Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze quickstart maakt en activeert u een Azure Key Vault Beheerde HSM (Hardware Security Module) met behulp van Azure CLI. Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice die compatibel is met één tenant, waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van met FIPS 140-3 niveau 3 gevalideerde HSM's. Raadpleeg het overzicht voor meer informatie over beheerde HSM.
Vereisten
Er is een Azure-abonnement vereist. Als u nog geen account hebt, maakt u een gratis account voordat u begint.
U hebt ook het volgende nodig:
- Azure CLI versie 2.25.0 of hoger. Voer
az --versionuit om de versie te bekijken. Als u de Azure CLI moet installeren of upgraden, zie dan Install the Azure CLI.
Azure Cloud Shell
Azure hosts Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om te werken met Azure services. U kunt de Cloud Shell vooraf geïnstalleerde opdrachten gebruiken om de code in dit artikel uit te voeren, zonder dat u iets hoeft te installeren in uw lokale omgeving.
Begin Azure Cloud Shell als volgt:
| Optie | Voorbeeld/koppeling |
|---|---|
| Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. |
|
| Ga naar https://shell.azure.com of selecteer de knop Launch Cloud Shell om Cloud Shell in uw browser te openen. |
|
| Selecteer de knop Cloud Shell in de menubalk rechtsboven in de Azure portal. |
|
Ga als volgende te werk om Azure Cloud Shell te gebruiken:
Start Cloud Shell.
Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.
Plak de code of opdracht in de Cloud Shell sessie door Ctrl+Shift+V te selecteren in Windows en Linux, of door Cmd+Shift+V te selecteren in macOS.
Selecteer Enter om de code of opdracht uit te voeren.
Meld u aan bij Azure
Als u zich wilt aanmelden bij Azure met behulp van de CLI, voert u het volgende in:
az login
Zie Aantekenen met Azure CLI voor meer informatie over verificatieopties via de CLI.
Een brongroep maken
Een resourcegroep is een logische container waarin Azure resources worden geïmplementeerd en beheerd. Gebruik de opdracht az group create om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.
az group create --name "myResourceGroup" --location "EastUS"
Een beheerde HSM maken
Het maken van een beheerde HSM is een proces in twee stappen:
- Richt een beheerde HSM-resource in.
- Activeer uw beheerde HSM door een artefact te downloaden dat het beveiligingsdomein wordt genoemd.
Een beheerde HSM inrichten
Gebruik de opdracht az keyvault create om een beheerde HSM te maken. Het script heeft drie verplichte parameters: een resourcegroepnaam, een HSM-naam, en de geografische locatie.
Als u een beheerde HSM-resource wilt maken, geeft u de volgende invoer op:
Beheerde HSM-naam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten.
Belangrijk
Elke beheerde HSM moet een unieke naam hebben. Vervang door
<hsm-name>uw eigen unieke beheerde HSM-naam in de volgende voorbeelden.Naam van resourcegroep: myResourceGroup.
Locatie: EastUS.
Een lijst met initiële beheerders.
In het volgende voorbeeld wordt een HSM gemaakt met de naam <hsm-name> in de resourcegroep myResourceGroup, die zich op de locatie EastUS bevindt, met de huidige aangemelde gebruiker als enige beheerder en een bewaarperiode van 7 dagen voor voorlopig verwijderen. U blijft betalen voor de beheerde HSM totdat deze in een periode voor voorlopig verwijderen is verwijderd. Zie Beheerde HSM voorlopig verwijderen en opschoningsbeveiliging voor meer informatie en lees meer over Beheerde HSM voorlopig verwijderen.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Notitie
Als u Beheerde Identiteiten gebruikt als de initiële beheerders van uw beheerde HSM, voert u de OID/PrincipalID van de Beheerde Identiteiten na --administrators en niet de ClientID in.
Notitie
Het kan enkele minuten duren voor de maakopdracht is uitgevoerd. Wanneer deze succesvol wordt geretourneerd, bent u klaar om uw HSM te activeren.
