Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam panduan cepat ini, Anda akan membuat dan mengaktifkan Azure Key Vault Managed HSM (Modul Keamanan Perangkat Keras) menggunakan Azure CLI. Managed HSM adalah layanan cloud yang dikelola sepenuhnya, tersedia tinggi, berpenyewa tunggal, sesuai standar yang memungkinkan Anda untuk melindungi kunci kriptografi aplikasi cloud Anda dengan menggunakan HSM yang tervalidasi FIPS 140-3 Level 3. Untuk informasi lebih lanjut tentang HSM terkelola, Anda dapat mengulas Ringkasan.
Prasyarat
Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda perlu:
- Berlangganan Microsoft Azure. Jika Anda tidak memilikinya, Anda dapat mendaftar untuk uji coba gratis.
- Azure CLI versi 2.25.0 atau yang lebih baru. Jalankan
az --versionuntuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, Pasang Azure CLI.
Azure Cloud Shell
Azure meng-hosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini tanpa harus menginstal apa-apa di lingkungan lokal Anda.
Untuk memulai Azure Cloud Shell:
| Opsi | Contoh/Tautan |
|---|---|
| Pilih Coba di pojok kanan atas blok kode atau perintah. Memilih Coba tidak otomatis menyalin kode atau perintah ke Cloud Shell. |
|
| Buka https://shell.azure.com, atau pilih tombol Luncurkan Cloud Shell untuk membuka Cloud Shell di browser Anda. |
|
| Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Microsoft Azure. |
|
Untuk menggunakan Azure Cloud Shell:
Mulai Cloud Shell.
Pilih tombol Salin pada blok kode (atau blok perintah) untuk menyalin kode atau perintah.
Tempel kode atau perintah ke dalam sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux, atau dengan memilih Cmd+Shift+V di macOS.
Pilih Masukkan untuk menjalankan kode atau perintah.
Masuk ke Azure
Untuk masuk ke Azure menggunakan CLI, ketik:
az login
Buat grup sumber daya
Grup sumber daya adalah kontainer logis ke dalam mana sumber daya Azure disebarkan dan dikelola. Contoh berikut membuat grup sumber daya bernama ContosoResourceGroup di lokasi norwegia .
az group create --name "ContosoResourceGroup" --location norwayeast
Buat HSM Terkelola
Membuat HSM terkelola adalah proses dua langkah:
- Sediakan sumber daya HSM terkelola.
- Aktifkan HSM Terkelola dengan mengunduh artefak yang disebut domain keamanan.
Melakukan provisi HSM terkelola
Gunakan perintah az keyvault create untuk membuat HSM terkelola. Skrip ini memiliki tiga parameter wajib: nama grup sumber daya, nama HSM, dan lokasi geografis.
Sediakan input berikut untuk membuat sumber daya HSM terkelola:
- Grup sumber daya di mana ditempatkan dalam langganan Anda.
- Lokasi Azure.
- Daftar administrator awal.
Contoh berikut membuat HSM bernama ContosoMHSM, dalam grup sumber daya ContosoResourceGroup, berada di lokasi Norwegia Timur , dengan pengguna yang masuk saat ini sebagai satu-satunya administrator, dengan periode retensi 7 hari untuk penghapusan sementara. HSM Terkelola terus ditagih hingga dihapus menyeluruh dalam periode penghapusan sementara. Untuk informasi selengkapnya, lihat Penghapusan Sementara dan Perlindungan Penghapusan Menyeluruh HSM Terkelola dan baca selengkapnya tentang penghapusan sementara HSM Terkelola.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "norwayeast" --administrators $oid --retention-days 7
Catatan
Jika Anda menggunakan Identitas Terkelola sebagai admin awal HSM Terkelola, Anda harus memasukkan OID/PrincipalID dari Identitas Terkelola setelah '--administrator' dan bukan ClientID.
Catatan
Perintah buat memerlukan waktu beberapa menit. Setelah berhasil dikembalikan, Anda siap untuk mengaktifkan HSM Anda.
Peringatan
Instans HSM terkelola dianggap selalu digunakan. Jika Anda memilih untuk mengaktifkan perlindungan penghapusan menggunakan parameter --enable-purge-protection, Anda akan ditagih untuk seluruh periode retensi.
