Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam panduan mulai cepat ini, Anda membuat dan mengaktifkan Azure Key Vault Managed HSM (Modul Keamanan Perangkat Keras) menggunakan Azure CLI. Managed HSM adalah layanan cloud yang dikelola sepenuhnya, tersedia tinggi, berpenyewa tunggal, sesuai standar yang memungkinkan Anda untuk melindungi kunci kriptografi aplikasi cloud Anda dengan menggunakan HSM yang tervalidasi FIPS 140-3 Level 3. Untuk informasi selengkapnya tentang HSM Terkelola, tinjau Gambaran Umum.
Prasyarat
Langganan Azure diperlukan. Jika Anda belum memiliki satu, buatlah akun gratis sebelum Anda mulai.
Anda juga perlu:
- Azure CLI versi 2.25.0 atau yang lebih baru. Jalankan
az --versionuntuk menemukan versinya. Jika Anda perlu menginstal atau meningkatkan, lihat Install Azure CLI.
Azure Cloud Shell
Azure host Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser Anda. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini, tanpa harus menginstal apa pun di lingkungan lokal Anda.
Untuk memulai Azure Cloud Shell:
| Opsi | Contoh/Tautan |
|---|---|
| Pilih Coba di pojok kanan atas blok kode atau perintah. Memilih Try It tidak secara otomatis menyalin kode atau perintah ke Cloud Shell. |
|
| Buka https://shell.azure.com, atau pilih tombol Lalui Cloud Shell untuk membuka Cloud Shell di browser Anda. |
|
| Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Azure. |
|
Untuk menggunakan Azure Cloud Shell:
Mulai Cloud Shell.
Pilih tombol Salin pada blok kode (atau blok perintah) untuk menyalin kode atau perintah.
Tempelkan kode atau perintah ke sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux, atau dengan memilih Cmd+Shift+V di macOS.
Pilih Masukkan untuk menjalankan kode atau perintah.
Masuk ke Azure
Untuk masuk ke Azure dengan menggunakan CLI, masukkan:
az login
Untuk informasi selengkapnya tentang opsi autentikasi melalui CLI, lihat Masuk menggunakan Azure CLI.
Buat grup sumber daya
Grup sumber daya adalah kontainer logis tempat sumber daya Azure disebarkan dan dikelola. Gunakan perintah az group create untuk membuat grup sumber daya bernama myResourceGroup di lokasi eastus.
az group create --name "myResourceGroup" --location "EastUS"
Buat HSM Terkelola
Membuat HSM terkelola adalah proses dua langkah:
- Sediakan sumber daya HSM terkelola.
- Aktifkan HSM Terkelola dengan mengunduh artefak yang disebut domain keamanan.
Melakukan provisi HSM terkelola
Gunakan perintah az keyvault create untuk membuat HSM terkelola. Skrip ini memiliki tiga parameter wajib: nama grup sumber daya, nama HSM, dan lokasi geografis.
Untuk membuat sumber daya HSM Terkelola, berikan input berikut:
Nama HSM terkelola: String 3 hingga 24 karakter yang hanya dapat berisi angka (0-9), huruf (a-z, A-Z), dan tanda hubung (-).
Penting
Setiap HSM Terkelola harus memiliki sebuah nama yang unik. Ganti
<hsm-name>dengan nama HSM Terkelola unik Anda sendiri dalam contoh berikut.Nama grup sumber daya: myResourceGroup.
Lokasi: EastUS.
Daftar administrator awal.
Contoh berikut membuat HSM bernama <hsm-name> dalam grup sumber daya myResourceGroup, berada di lokasi EastUS , dengan pengguna yang masuk saat ini sebagai satu-satunya administrator, dan periode retensi 7 hari untuk penghapusan sementara. Anda terus membayar HSM Terkelola hingga dihapus menyeluruh dalam periode penghapusan sementara. Untuk informasi selengkapnya, lihat Penghapusan Sementara dan Perlindungan Penghapusan Menyeluruh HSM Terkelola dan baca selengkapnya tentang penghapusan sementara HSM Terkelola.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Catatan
Jika Anda menggunakan Identitas Terkelola sebagai admin awal HSM Terkelola Anda, masukkan OID/PrincipalID dari Identitas Terkelola setelah --administrators dan bukan ClientID.
Catatan
Perintah buat memerlukan waktu beberapa menit. Ketika berhasil dikembalikan, Anda siap untuk mengaktifkan HSM Anda.
Peringatan
Instans HSM terkelola selalu digunakan. Jika Anda mengaktifkan perlindungan penghapusan dengan menggunakan --enable-purge-protection flag, Anda membayar untuk seluruh periode retensi.
