Delen via

Quickstart: Azure Cloud HSM implementeren met behulp van Azure PowerShell

Azure Cloud HSM is een maximaal beschikbare FIPS 140-3 Level 3 gevalideerde service met één tenant waarmee u HSM's (Hardware Security Modules) kunt implementeren met behulp van verschillende methoden. Deze methoden omvatten de Azure CLI, Azure PowerShell, Azure Resource Manager-sjablonen (ARM-sjablonen), Terraform of Azure Portal. In deze quickstart wordt u begeleid bij het implementatieproces in Azure PowerShell.

Vereiste voorwaarden

  • Een Azure-account met een actief abonnement. Als u nog geen account hebt, maakt u een gratis account voordat u begint.
  • De nieuwste versie van Azure PowerShell geïnstalleerd.
  • Juiste machtigingen voor het maken van resources in uw abonnement, inclusief HSM-resources.
  • Voor productieomgevingen, een bestaand virtueel netwerk en subnet voor het configureren van privé-eindpunten.

Een Azure Cloud HSM-exemplaar maken

Met de volgende voorbeeldcode wordt een resourcegroep en een Cloud HSM-exemplaar gemaakt. U moet het abonnement, de resourcegroep, de locatie en de HSM-naam bijwerken zodat deze overeenkomt met uw omgeving.

Belangrijk

De HSM-naam moet uniek zijn. Als u een HSM-naam opgeeft die al bestaat in de gekozen regio, mislukt uw implementatie.

# Define variables for your Cloud HSM deployment
$server = @{
    Location = "<RegionName>"
    Sku = @{"family" = "B"; "Name" = "Standard_B1" }
    ResourceName = "<HSMName>"
    ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
    ResourceGroupName = "<ResourceGroupName>"
    Force = $true
}

# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force

# Create an HSM cluster
New-AzResource @server -AsJob -Verbose

Opmerking

U wordt aangeraden uw Cloud HSM-resources te implementeren in een afzonderlijke resourcegroep van uw bijbehorende virtuele netwerk en virtuele machine (VM)-resources. Het gebruik van een afzonderlijke resourcegroep biedt betere beheer- en beveiligingsisolatie.

Een beheerde identiteit configureren (optioneel)

Voor back-up- en herstelbewerkingen in Azure Cloud HSM moet u een door de gebruiker toegewezen beheerde identiteit maken. Deze identiteit wordt gebruikt voor het overdragen van Cloud HSM-back-ups naar uw aangewezen opslagaccount in BCDR-scenario's (bedrijfscontinuïteit en herstel na noodgevallen).

Als u van plan bent back-up- en herstelfunctionaliteit te gebruiken, kunt u een beheerde identiteit maken en configureren met behulp van de volgende Azure PowerShell-opdrachten:

# Define parameters for the new managed identity
$identity = @{
    Location          = "<RegionName>"                                         
    ResourceName      = "<ManagedIdentityName>"                                         
    ResourceGroupName = "<ResourceGroupName>"
}

# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location

# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id

# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
    Sku = @{
        Family = "B"
        Name = "Standard_B1"
    }
    Location = $server.Location
    Identity = @{
        type = "UserAssigned"
        userAssignedIdentities = @{
            "/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
        }
    }
} | ConvertTo-Json -Depth 4

# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"

# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch

Zie Back-up maken en herstellen van Azure Cloud HSM-resources voor gedetailleerde instructies voor het configureren van back-up- en herstelbewerkingen.

Netwerk instellen

Voor productieomgevingen raden we u ten zeerste aan een privé-eindpunt te configureren voor uw Cloud HSM-implementatie om veilige communicatie te garanderen. U kunt de volgende Azure PowerShell-opdrachten gebruiken om een privé-eindpunt te maken:

# Define private endpoint parameters
$privateEndpoint = @{
    Name = "<PrivateEndpointName>"
    ResourceGroupName = $server.ResourceGroupName
    Location = $server.Location
    Subnet = $subnet # You need to have $subnet defined with your subnet configuration
    PrivateLinkServiceConnection = @{
        Name = "$($server.ResourceName)-connection"
        PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
        GroupId = "cloudhsmclusters"
    }
}

# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint

Aanbeveling

Privé-eindpunten zijn cruciaal voor beveiliging. Ze maken beveiligde verbindingen met uw Azure Cloud HSM-exemplaar mogelijk via een privékoppeling. Deze verbindingen zorgen ervoor dat verkeer tussen uw virtuele netwerk en de service het Microsoft backbone-netwerk doorkruist. Deze configuratie elimineert blootstelling aan het openbare internet, zoals beschreven in netwerkbeveiliging voor Azure Cloud HSM.

Uw Cloud HSM-resource implementeren

Wanneer u de New-AzResource opdracht uitvoert met de -AsJob parameter, wordt er een achtergrondtaak gemaakt om uw Cloud HSM-resource te implementeren. U kunt de status van de implementatie controleren door het volgende uit te voeren:

Get-Job -Id <JobId> | Receive-Job

In de voorgaande opdracht <JobId> is de id die het systeem heeft geretourneerd toen u de New-AzResource opdracht hebt uitgevoerd.

De implementatie is voltooid wanneer u een geslaagd resultaat van de taak ziet of wanneer u kunt controleren of de resource bestaat in uw Azure-abonnement.

Uw HSM initialiseren en configureren

U kunt azure Cloud HSM-activering en -configuratie niet rechtstreeks via Azure PowerShell uitvoeren. U hebt de Azure Cloud HSM SDK en clienthulpprogramma's nodig.

Nadat u uw Cloud HSM-resource hebt geïmplementeerd via Azure PowerShell, voert u de volgende stappen uit:

  1. Download en installeer de Azure Cloud HSM SDK vanuit GitHub op een VIRTUELE machine met netwerkconnectiviteit met uw HSM.

  2. Initialiseer en configureer uw HSM door de gedetailleerde stappen in de onboardinghandleiding voor Azure Cloud HSM te volgen.

  3. Stel gebruikersbeheer in met de juiste cryptografiefunctionarissen en gebruikers, zoals beschreven in Gebruikersbeheer in Azure Cloud HSM.

  4. Implementeer de juiste procedures voor sleutelbeheer om optimale beveiliging en prestaties te garanderen, zoals wordt beschreven in Sleutelbeheer in Azure Cloud HSM.

De hulpbronnen opschonen

Als u alleen voor deze quickstart een resourcegroep hebt gemaakt en u deze resources niet hoeft te behouden, kunt u de hele resourcegroep verwijderen:

Remove-AzResourceGroup -Name $server.ResourceGroupName -Force

Veelvoorkomende implementatieproblemen oplossen

Als u problemen ondervindt tijdens de implementatie:

  • Resourcenaamconflicten: zorg ervoor dat uw HSM-naam uniek is in de regio. Als de implementatie mislukt met een naamconflict, probeert u een andere naam.
  • Problemen met de netwerkverbinding: als u privé-eindpunten gebruikt, controleert u of uw VM de juiste netwerktoegang heeft tot de HSM. Voor aanbevolen procedures, zie Netwerkbeveiliging voor Azure Cloud HSM.
  • Verificatiefouten: wanneer u de HSM initialiseert, moet u ervoor zorgen dat u de juiste indeling voor referenties gebruikt, zoals wordt beschreven in Verificatie in Azure Cloud HSM.
  • Problemen met beheerde identiteit: als back-upbewerkingen mislukken, controleert u of de beheerde identiteit juist is toegewezen en beschikt u over de benodigde machtigingen.

Verwante inhoud

  • Last updated on