Een beheerde HSM beheren met de Azure CLI
Notitie
Key Vault ondersteunt twee typen resources: kluizen en beheerde HSM's. Dit artikel gaat over beheerde HSM. Als u wilt weten hoe u een kluis beheert, raadpleegt u Key Vault beheren met de Azure CLI.
Zie Wat is beheerde HSM? voor een overzicht van beheerde HSM.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Vereisten
U moet over de volgende items beschikken om de stappen in dit artikel uit te kunnen voeren:
- Een abonnement op Microsoft Azure. Als u nog geen abonnement hebt, kunt u zich aanmelden voor een gratis proefabonnement.
- De Azure CLI versie 2.25.0 of hoger. Voer
az --versionuit om de versie te bekijken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren. - Een beheerde HSM in uw abonnement. Zie quickstart: Een beheerde HSM inrichten en activeren met behulp van Azure CLI om een beheerde HSM in te richten en te activeren.
Azure Cloud Shell
Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.
Om Azure Cloud Shell op te starten:
| Optie | Voorbeeld/koppeling |
|---|---|
| Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. |  |
| Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. |  |
| Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. |  |
Azure Cloud Shell gebruiken:
Start Cloud Shell.
Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.
Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.
Selecteer Enter om de code of opdracht uit te voeren.
Aanmelden bij Azure
Als u zich wilt aanmelden bij Azure met behulp van de CLI, typt u:
az login
Zie Aanmelden met de Azure CLI voor meer informatie over opties voor aanmelding via de CLI
Notitie
Bij alle onderstaande opdrachten worden twee gebruiksmethoden weergegeven. Een met parameters --hsm-name en --name (voor sleutelnaam) en een andere met behulp van de parameter --id , waar u de volledige URL kunt opgeven, inclusief de sleutelnaam, indien van toepassing. De laatste methode is handig wanneer de oproepende functie (een gebruiker of een toepassing) geen leestoegang heeft tot het besturingsvlak en alleen beperkte toegang tot het gegevensvlak.
Notitie
Voor sommige interacties met sleutelmateriaal zijn specifieke lokale RBAC-machtigingen vereist. Zie Ingebouwde rollen en machtigingen voor beheerde HSM-lokale RBAC voor een volledige lijst met ingebouwde lokale RBAC-rollen voor beheerde HSM. Als u deze machtigingen aan een gebruiker wilt toewijzen, raadpleegt u Beveiligde toegang tot uw beheerde HSM's
HSM-sleutel maken
Notitie
De sleutel die is gegenereerd of geïmporteerd in beheerde HSM, kan niet worden geëxporteerd. Raadpleeg de aanbevolen aanbevolen procedures voor de belangrijkste draagbaarheid en duurzaamheid.
Gebruik de opdracht az keyvault key create om een sleutel te maken.
Een RSA-sleutel maken
In het volgende voorbeeld ziet u hoe u een 3072-bits RSA-sleutel maakt die alleen wordt gebruikt voor wrapKey, unwrapKey-bewerkingen (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
Let op: de get-bewerking retourneert alleen de openbare sleutel en sleutelkenmerken. De persoonlijke sleutel (in het geval van een asymmetrische sleutel) of het sleutelmateriaal (in het geval van een symmetrische sleutel) wordt niet geretourneerd.
EC-sleutel maken
In het onderstaande voorbeeld ziet u hoe u met de P-256-curve een EC-sleutel maakt die alleen wordt gebruikt voor de bewerkingen ondertekenen en verifiëren (--ops) en die twee labels heeft: usage en appname. Met tags kunt u aanvullende metagegevens aan de sleutel toevoegen voor bijhouden en beheren.
az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
Een 256-bits symmetrische sleutel maken
In het volgende voorbeeld ziet u hoe u een 256-bits symmetrische sleutel maakt die alleen wordt gebruikt voor de bewerkingen versleutelen en ontsleutelen (--ops).
az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt --tags --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256
Sleutelkenmerken en -tags weergeven
Gebruik de opdracht az keyvault key show om kenmerken, versies en tags voor een sleutel weer te geven.
az keyvault key show --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Sleutels vermelden
Gebruik de opdracht az keyvault key list om alle sleutels in een beheerde HSM weer te geven.
az keyvault key list --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/
Een sleutel verwijderen
Gebruik de opdracht az keyvault key delete om een sleutel uit een beheerde HSM te verwijderen. Let op: zacht verwijderen is altijd ingeschakeld. Daarom houdt een verwijderde sleutel de status Verwijderd en kan worden hersteld totdat het aantal retentiedagen is verstreken. Na die periode wordt de sleutel opgeschoond (permanent verwijderd) zonder dat herstel mogelijk is.
az keyvault key delete --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Verwijderde sleutels vermelden
Gebruik de opdracht az keyvault key list-deleted om alle sleutels met de status Verwijderd in uw beheerde HSM te vermelden.
az keyvault key list-deleted --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/
Een verwijderde sleutel herstellen (verwijderen ongedaan maken)
Gebruik de opdracht az keyvault key list-deleted om alle sleutels met de status Verwijderd in uw beheerde HSM te vermelden. Als u een sleutel wilt herstellen (verwijderen ongedaan maken) met de parameter --id terwijl een verwijderde sleutel wordt hersteld, moet u de recoveryId-waarde noteren van de verwijderde sleutel die u via de opdracht az keyvault key list-deleted hebt verkregen.
az keyvault key recover --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Een sleutel opschonen (permanent verwijderen)
Gebruik de opdracht az keyvault key purge voor het opschonen (permanent verwijderen) van een sleutel.
Notitie
Als voor de beheerde HSM beveiliging tegen opschonen is ingeschakeld, wordt de opschoonbewerking niet toegestaan. De sleutel wordt automatisch opgeschoond wanneer de retentieperiode is verstreken.
az keyvault key purge --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Back-up van één sleutel maken
Gebruik az keyvault key backup om een back-up van een sleutel te maken. Het back-upbestand is een versleutelde blob die cryptografisch is gebonden aan het beveiligingsdomein van de bron-HSM. Het bestand kan alleen worden hersteld in HSM's die hetzelfde beveiligingsdomein hebben. Meer informatie over het beveiligingsdomein.
az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Eén sleutel herstellen vanuit een back-up
Gebruik az keyvault key restore om één sleutel te herstellen. De bron-HSM waar de back-up is gemaakt, moet hetzelfde beveiligingsdomein hebben als de doel-HSM waar de sleutel wordt hersteld.
Notitie
Het herstellen mislukt als er een sleutel met dezelfde naam in een actieve of verwijderde status is.
az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Een sleutel uit een bestand importeren
Gebruik de opdracht az keyvault key import om een sleutel (alleen RSA en EC) uit een bestand te importeren. Het certificaatbestand moet een persoonlijke sleutel hebben en moet PEM-codering gebruiken (zoals gedefinieerd in RFC's 1421, 1422, 1423 en 1424).
az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --password 'mypassword'
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'
Als u een sleutel uit uw on-premises HSM wilt importeren in een beheerde HSM, raadpleegt u Met HSM beveiligde sleutels importeren in beheerde HSM (BYOK)
Volgende stappen
- Raadpleeg Naslaginformatie voor Key Vault CLI voor de volledige naslaginformatie van Azure CLI over sleutelkluisopdrachten.
- Raadpleeg de Ontwikkelaarshandleiding voor Azure Key Vault voor naslaginformatie over programmeren.
- Meer informatie over Rolbeheer van beheerde HSM
- Meer informatie over Best practices voor beheerde HSM