Een beheerde HSM beheren met de Azure CLI

Notitie

Key Vault ondersteunt twee typen resources: kluizen en beheerde HSM's. Dit artikel gaat over beheerde HSM. Als u wilt weten hoe u een kluis beheert, raadpleegt u Key Vault beheren met de Azure CLI.

Zie Wat is beheerde HSM? voor een overzicht van beheerde HSM.

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Vereisten

U moet over de volgende items beschikken om de stappen in dit artikel uit te kunnen voeren:

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Proberen selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. Schermopname van een voorbeeld van Probeer het nu voor Azure Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. Schermopname waarin te zien is hoe u Cloud Shell in een nieuw venster start.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. Schermopname van de knop Cloud Shell in Azure Portal

Azure Cloud Shell gebruiken:

  1. Start Cloud Shell.

  2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

  3. Plak de code of opdracht in de Cloud Shell sessie door Ctrl+Shift+V te selecteren in Windows en Linux of door Cmd+Shift+V in macOS te selecteren.

  4. Selecteer Enter om de code of opdracht uit te voeren.

Aanmelden bij Azure

Als u zich wilt aanmelden bij Azure met behulp van de CLI, typt u:

az login

Zie Aanmelden met de Azure CLI voor meer informatie over opties voor aanmelding via de CLI

Notitie

Bij alle onderstaande opdrachten worden twee gebruiksmethoden weergegeven. Een met de parameters --hsm-name en --name (voor de sleutelnaam) en een andere met de parameter --id, waarin u de volledige URL kunt opgeven, inclusief de naam van de sleutel, indien van toepassing. De laatste methode is handig wanneer de oproepende functie (een gebruiker of een toepassing) geen leestoegang heeft tot het besturingsvlak en alleen beperkte toegang tot het gegevensvlak.

Notitie

Voor sommige interacties met sleutelmateriaal zijn specifieke lokale RBAC-machtigingen vereist. Zie Ingebouwde RBAC-rollen voor beheerde HSM voor een volledige lijst met ingebouwde lokale RBAC-rollen en -machtigingen. Zie Beveiligde toegang tot uw beheerde HSM's om deze machtigingen aan een gebruiker toe te wijzen

HSM-sleutel maken

Notitie

Sleutel die is gegenereerd of geïmporteerd in beheerde HSM, kan niet worden geëxporteerd. Raadpleeg aanbevolen procedures voor belangrijke draagbaarheid en duurzaamheid.

Gebruik de opdracht az keyvault key create om een sleutel te maken.

Een RSA-sleutel maken

In het volgende voorbeeld ziet u hoe u een 3072-bits RSA-sleutel maakt die alleen wordt gebruikt voor wrapKey, unwrapKey-bewerkingen (--ops).

az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072

## OR
# Note the key name (myrsakey) in the URI

az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072

Let op: de get-bewerking retourneert alleen de openbare sleutel en sleutelkenmerken. De persoonlijke sleutel (in het geval van een asymmetrische sleutel) of het sleutelmateriaal (in het geval van een symmetrische sleutel) wordt niet geretourneerd.

EC-sleutel maken

In het onderstaande voorbeeld ziet u hoe u met de P-256-curve een EC-sleutel maakt die alleen wordt gebruikt voor de bewerkingen ondertekenen en verifiëren (--ops) en die twee labels heeft: usage en appname. Met tags kunt u aanvullende metagegevens aan de sleutel toevoegen voor bijhouden en beheren.

az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify  --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256

## OR
# Note the key name (myec256key) in the URI

az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify  --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256

Een 256-bits symmetrische sleutel maken

In het volgende voorbeeld ziet u hoe u een 256-bits symmetrische sleutel maakt die alleen wordt gebruikt voor de bewerkingen versleutelen en ontsleutelen (--ops).

az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt  --tags --kty oct-HSM --size 256

## OR
# Note the key name (myaeskey) in the URI

az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt  --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256

Sleutelkenmerken en -tags weergeven

Gebruik de opdracht az keyvault key show om kenmerken, versies en tags voor een sleutel weer te geven.

