Mulai cepat: Membuat HSM Terkelola menggunakan templat ARM
Mulai cepat ini menjelaskan cara menggunakan templat Azure Resource Manager (templat ARM) untuk membuat HSM terkelola Azure Key Vault. HSM Terkelola adalah layanan cloud yang dikelola penuh, sangat tersedia, penyewa tunggal, mematuhi standar yang memungkinkan Anda melindungi kunci kriptografi untuk aplikasi cloud Anda, menggunakan HSM tervalidasi FIPS 140-2 Level 3.
Templat Azure Resource Manager adalah file JavaScript Object Notation (JSON) yang menentukan infrastruktur dan konfigurasi untuk proyek Anda. Template tersebut menggunakan sintaksis deklaratif. Anda menjelaskan penyebaran yang Dimaksudkan tanpa menulis urutan perintah pemrograman untuk membuat penyebaran.
Jika lingkungan Anda telah memenuhi prasyarat dan Anda terbiasa menggunakan templat ARM, pilih tombol Sebarkan ke Azure. Templat akan terbuka di portal Microsoft Azure.
Prasyarat
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai Cepat untuk Bash di Azure Cloud Shell.
Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.
Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Masuk dengan Azure CLI.
Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan ekstensi dengan Azure CLI.
Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk meningkatkan ke versi terbaru, jalankan peningkatan az.
Meninjau templat
Templat yang digunakan dalam mulai cepat ini berasal dari Templat Mulai Cepat Azure:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
Sumber daya Azure yang ditentukan dalam templat adalah:
- Microsoft.KeyVault/managedHSMs: Membuat HSM Terkelola Azure Key Vault.
Menyebarkan templat
Template memerlukan ID objek yang terkait dengan akun Anda. Untuk menemukannya, gunakan perintah Azure CLI tampilkan pengguna az ad, meneruskan alamat email Anda ke parameter --id
. Anda dapat membatasi output ke ID objek hanya dengan parameter --query
.
az ad user show --id <your-email-address> --query "objectId"
Anda mungkin juga memerlukan ID penyewa Anda. Untuk menemukannya, gunakan perintah Azure CLI tampilkan pengguna az ad. Anda dapat membatasi output ke ID penyewa hanya dengan parameter --query
.
az account show --query "tenantId"
Sekarang Anda dapat menyebarkan templat ARM:
Pilih gambar berikut untuk masuk ke Azure dan buka templat. Templat akan membuat HSM Terkelola.
Pilih atau masukkan nilai berikut. Kecuali ditentukan, gunakan nilai default untuk membuat HSM Terkelola.
- Langganan: Pilih langganan Azure.
- Grup sumber daya: Pilih Buat baru, masukkan "myResourceGroup" sebagai nama, lalu pilih OK.
- Lokasi: Pilih lokasi. Misalnya, US Timur 2.
- managedHSMName: Masukkan nama untuk HSM Terkelola Anda.
- ID Penyewa: Fungsi template secara otomatis mengambil ID penyewa Anda; jangan ubah nilai default. Jika tidak ada nilai, masukkan ID Penyewa yang Anda ambil di atas.
- initialAdminObjectIds: Masukkan ID Objek yang Anda ambil di atas.
Pilih Beli. Setelah HSM Terkelola berhasil disebarkan, Anda akan mendapatkan pemberitahuan:
Portal Microsoft Azure digunakan untuk menyebarkan template. Selain portal Microsoft Azure, Anda juga dapat menggunakan Azure PowerShell, Azure CLI, dan REST API. Untuk mempelajari metode penyebaran lainnya, lihat Menyebarkan templat.
Memvalidasi penyebaran
Anda dapat memverifikasi bahwa HSM terkelola dibuat dengan perintah azure CLI az keyvault list . Anda akan menemukan output yang lebih mudah dibaca jika Anda memformat hasilnya sebagai tabel:
az keyvault list -o table
Anda akan melihat nama HSM terkelola yang baru dibuat.
Membersihkan sumber daya
Mulai cepat dan tutorial lain dalam koleksi ini dibentuk berdasarkan mulai cepat ini. Jika berencana untuk melanjutkan bekerja dengan mulai cepat dan tutorial berikutnya, Anda mungkin ingin membiarkan sumber daya ini tetap di tempatnya.
Jika tidak lagi dibutuhkan, gunakan perintah az group delete Azure CLI untuk menghapus grup sumber daya, dan semua sumber daya terkait:
az group delete --name "myResourceGroup"
Peringatan
Menghapus grup sumber daya akan mengubah status HSM Terkelola ke dihapus sementara. HSM Terkelola akan terus ditagih hingga dihapus menyeluruh. Lihat Penghapusan sementara dan perlindungan penghapusan menyeluruh HSM Terkelola
Langkah berikutnya
Dalam mulai cepat ini, Anda telah membuat HSM terkelola. HSM Terkelola ini tidak akan berfungsi penuh sebelum diaktifkan. Lihat Mengaktifkan HSM Terkelola Anda untuk mempelajari cara mengaktifkan HSM.
- Membaca Gambaran Umum HSM Terkelola
- Pelajari tentang Mengelola kunci dalam HSM Terkelola
- Mengulas praktik terbaik HSM Terkelola