Guida introduttiva: Creare un modulo di protezione hardware gestito con un modello di Resource Manager
Questa guida introduttiva descrive come usare un modello di Azure Resource Manager per creare un modulo di protezione hardware gestito di Azure Key Vault. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud tramite moduli di protezione hardware convalidati in base agli standard FIPS 140-2 livello 3.
Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione per il progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione per creare la distribuzione.
Se l'ambiente soddisfa i prerequisiti e si ha familiarità con l'uso dei modelli di Resource Manager, selezionare il pulsante Distribuisci in Azure. Il modello verrà aperto nel portale di Azure.
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido per Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.
Quando richiesto, installare l'estensione dell'interfaccia della riga di comando di Azure al primo utilizzo. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
Rivedere il modello
Il modello usato in questa guida introduttiva è disponibile in Modelli di avvio rapido di Azure:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
La risorsa di Azure definita nel modello è:
- Microsoft.KeyVault/managedHSMs: creare un modulo di protezione hardware gestito di Azure Key Vault.
Distribuire il modello
Il modello richiede l'ID oggetto associato all'account. Per trovarlo, usare il comando az ad user show dell'interfaccia della riga di comando di Azure, passando il proprio indirizzo di posta elettronica al parametro --id
. È possibile limitare l'output solo all'ID oggetto con il parametro --query
.
az ad user show --id <your-email-address> --query "objectId"
Potrebbe essere necessario anche l'ID tenant. Per trovarlo, usare il comando az ad user show dell'interfaccia della riga di comando di Azure. È possibile limitare l'output solo all'ID tenant con il parametro --query
.
az account show --query "tenantId"
È ora possibile distribuire il modello di Resource Manager:
Selezionare l'immagine seguente per accedere ad Azure e aprire un modello. Il modello crea un modulo di protezione hardware gestito.
Selezionare o immettere i valori seguenti. A meno che non sia specificato, usare il valore predefinito per creare il modulo di protezione hardware gestito.
- Sottoscrizione: selezionare una sottoscrizione di Azure.
- Gruppo di risorse: selezionare Crea nuovo, immettere "myResourceGroup" come nome e quindi selezionare OK.
- Località: selezionare una località. Ad esempio, Stati Uniti orientali 2.
- managedHSMName: immettere un nome per il modulo di protezione hardware gestito.
- ID tenant: la funzione modello recupera automaticamente l'ID tenant e non modifica il valore predefinito. Se non è presente alcun valore, immettere l'ID tenant recuperato in precedenza.
- initial Amministrazione ObjectIds: immettere l'ID oggetto recuperato in precedenza.
Selezionare Acquista. Dopo aver distribuito correttamente il modulo di protezione hardware gestito, viene visualizzata una notifica:
Per distribuire il modello, si usa il portale di Azure. Oltre al portale di Azure, è anche possibile usare Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST. Per informazioni sugli altri metodi di distribuzione, vedere Distribuire modelli.
Convalidare la distribuzione
È possibile verificare che il modulo di protezione hardware gestito sia stato creato con il comando az keyvault list dell'interfaccia della riga di comando di Azure. L'output sarà più facile da leggere se si formattano i risultati come tabella:
az keyvault list -o table
Verrà visualizzato il nome del modulo di protezione hardware gestito appena creato.
Pulire le risorse
Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.
Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete dell'interfaccia della riga di comando di Azure:
az group delete --name "myResourceGroup"
Avviso
L'eliminazione del gruppo di risorse inserisce il modulo di protezione hardware gestito in uno stato eliminato temporaneo. Il modulo di protezione hardware gestito continuerà a essere fatturato fino a quando non viene eliminato. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito
Passaggi successivi
In questa guida introduttiva è stato creato un modulo di protezione hardware gestito. Questo modulo di protezione hardware gestito non sarà completamente funzionante finché non viene attivato. Vedere Attivare il modulo di protezione hardware gestito per informazioni su come attivare il modulo di protezione hardware.