Quickstart: Een beheerde HSM inrichten en activeren met behulp van Azure CLI
In deze quickstart maakt en activeert u een azure Key Vault Managed HSM (Hardware Security Module) met Azure CLI. Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice met één tenant die voldoet aan standaarden waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van gevalideerde HSM's van FIPS 140-2 Niveau 3 . Raadpleeg het overzicht voor meer informatie over beheerde HSM.
Vereisten
Als u de stappen in dit artikel wilt uitvoeren, moet u het volgende hebben:
- Een abonnement op Microsoft Azure. Als u nog geen abonnement hebt, kunt u zich aanmelden voor een gratis proefversie.
- De Azure CLI versie 2.25.0 of hoger. Voer
az --version
uit om de versie te bekijken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren.
Azure Cloud Shell
Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.
Om Azure Cloud Shell op te starten:
Optie | Voorbeeld/koppeling |
---|---|
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. | |
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. | |
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. |
Azure Cloud Shell gebruiken:
Start Cloud Shell.
Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.
Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.
Selecteer Enter om de code of opdracht uit te voeren.
Aanmelden bij Azure
Als u zich wilt aanmelden bij Azure met behulp van de CLI, kunt u het volgende typen:
az login
Een brongroep maken
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. In het volgende voorbeeld wordt een resourcegroep gemaakt met de naam ContosoResourceGroup in de locatie eastus2.
az group create --name "ContosoResourceGroup" --location eastus2
Een beheerde HSM maken
Het maken van een beheerde HSM is een proces in twee stappen:
- Richt een beheerde HSM-resource in.
- Activeer uw beheerde HSM door een artefact te downloaden dat het beveiligingsdomein wordt genoemd.
Een beheerde HSM inrichten
Gebruik de opdracht az keyvault create
om een beheerde HSM te maken. Het script heeft drie verplichte parameters: een resourcegroepnaam, een HSM-naam, en de geografische locatie.
U dient de volgende invoer op te geven om een beheerde HSM-resource te maken:
- De resourcegroep waar deze in uw abonnement wordt geplaatst.
- Azure-locatie.
- Een lijst met initiële beheerders.
In het volgende voorbeeld wordt een HSM met de naam ContosoMHSM gemaakt, in de resourcegroep ContosoResourceGroup, die zich op de locatie VS - oost 2 bevindt, met de huidige aangemelde gebruiker als enige beheerder, met een bewaarperiode van 7 dagen voor voorlopig verwijderen. De beheerde HSM wordt nog steeds gefactureerd totdat deze wordt opgeschoond in een periode voor voorlopig verwijderen. Zie Beheerde HSM-beveiliging voor voorlopig verwijderen en opschonen voor meer informatie en lees meer over beheerde HSM-voorlopig verwijderen.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7
Notitie
Als u beheerde identiteiten gebruikt als de eerste beheerders van uw beheerde HSM, moet u de OID/PrincipalID van de beheerde identiteiten invoeren na '--administrators' en niet de ClientID.
Notitie
Het kan enkele minuten duren voor de maakopdracht is uitgevoerd. Zodra de opdracht is voltooid, bent u klaar om uw HSM te activeren.
Waarschuwing
Beheerde HSM-exemplaren worden beschouwd als altijd in gebruik. Als u ervoor kiest om beveiliging tegen opschonen in te schakelen met behulp van de --enable-purge-protection
vlag, wordt u gefactureerd voor de gehele bewaarperiode.
In de uitvoer van deze opdracht worden de eigenschappen weergegeven van de beheerde HSM die u hebt gemaakt. De twee belangrijkste eigenschappen zijn:
- name: In het voorbeeld is de naam ContosoMHSM. U gebruikt deze naam voor andere opdrachten.
- hsmUri: In het voorbeeld is de URI 'https://contosohsm.managedhsm.azure.net.' Apps die via de REST API gebruikmaken van uw HSM moeten deze URI gebruiken.
Uw Azure-account is nu gemachtigd om alle bewerkingen op deze beheerde HSM uit te voeren. Op dit moment is nog niemand anders gemachtigd.
Uw beheerde HSM activeren
Alle gegevensvlakopdrachten zijn uitgeschakeld totdat de HSM wordt geactiveerd. U kunt bijvoorbeeld geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders, die zijn toegewezen tijdens het maken van de opdracht, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het beveiligingsdomein downloaden.
Als u uw HSM wilt activeren, hebt u het volgende nodig:
- Minimaal drie RSA-sleutelparen opgeven (maximaal 10)
- Het minimale aantal sleutels opgeven dat is vereist voor het ontsleutelen van het beveiligingsdomein (een quorum genoemd)
Als u de HSM wilt activeren, verzendt u ten minste drie (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Als het downloaden van dit beveiligingsdomein voltooid is, is uw HSM klaar voor gebruik. U moet ook een quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat vereist is voor het ontsleutelen van het beveiligingsdomein.
In het volgende voorbeeld ziet u hoe openssl
u drie zelfondertekende certificaten genereert.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Notitie
Zelfs als het certificaat is verlopen, kan het nog steeds worden gebruikt om het beveiligingsdomein te herstellen.
Belangrijk
Maak de RSA-sleutelparen en het beveiligingsdomeinbestand dat in deze stap is gegenereerd en sla ze op een veilige manier op.
Gebruik de az keyvault security-domain download
opdracht om het beveiligingsdomein te downloaden en uw beheerde HSM te activeren. In het volgende voorbeeld worden drie RSA-sleutelparen gebruikt (alleen openbare sleutels zijn nodig voor deze opdracht) en wordt het quorum ingesteld op twee.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt ze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat de twee sleutels kunnen delen.
Nadat het beveiligingsdomein is gedownload, krijgt uw HSM de status actief en kunt u uw HSM gebruiken.
Resources opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met volgende snelstarts en zelfstudies, kunt u deze resources intact laten.
U kunt de opdracht az group delete gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen wanneer u ze niet meer nodig hebt. U kunt de resources als volgt verwijderen:
az group delete --name ContosoResourceGroup
Waarschuwing
Als u de resourcegroep verwijdert, wordt de beheerde HSM in een voorlopig verwijderde status gebracht. De beheerde HSM wordt nog steeds gefactureerd totdat deze wordt opgeschoond. Zie Voorlopige verwijdering van HSM en beveiliging tegen opschonen
Volgende stappen
In deze quickstart hebt u een beheerde HSM ingericht en geactiveerd. Voor meer informatie over beheerde HSM en hoe u deze integreert met uw toepassingen, gaat u verder met deze artikelen.
- Bekijk een Overzicht van beheerde HSM's
- Meer informatie over het Beheren van sleutels in een beheerde HSM
- Meer informatie over rolbeheer voor een beheerde HSM
- Beoordeel Best practices voor beheerde HSM's