Hasil keluaran perintah ini menunjukkan properti dari HSM Terkelola yang Anda buat. Dua properti yang paling penting adalah:
- nama: Dalam contoh, nama yang digunakan adalah ContosoMHSM. Anda menggunakan nama ini untuk perintah lain.
- hsmUri: Dalam contoh, URI yang digunakan adalah 'https://contosohsm.managedhsm.azure.net.' Aplikasi yang menggunakan HSM Anda melalui REST API-nya harus menggunakan URI ini.
Akun Azure Anda saat ini memiliki autorisasi untuk melakukan operasi apa pun pada HSM terkelola tersebut. Sampai saat ini, tidak ada orang lain yang diotorisasi.
Mengaktifkan HSM Terkelola Anda
Semua perintah data plane dinonaktifkan hingga HSM diaktifkan. Misalnya, Anda tidak dapat membuat kunci atau menetapkan peran. Hanya administrator yang ditunjuk saat perintah dibuat yang dapat mengaktifkan HSM. Untuk mengaktifkan HSM, Anda harus mengunduh Domain Keamanan.
Untuk mengaktifkan HSM, Anda memerlukan:
- Memberikan minimal tiga pasangan tombol RSA (hingga maksimal 10)
- Menentukan jumlah minimum kunci yang diperlukan untuk mendekripsi domain keamanan (disebut kuorum)
Untuk mengaktifkan HSM, Anda perlu mengirim setidaknya tiga (maksimum 10) kunci publik RSA ke HSM. HSM mengenkripsi domain keamanan dengan kunci ini dan mengirimkannya kembali. Setelah unduhan domain keamanan ini berhasil diselesaikan, HSM Anda siap digunakan. Anda juga perlu menentukan kuorum, yang merupakan jumlah minimum kunci privat yang diperlukan untuk mendekripsi domain keamanan.
Contoh di bawah ini menunjukkan cara menggunakan openssl untuk menghasilkan tiga sertifikat yang ditandatangani sendiri.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Catatan
Bahkan jika sertifikat telah "kedaluwarsa," sertifikat masih dapat digunakan untuk memulihkan domain keamanan.
Penting
Buat dan simpan pasangan kunci RSA dan file domain keamanan yang dihasilkan dalam langkah ini dengan aman.
Gunakan perintah az keyvault security-domain download untuk mengunduh domain keamanan dan mengaktifkan HSM terkelola Anda. Contoh berikut menggunakan tiga pasangan tombol RSA (hanya kunci publik yang diperlukan untuk perintah ini) dan mengatur kuorum menjadi dua.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Simpan file domain keamanan dan pasangan kunci RSA dengan aman. Anda memerlukannya untuk pemulihan bencana atau untuk membuat HSM Terkelola lain yang berbagi domain keamanan yang sama sehingga keduanya dapat berbagi kunci.
Setelah berhasil mengunduh domain keamanan, HSM Anda akan berada dalam keadaan aktif dan siap untuk Anda gunakan.
Membersihkan sumber daya
Quickstart lain dan tutorial dalam koleksi ini dibangun di atas quickstart ini. Jika Anda berencana untuk melanjutkan bekerja dengan panduan cepat dan tutorial-tutorial berikutnya, Anda mungkin ingin membiarkan sumber daya ini dibiarkan sebagaimana adanya.
Jika tidak lagi dibutuhkan, gunakan perintah grup az hapus untuk menghapus grup sumber daya, dan semua sumber daya terkait. Anda bisa menghapus sumber daya dengan cara berikut:
az group delete --name ContosoResourceGroup
Peringatan
Menghapus grup sumber daya menempatkan HSM Terkelola dalam keadaan terhapus sementara. HSM Terkelola terus ditagih hingga dibersihkan. Lihat Hapus sementara dan perlindungan penghapusan HSM Terkelola
Langkah berikutnya
Dalam panduan cepat ini, Anda menyediakan HSM Terkelola dan telah mengaktifkannya. Untuk mempelajari lebih lanjut tentang HSM Terkelola dan cara mengintegrasikannya dengan aplikasi Anda, lanjutkan ke artikel di bawah ini.
- Baca Gambaran Umum HSM Terkelola
- Pelajari tentang Mengelola kunci dalam HSM terkelola
- Pelajari tentang Manajemen peran untuk HSM terkelola
- Mengulas praktik terbaik HSM terkelola