Avvio rapido: Creare un modulo di protezione hardware gestito usando un modello di ARM
Questo argomento di avvio rapido descrive come usare un modello di Azure Resource Manager (modello di ARM) per creare un servizio Azure Key Vault gestito. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud tramite moduli di protezione hardware convalidati in base agli standard FIPS 140-2 livello 3.
Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.
Se l'ambiente soddisfa i prerequisiti e si ha familiarità con l'uso dei modelli di Resource Manager, selezionare il pulsante Distribuisci in Azure. Il modello verrà aperto nel portale di Azure.
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.
Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
Rivedere il modello
Il modello usato in questo argomento di avvio rapido proviene dai modelli di avvio rapido di Azure:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
La risorsa di Azure definita nel modello è:
- Microsoft.KeyVault/managedHSMs: crea un modulo di protezione hardware gestito di Azure Key Vault.
Distribuire il modello
Il modello richiede l'ID oggetto associato all'account. Per trovarlo, usare il comando az ad user show dell'interfaccia della riga di comando di Azure, passando il proprio indirizzo di posta elettronica al parametro --id. È possibile limitare l'output solo all'ID oggetto con il parametro --query.
az ad user show --id <your-email-address> --query "objectId"
Potrebbe essere necessario anche l'ID tenant. Per trovarlo, usare il comando az ad user show dell'interfaccia della riga di comando di Azure. È possibile limitare l'output solo all'ID tenant con il parametro --query.
az account show --query "tenantId"
È ora possibile distribuire il modello di ARM:
Selezionare l'immagine seguente per accedere ad Azure e aprire un modello. Il modello crea un modulo di protezione hardware gestito.
Selezionare o immettere i valori seguenti. Se non specificato, usare il valore predefinito per creare il modulo di protezione hardware gestito.
- Sottoscrizione: selezionare una sottoscrizione di Azure.
- Gruppo di risorse: selezionare Crea nuovo, immettere “myResourceGroup” come nome, quindi fare clic su OK.
- Posizione: selezionare una posizione. Ad esempio Stati Uniti orientali 2.
- managedHSMName: immettere un nome per il modulo di protezione hardware gestito.
- ID tenant: viene recuperato automaticamente dalla funzione del modello. Non cambiare il valore predefinito. Se non è specificato alcun valore, immettere l'ID tenant recuperato in precedenza.
- initialAdminObjectIds: immettere l'ID oggetto recuperato in precedenza.
Selezionare Acquista. Una volta eseguita correttamente la distribuzione del modulo di protezione hardware gestito, si riceverà una notifica:
Per distribuire il modello, si usa il portale di Azure. Oltre al portale di Azure, è anche possibile usare Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST. Per informazioni sugli altri metodi di distribuzione, vedere Distribuire modelli.
Convalidare la distribuzione
È possibile verificare che l’HSM gestito sia stato creato con il comando dell'interfaccia della riga di comando di Azure az keyvault list. L'output sarà più facile da leggere se si formattano i risultati come tabella:
az keyvault list -o table
Verrà visualizzato il nome dell’HSM gestito appena creato.
Pulire le risorse
Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.
Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete dell'interfaccia della riga di comando di Azure:
az group delete --name "myResourceGroup"
Avviso
L'eliminazione del gruppo di risorse attiva lo stato di eliminazione temporanea per il modulo di protezione hardware gestito. Il modulo di protezione hardware gestito continuerà a essere fatturato fino a quando non viene rimosso definitivamente. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito
Passaggi successivi
In questo argomento di avvio rapido è stato creato un modulo di protezione hardware gestito. Per essere completamente funzionale, questo modulo deve essere attivato. Per informazioni su come attivarlo, vedere Attivare il Modulo di protezione hardware gestito.