Share via

Mulai cepat: Melakukan provisi dan mengaktifkan HSM terkelola menggunakan PowerShell

  • Artikel

Di mulai cepat ini, Anda akan membuat dan mengaktifkan Azure Key Vault yang Dikelola HSM (Modul Keamanan Perangkat Keras) dengan PowerShell. HSM Terkelola adalah layanan cloud yang dikelola penuh, sangat tersedia, penyewa tunggal, mematuhi standar yang memungkinkan Anda melindungi kunci kriptografi untuk aplikasi cloud Anda, menggunakan HSM tervalidasi FIPS 140-2 Level 3. Untuk informasi lebih lanjut tentang HSM terkelola, Anda dapat mengulas Ringkasan.

Jika Anda memilih untuk menginstal dan menggunakan PowerShell secara lokal, tutorial ini memerlukan modul Azure PowerShell versi 1.0.0 atau yang lebih baru. Ketik $PSVersionTable.PSVersion untuk menemukan versi. Jika Anda perlu peningkatan, lihat Instal modul Azure PowerShell. Jika Anda menjalankan PowerShell secara lokal, Anda juga perlu menjalankan Connect-AzAccount untuk membuat koneksi dengan Azure.

Connect-AzAccount

Buat grup sumber daya

Grup sumber daya adalah kontainer logis yang disebarkan dan dikelola oleh sumber daya Azure. Gunakan cmdlet Azure PowerShell New-AzResourceGroup untuk membuat grup sumber daya bernama myResourceGroup di lokasi eastus2.

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

Dapatkan ID utama Anda

Untuk membuat HSM Terkelola, Anda memerlukan ID utama Microsoft Entra Anda. Untuk mendapatkan ID Anda, gunakan cmdlet Get-AzADUser Azure PowerShell, meneruskan alamat email Anda ke parameter "UserPrincipalName":

Get-AzADUser -UserPrincipalName "<your@email.address>"

ID utama Anda akan dikembalikan dengan format, "xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".

Buat HSM Terkelola

Membuat HSM terkelola adalah proses dua langkah:

  1. Sediakan sumber daya HSM terkelola.
  2. Aktifkan HSM Terkelola dengan mengunduh artefak yang disebut domain keamanan.

Melakukan provisi HSM terkelola

Gunakan cmdlet New-AzKeyVaultManagedHsm Azure PowerShell untuk membuat sebuah HSM Terkelola baru. Anda perlu memberikan beberapa informasi:

  • Nama HSM terkelola: String 3 hingga 24 karakter yang hanya dapat berisi angka (0-9), huruf (a-z, A-Z), dan tanda hubung (-)

    Penting

    Setiap HSM Terkelola harus memiliki sebuah nama yang unik. Ganti <nama-hsm-terkelola-unik-Anda> dengan nama HSM Terkelola dalam contoh berikut ini.

  • Nama grup sumber daya: myResourceGroup.

  • Lokasi: US Timur 2.

  • ID utama Anda: Berikan ID utama Microsoft Entra yang Anda peroleh di bagian terakhir ke parameter "Administrator".

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Catatan

Perintah buat memerlukan waktu beberapa menit. Setelah perintah tersebut berhasil kembali, Anda siap untuk mengaktifkan HSM Anda.

Output cmdlet ini menunjukkan properti HSM terkelola yang baru dibuat. Perhatikan dua properti ini:

  • Nama: Nama yang Anda berikan untuk HSM Terkelola.
  • HsmUri: Dalam contoh yaitu https://<your-unique-managed-hsm-name>.managedhsm.azure.net/. Aplikasi yang menggunakan brankas Anda melalui REST API-nya harus menggunakan URI ini.

Pada titik ini, akun Azure Anda adalah satu-satunya yang berwenang untuk melakukan operasi apa pun di HSM baru ini.

Mengaktifkan HSM Terkelola Anda

Semua perintah pesawat data dinonaktifkan hingga HSM diaktifkan. Anda tidak akan dapat membuat kunci atau menetapkan peran. Hanya administrator yang ditunjuk saat perintah dibuat yang dapat mengaktifkan HSM. Untuk mengaktifkan HSM, Anda harus mengunduh Domain Keamanan.

Untuk mengaktifkan HSM, Anda perlu:

  • Memberikan minimal tiga pasangan tombol RSA (hingga maksimal 10)
  • Menentukan jumlah minimum kunci yang diperlukan untuk mendekripsi domain keamanan (disebut kuorum)

Untuk mengaktifkan HSM, Anda perlu mengirim setidaknya tiga (maksimum 10) kunci publik RSA ke HSM. HSM mengenkripsi domain keamanan dengan kunci ini dan mengirimkannya kembali. Setelah unduhan domain keamanan ini berhasil diselesaikan, HSM Anda siap digunakan. Anda juga perlu menentukan kuorum, yang merupakan jumlah minimum kunci privat yang diperlukan untuk mendekripsi domain keamanan.

Contoh di bawah ini menunjukkan cara menggunakan openssl (tersedia untuk Windows di sini) untuk menghasilkan tiga sertifikat yang ditandatangani sendiri.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Penting

Buat dan simpan pasangan kunci RSA dan file domain keamanan yang dihasilkan dalam langkah ini dengan aman.

Gunakan cmdlet Export-AzKeyVaultSecurityDomain Azure PowerShell untuk mengunduh domain keamanan dan mengaktifkan HSM Terkelola Anda. Contoh berikut menggunakan tiga pasangan tombol RSA (hanya kunci publik yang diperlukan untuk perintah ini) dan mengatur kuorum menjadi dua.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Simpanlah berkas domain keamanan dan pasangan kunci RSA dengan aman. Anda akan membutuhkannya untuk pemulihan bencana atau untuk membuat HSM Terkelola lain yang memiliki domain keamanan yang sama, sehingga HSM tersebut dapat berbagi kunci.

Setelah berhasil mengunduh domain keamanan, HSM Anda akan berada dalam keadaan aktif dan siap untuk digunakan.

Membersihkan sumber daya

Mulai cepat dan tutorial lain dalam koleksi ini dibentuk berdasarkan mulai cepat ini. Jika Anda berencana untuk terus bekerja dengan mulai cepat dan tutorial berikutnya, biarkan sumber daya ini tetap di tempatnya.

Jika tidak diperlukan lagi, Anda dapat menggunakan cmdlet Remove-AzResourceGroup Azure PowerShell untuk menghapus grup sumber daya dan semua sumber daya terkait.

Remove-AzResourceGroup -Name "myResourceGroup"

Peringatan

Menghapus grup sumber daya akan mengubah status HSM Terkelola ke dihapus sementara. HSM Terkelola akan terus ditagih hingga dihapus menyeluruh. Lihat Penghapusan sementara dan perlindungan penghapusan menyeluruh HSM Terkelola

Langkah berikutnya

Dalam mulai cepat ini, Anda telah membuat dan mengaktifkan HSM Terkelola. Untuk mempelajari lebih lanjut tentang HSM Terkelola dan cara mengintegrasikannya dengan aplikasi Anda, lanjutkan ke artikel di bawah ini: