Share via


Quickstart: Een beheerde HSM inrichten en activeren met behulp van Azure CLI

In deze quickstart maakt en activeert u een azure Key Vault Managed HSM (Hardware Security Module) met Azure CLI. Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice met één tenant die voldoet aan standaarden waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van gevalideerde HSM's van FIPS 140-2 Niveau 3 . Raadpleeg het overzicht voor meer informatie over beheerde HSM.

Vereisten

Als u de stappen in dit artikel wilt uitvoeren, moet u het volgende hebben:

  • Een abonnement op Microsoft Azure. Als u nog geen abonnement hebt, kunt u zich aanmelden voor een gratis proefversie.
  • De Azure CLI versie 2.25.0 of hoger. Voer az --version uit om de versie te bekijken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren.

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. Schermopname van een voorbeeld van Probeer het nu voor Azure Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. Knop om Azure Cloud Shell te starten.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. Schermopname van de knop Cloud Shell in Azure Portal

Azure Cloud Shell gebruiken:

  1. Start Cloud Shell.

  2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

  3. Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.

  4. Selecteer Enter om de code of opdracht uit te voeren.

Aanmelden bij Azure

Als u zich wilt aanmelden bij Azure met behulp van de CLI, kunt u het volgende typen:

az login

Een brongroep maken

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. In het volgende voorbeeld wordt een resourcegroep gemaakt met de naam ContosoResourceGroup in de locatie eastus2.

az group create --name "ContosoResourceGroup" --location eastus2

Een beheerde HSM maken

Het maken van een beheerde HSM is een proces in twee stappen:

  1. Richt een beheerde HSM-resource in.
  2. Activeer uw beheerde HSM door een artefact te downloaden dat het beveiligingsdomein wordt genoemd.

Een beheerde HSM inrichten

Gebruik de opdracht az keyvault create om een beheerde HSM te maken. Het script heeft drie verplichte parameters: een resourcegroepnaam, een HSM-naam, en de geografische locatie.

U dient de volgende invoer op te geven om een beheerde HSM-resource te maken:

  • De resourcegroep waar deze in uw abonnement wordt geplaatst.
  • Azure-locatie.
  • Een lijst met initiële beheerders.

In het volgende voorbeeld wordt een HSM met de naam ContosoMHSM gemaakt, in de resourcegroep ContosoResourceGroup, die zich op de locatie VS - oost 2 bevindt, met de huidige aangemelde gebruiker als enige beheerder, met een bewaarperiode van 7 dagen voor voorlopig verwijderen. De beheerde HSM wordt nog steeds gefactureerd totdat deze wordt opgeschoond in een periode voor voorlopig verwijderen. Zie Beheerde HSM-beveiliging voor voorlopig verwijderen en opschonen voor meer informatie en lees meer over beheerde HSM-voorlopig verwijderen.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7

Notitie

Als u beheerde identiteiten gebruikt als de eerste beheerders van uw beheerde HSM, moet u de OID/PrincipalID van de beheerde identiteiten invoeren na '--administrators' en niet de ClientID.

Notitie

Het kan enkele minuten duren voor de maakopdracht is uitgevoerd. Zodra de opdracht is voltooid, bent u klaar om uw HSM te activeren.

Waarschuwing

Beheerde HSM-exemplaren worden beschouwd als altijd in gebruik. Als u ervoor kiest om beveiliging tegen opschonen in te schakelen met behulp van de --enable-purge-protection vlag, wordt u gefactureerd voor de gehele bewaarperiode.

In de uitvoer van deze opdracht worden de eigenschappen weergegeven van de beheerde HSM die u hebt gemaakt. De twee belangrijkste eigenschappen zijn:

  • name: In het voorbeeld is de naam ContosoMHSM. U gebruikt deze naam voor andere opdrachten.
  • hsmUri: In het voorbeeld is de URI 'https://contosohsm.managedhsm.azure.net.' Apps die via de REST API gebruikmaken van uw HSM moeten deze URI gebruiken.

Uw Azure-account is nu gemachtigd om alle bewerkingen op deze beheerde HSM uit te voeren. Op dit moment is nog niemand anders gemachtigd.

Uw beheerde HSM activeren

Alle gegevensvlakopdrachten zijn uitgeschakeld totdat de HSM wordt geactiveerd. U kunt bijvoorbeeld geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders, die zijn toegewezen tijdens het maken van de opdracht, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het beveiligingsdomein downloaden.

Als u uw HSM wilt activeren, hebt u het volgende nodig:

  • Minimaal drie RSA-sleutelparen opgeven (maximaal 10)
  • Het minimale aantal sleutels opgeven dat is vereist voor het ontsleutelen van het beveiligingsdomein (een quorum genoemd)

Als u de HSM wilt activeren, verzendt u ten minste drie (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Als het downloaden van dit beveiligingsdomein voltooid is, is uw HSM klaar voor gebruik. U moet ook een quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat vereist is voor het ontsleutelen van het beveiligingsdomein.

In het volgende voorbeeld ziet u hoe openssl u drie zelfondertekende certificaten genereert.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Notitie

Zelfs als het certificaat is verlopen, kan het nog steeds worden gebruikt om het beveiligingsdomein te herstellen.

Belangrijk

Maak de RSA-sleutelparen en het beveiligingsdomeinbestand dat in deze stap is gegenereerd en sla ze op een veilige manier op.

Gebruik de az keyvault security-domain download opdracht om het beveiligingsdomein te downloaden en uw beheerde HSM te activeren. In het volgende voorbeeld worden drie RSA-sleutelparen gebruikt (alleen openbare sleutels zijn nodig voor deze opdracht) en wordt het quorum ingesteld op twee.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt ze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat de twee sleutels kunnen delen.

Nadat het beveiligingsdomein is gedownload, krijgt uw HSM de status actief en kunt u uw HSM gebruiken.

Resources opschonen

Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met volgende snelstarts en zelfstudies, kunt u deze resources intact laten.

U kunt de opdracht az group delete gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen wanneer u ze niet meer nodig hebt. U kunt de resources als volgt verwijderen:

az group delete --name ContosoResourceGroup

Waarschuwing

Als u de resourcegroep verwijdert, wordt de beheerde HSM in een voorlopig verwijderde status gebracht. De beheerde HSM wordt nog steeds gefactureerd totdat deze wordt opgeschoond. Zie Voorlopige verwijdering van HSM en beveiliging tegen opschonen

Volgende stappen

In deze quickstart hebt u een beheerde HSM ingericht en geactiveerd. Voor meer informatie over beheerde HSM en hoe u deze integreert met uw toepassingen, gaat u verder met deze artikelen.