az keyvault key show --hsm-name ContosoHSM --name myrsakey

## OR
# Note the key name (myaeskey) in the URI

az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey

Sleutels vermelden

Gebruik de opdracht az keyvault key list om alle sleutels in een beheerde HSM weer te geven.

az keyvault key list --hsm-name ContosoHSM

## OR
# use full URI

az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/

Een sleutel verwijderen

Gebruik de opdracht az keyvault key delete om een sleutel uit een beheerde HSM te verwijderen. Let op: zacht verwijderen is altijd ingeschakeld. Daarom houdt een verwijderde sleutel de status Verwijderd en kan worden hersteld totdat het aantal retentiedagen is verstreken. Na die periode wordt de sleutel opgeschoond (permanent verwijderd) zonder dat herstel mogelijk is.

az keyvault key delete --hsm-name ContosoHSM --name myrsakey

## OR
# Note the key name (myaeskey) in the URI

az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey

Verwijderde sleutels vermelden

Gebruik de opdracht az keyvault key list-deleted om alle sleutels met de status Verwijderd in uw beheerde HSM te vermelden.

az keyvault key list-deleted --hsm-name ContosoHSM

## OR
# use full URI

az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/

Een verwijderde sleutel herstellen (verwijderen ongedaan maken)

Gebruik de opdracht az keyvault key list-deleted om alle sleutels met de status Verwijderd in uw beheerde HSM te vermelden. Als u een sleutel wilt herstellen (verwijderen ongedaan maken) met de parameter --id terwijl een verwijderde sleutel wordt hersteld, moet u de recoveryId-waarde noteren van de verwijderde sleutel die u via de opdracht az keyvault key list-deleted hebt verkregen.

az keyvault key recover --hsm-name ContosoHSM --name myrsakey

## OR
# Note the key name (myaeskey) in the URI

az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey

Een sleutel opschonen (permanent verwijderen)

Gebruik de opdracht az keyvault key purge voor het opschonen (permanent verwijderen) van een sleutel.

Notitie

Als voor de beheerde HSM beveiliging tegen opschonen is ingeschakeld, wordt de opschoonbewerking niet toegestaan. De sleutel wordt automatisch opgeschoond wanneer de retentieperiode is verstreken.

az keyvault key purge --hsm-name ContosoHSM --name myrsakey

## OR
# Note the key name (myaeskey) in the URI

az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey

Back-up van één sleutel maken

Gebruik az keyvault key backup om een back-up van een sleutel te maken. Het back-upbestand is een versleutelde blob die cryptografisch is gebonden aan het beveiligingsdomein van de bron-HSM. Het bestand kan alleen worden hersteld in HSM's die hetzelfde beveiligingsdomein hebben. Meer informatie over het beveiligingsdomein.

az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup

## OR
# Note the key name (myaeskey) in the URI

az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey  --file myrsakey.backup

Eén sleutel herstellen vanuit een back-up

Gebruik az keyvault key restore om één sleutel te herstellen. De bron-HSM waar de back-up is gemaakt, moet hetzelfde beveiligingsdomein hebben als de doel-HSM waar de sleutel wordt hersteld.

Notitie

Het herstellen mislukt als er een sleutel met dezelfde naam in een actieve of verwijderde status is.

az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup

## OR
# Note the key name (myaeskey) in the URI

az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup

Een sleutel uit een bestand importeren

Gebruik de opdracht az keyvault key import om een sleutel (alleen RSA en EC) uit een bestand te importeren. Het certificaatbestand moet een persoonlijke sleutel hebben en moet PEM-codering gebruiken (zoals gedefinieerd in RFC's 1421, 1422, 1423 en 1424).

az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --password 'mypassword'

## OR
# Note the key name (myaeskey) in the URI

az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'

Zie Met HSM beveiligde sleutels importeren in beheerde HSM (BYOK) als u een sleutel uit uw on-premises HSM wilt importeren in een beheerde HSM

Volgende stappen