu menyala. Karena itu, kunci yang dihapus akan tetap dalam status dihapus dan dapat dipulihkan sampai jumlah hari retensi telah berlalu ketika kunci akan dibersihkan (dihapus secara permanen) tanpa dapat dipulihkan.
az keyvault key delete --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Mendaftarkan kunci yang dihapus
Gunakan perintah az keyvault key list-deleted untuk mendaftar semua kunci dalam status terhapus di HSM terkelola Anda.
az keyvault key list-deleted --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/
Memulihkan (membatalkan penghapusan) kunci yang dihapus
Gunakan perintah az keyvault key list-deleted untuk mendaftar semua kunci dalam status terhapus di HSM terkelola Anda. Jika Anda perlu memulihkan (membatalkan penghapusan) kunci menggunakan parameter --id saat memulihkan kunci yang dihapus, Anda harus mencatat nilai recoveryId kunci yang dihapus yang diperoleh dari perintah az keyvault key list-deleted.
az keyvault key recover --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Membersihkan kunci (menghapus secara permanen)
Gunakan perintah az keyvault key purge untuk membersihkan kursi (menghapus secara permanen).
Catatan
Jika HSM yang dikelola mengaktifkan perlindungan dari pembersihan, operasi pembersihan tidak akan diizinkan. Kunci akan dibersihkan secara otomatis ketika periode retensi telah berlalu.
az keyvault key purge --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Membuat cadangan kunci tunggal
Gunakan az keyvault key backup untuk membuat cadangan kunci. File cadangan adalah blob terenkripsi yang terkait secara kriptografis dengan Domain Keamanan HSM sumber. File ini hanya dapat dipulihkan di HSM yang memiliki domain keamanan yang sama. Baca selengkapnya tentang Domain Keamanan.
az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Memulihkan satu kunci dari cadangan
Gunakan az keyvault key restore untuk memulihkan satu kunci. HSM sumber tempat cadangan dibuat harus memiliki domain keamanan yang sama dengan HSM target tempat kunci dipulihkan.
Catatan
Pemulihan tidak akan berhasil jika terdapat kunci dengan nama yang sama dan berstatus aktif atau dihapus.
az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Mengimpor kunci dari file
Gunakan perintah az keyvault key import untuk mengimpor kunci (hanya RSA dan EC) dari file. File sertifikat harus memiliki kunci pribadi dan harus menggunakan pengkodean PEM (sebagaimana didefinisikan dalam RFC 1421, 1422, 1423, 1424).
az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'
Untuk mengimpor kunci dari HSM lokal pada HSM terkelola, lihat Mengimpor kunci yang dilindungi HSM pada HSM Terkelola (BYOK)
Langkah berikutnya
- Untuk referensi antarmuka tingkat panggilan Azure lengkap mengenai perintah brankas kunci, lihat Referensi Key Vault CLI.
- Untuk referensi pemrograman, lihat panduan pengembang Azure Key Vault
- Pelajari selengkapnya tentang Manajemen peran HSM terkelola
- Pelajari selengkapnya tentang Praktik terbaik HSM terkelola