Waarschuwing
Beheerde HSM-exemplaren zijn altijd in gebruik. Als u beveiliging tegen opschonen inschakelt met behulp van de --enable-purge-protection vlag, betaalt u voor de volledige bewaarperiode.
In de uitvoer van deze opdracht ziet u eigenschappen van de beheerde HSM die u hebt gemaakt. De twee belangrijkste eigenschappen zijn:
- naam: de naam die u hebt opgegeven. U gebruikt deze naam voor andere opdrachten.
-
hsmUri: de URI voor uw HSM (bijvoorbeeld
https://<hsm-name>.managedhsm.azure.net). Apps die via de REST API gebruikmaken van uw HSM moeten deze URI gebruiken.
Uw Azure-account is nu gemachtigd om bewerkingen uit te voeren op deze beheerde HSM. Tot nu toe is nog niemand anders gemachtigd.
Uw beheerde HSM activeren
Alle gegevensvlakopdrachten zijn uitgeschakeld totdat u de HSM activeert. U kunt geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders die u tijdens de opdracht maken toewijst, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het beveiligingsdomein downloaden.
Als u uw HSM wilt activeren, hebt u het volgende nodig:
- Minimaal drie RSA-sleutelparen (maximaal 10)
- Het minimale aantal sleutels dat is vereist voor het ontsleutelen van het beveiligingsdomein (een quorum genoemd)
U verzendt ten minste drie (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Zodra het downloaden van het beveiligingsdomein is voltooid, kunt u uw HSM gebruiken. U moet ook het quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat nodig is om het beveiligingsdomein te ontsleutelen.
In het volgende voorbeeld ziet u hoe openssl u drie zelfondertekende certificaten genereert:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
De vervaldatum van het certificaat heeft geen invloed op bewerkingen van het beveiligingsdomein. Zelfs een verlopen certificaat kan nog steeds worden gebruikt om het beveiligingsdomein te herstellen.
Belangrijk
Deze persoonlijke RSA-sleutels vormen de basis van vertrouwen voor uw beheerde HSM. Genereer deze sleutels voor productieomgevingen door gebruik te maken van een air-gapped systeem of een on-premises HSM, en sla deze veilig op. Zie aanbevolen procedures voor beveiligingsdomeinen voor gedetailleerde richtlijnen.
Gebruik de az keyvault security-domain download opdracht om het beveiligingsdomein te downloaden en uw beheerde HSM te activeren. In het volgende voorbeeld worden drie RSA-sleutelparen gebruikt (alleen openbare sleutels zijn nodig voor deze opdracht) en wordt het quorum ingesteld op twee.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt ze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat de twee sleutels kunnen delen.
Nadat het beveiligingsdomein is gedownload, heeft uw HSM een actieve status en kunt u deze gebruiken.
Middelen opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met volgende snelstarts en zelfstudies, kunt u deze resources intact laten.
U kunt de opdracht Azure CLI az-groep verwijderen gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen wanneer u deze niet meer nodig hebt:
az group delete --name "myResourceGroup"
Waarschuwing
Als u de resourcegroep verwijdert, wordt de beheerde HSM in een voorlopig verwijderde status gebracht. De beheerde HSM wordt nog steeds gefactureerd totdat het wordt verwijderd. Zie Voorlopige verwijdering van HSM en beveiliging tegen opschonen
Volgende stappen
In deze quickstart hebt u een beheerde HSM ingericht en geactiveerd. Voor meer informatie over beheerde HSM en hoe u deze integreert met uw toepassingen, gaat u verder met deze artikelen.
- Bekijk een Overzicht van beheerde HSM's
- Meer informatie over het Beheren van sleutels in een beheerde HSM
- Meer informatie over rolbeheer voor een beheerde HSM
- Controleer Hoe u uw Azure Managed HSM-implementatie beveiligt