Hasil keluaran perintah ini menunjukkan properti dari HSM Terkelola yang Anda buat. Dua properti yang paling penting adalah:
- nama: Nama yang Anda tentukan. Anda menggunakan nama ini untuk perintah lain.
-
hsmUri: URI untuk HSM Anda (misalnya,
https://<hsm-name>.managedhsm.azure.net). Aplikasi yang menggunakan HSM Anda melalui REST API-nya harus menggunakan URI ini.
Akun Azure Anda sekarang berwenang untuk melakukan operasi apa pun pada HSM Terkelola ini. Sampai saat ini, tidak ada orang lain yang diotorisasi.
Mengaktifkan HSM Terkelola Anda
Semua perintah data plane dinonaktifkan hingga Anda mengaktifkan HSM. Anda tidak dapat membuat kunci atau menetapkan peran. Hanya administrator yang ditunjuk yang Anda tetapkan selama perintah buat yang dapat mengaktifkan HSM. Untuk mengaktifkan HSM, Anda harus mengunduh Domain Keamanan.
Untuk mengaktifkan HSM, Anda memerlukan:
- Minimal tiga pasangan kunci RSA (maksimum 10)
- Jumlah minimum kunci yang diperlukan untuk mendekripsi domain keamanan (disebut kuorum)
Anda mengirim setidaknya tiga (maksimum 10) kunci umum RSA ke HSM. HSM mengenkripsi domain keamanan dengan kunci ini dan mengirimkannya kembali. Setelah pengunduhan domain keamanan berhasil diselesaikan, HSM Anda siap digunakan. Anda juga perlu menentukan kuorum, yang merupakan jumlah minimum kunci privat yang diperlukan untuk mendekripsi domain keamanan.
Contoh berikut menunjukkan cara menggunakan openssl untuk menghasilkan tiga sertifikat yang ditandatangani sendiri:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Tanggal kedaluwarsa sertifikat tidak memengaruhi operasi domain keamanan—bahkan sertifikat "kedaluwarsa" masih dapat digunakan untuk memulihkan domain keamanan.
Penting
Kunci privat RSA ini adalah akar kepercayaan untuk HSM Terkelola Anda. Untuk lingkungan produksi, buat kunci ini menggunakan sistem terisolasi atau HSM di tempat, dan simpan dengan aman. Lihat Praktik terbaik domain keamanan untuk panduan terperinci.
Gunakan perintah az keyvault security-domain download untuk mengunduh domain keamanan dan mengaktifkan HSM terkelola Anda. Contoh berikut menggunakan tiga pasangan tombol RSA (hanya kunci publik yang diperlukan untuk perintah ini) dan mengatur kuorum menjadi dua.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Simpan file domain keamanan dan pasangan kunci RSA dengan aman. Anda memerlukannya untuk pemulihan bencana atau untuk membuat HSM Terkelola lain yang berbagi domain keamanan yang sama sehingga keduanya dapat berbagi kunci.
Setelah berhasil mengunduh domain keamanan, HSM Anda dalam keadaan aktif dan siap digunakan.
Membersihkan sumber daya
Quickstart lain dan tutorial dalam koleksi ini dibangun di atas quickstart ini. Jika Anda berencana untuk melanjutkan bekerja dengan panduan cepat dan tutorial-tutorial berikutnya, Anda mungkin ingin membiarkan sumber daya ini dibiarkan sebagaimana adanya.
Jika tidak lagi diperlukan, Anda dapat menggunakan perintah Azure CLI az group delete untuk menghapus grup sumber daya dan semua sumber daya terkait:
az group delete --name "myResourceGroup"
Peringatan
Menghapus grup sumber daya menempatkan HSM Terkelola dalam keadaan terhapus sementara. HSM Terkelola terus ditagih hingga dihapus secara permanen. Lihat Hapus sementara dan perlindungan penghapusan HSM Terkelola
Langkah berikutnya
Dalam panduan cepat ini, Anda menyediakan HSM Terkelola dan telah mengaktifkannya. Untuk mempelajari lebih lanjut tentang HSM Terkelola dan cara mengintegrasikannya dengan aplikasi Anda, lanjutkan ke artikel di bawah ini.
- Baca Gambaran Umum HSM Terkelola
- Pelajari tentang Mengelola kunci dalam HSM terkelola
- Pelajari tentang Manajemen peran untuk HSM terkelola
- Tinjau Amankan Implementasi HSM Terkelola Azure Anda