Quickstart: Een beheerde HSM maken met behulp van een ARM-sjabloon

In deze quickstart wordt beschreven hoe u een ARM-sjabloon (Azure Resource Manager) gebruikt om een door Azure Key Vault beheerde HSM te maken. Managed HSM is een cloudservice van hoge beschikbaarheid en één tenant, die volledig beheerd is en aan de standaarden voldoet. Met deze cloudservice kunt u cryptografische sleutels voor uw cloudtoepassingen waarborgen met behulp van gevalideerde HSM's met standaard FIPS 140-2 Level 3.

Een Azure Resource Manager-sjabloon is een JSON-bestand (JavaScript Object Notation) dat de infrastructuur en configuratie voor uw project definieert. Voor de sjabloon is declaratieve syntaxis vereist. U beschrijft de beoogde implementatie zonder de reeks programmeeropdrachten te schrijven om de implementatie te maken.

Als uw omgeving voldoet aan de vereisten en u benkend bent met het gebruik van ARM-sjablonen, selecteert u de knop Implementeren naar Azure. De sjabloon wordt in Azure Portal geopend.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

De sjabloon controleren

De sjabloon die in deze quickstart wordt gebruikt, is afkomstig van Azure-quickstartsjablonen:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

De Azure-resource die in de sjabloon is gedefinieerd, is:

• Microsoft.KeyVault/managedHSM's: maak een door Azure Key Vault beheerde HSM.

De sjabloon implementeren

Voor de sjabloon is de object-id vereist die aan uw account is gekoppeld. U vindt deze met de opdracht az ad user show in de Azure CLI, waarbij u uw e-mail aan de parameter --id doorgeeft. U kunt de uitvoer alleen tot de object-id beperken met de parameter --query.

az ad user show --id <your-email-address> --query "objectId"

Mogelijk hebt u ook uw tenant-id nodig. U vindt deze met de opdracht az ad user show in de Azure CLI. U kunt de uitvoer alleen tot de tenant-id beperken met de parameter --query.

az account show --query "tenantId"

U kunt nu de ARM-sjabloon implementeren:

1. Selecteer de volgende afbeelding om u aan te melden bij Azure en een sjabloon te openen. De sjabloon maakt een beheerde HSM.

   

2. Typ of selecteer de volgende waarden. Tenzij opgegeven, gebruikt u de standaardwaarde om de beheerde HSM te maken.

   • Subscription: selecteer een Azure-abonnement.
   • Resourcegroep: Selecteer Nieuwe maken, voer 'myResourceGroup' in als de naam en selecteer VERVOLGENS OK.
   • Locatie: Selecteer een locatie. Bijvoorbeeld VS - oost 2.
   • managedHSMName: Voer een naam in voor uw beheerde HSM.
   • Tenant-id: De sjabloonfunctie haalt automatisch uw tenant-id op. Wijzig de standaardwaarde niet. Als er geen waarde is, voert u de tenant-id in die u hierboven hebt opgehaald.
   • initial Beheer ObjectIds: voer de object-id in die u hierboven hebt opgehaald.

3. Selecteer Aankoop. Nadat de beheerde HSM is geïmplementeerd, krijgt u een melding:

Voor het implementeren van de sjabloon wordt de Azure-portal gebruikt. Naast Azure Portal kunt u ook de Azure PowerShell, Azure CLI en REST API gebruiken. Zie Sjablonen implementeren voor meer informatie over andere implementatiemethoden.

De implementatie valideren

U kunt controleren of de beheerde HSM is gemaakt met de azure CLI az keyvault list command. U vindt de uitvoer gemakkelijker te lezen als u de resultaten opmaken als een tabel:

az keyvault list -o table

U ziet nu de naam van de zojuist gemaakte beheerde HSM.

Resources opschonen

Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met volgende snelstarts en zelfstudies, kunt u deze resources intact laten.

U kunt de opdracht az group delete van Azure CLI gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen wanneer u deze niet meer nodig hebt.

az group delete --name "myResourceGroup"

Waarschuwing

Als u de resourcegroep verwijdert, wordt de beheerde HSM in een voorlopig verwijderde status gebracht. De beheerde HSM wordt nog steeds gefactureerd totdat deze wordt opgeschoond. Zie Voorlopige verwijdering van HSM en beveiliging tegen opschonen

Volgende stappen

In deze quickstart hebt u een beheerde HSM gemaakt. Deze beheerde HSM is pas volledig functioneel als deze is geactiveerd. Zie Uw beheerde HSM activeren voor meer informatie over het activeren van uw HSM.

• Bekijk een Overzicht van beheerde HSM's
• Meer informatie over het beheren van sleutels in een beheerde HSM
• Beoordeel Best practices voor beheerde HSM's