Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym szybkim przewodniku utworzysz i aktywujesz zarządzany przez Azure Key Vault moduł HSM (sprzętowy moduł zabezpieczeń) za pomocą Azure CLI. Kompleksowo zarządzany HSM to w pełni zarządzana, wysoce dostępna, jednostanowa usługa w chmurze zgodna ze standardami, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu modułów HSM zweryfikowanych według standardu FIPS 140-3 poziomu 3. Aby uzyskać więcej informacji na temat zarządzanego modułu HSM, możesz zapoznać się z omówieniem.
Wymagania wstępne
Aby wykonać kroki opisane w tym artykule, musisz mieć następujące elementy:
- Subskrypcja Microsoft Azure. Jeśli go nie masz, możesz zarejestrować się w celu uzyskania bezpłatnej wersji próbnej.
- Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej. Uruchom polecenie
az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Azure Cloud Shell
Na platformie Azure hostowane jest interaktywne środowisko powłoki Azure Cloud Shell, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby uruchomić środowisko Azure Cloud Shell:
| Opcja | Przykład/link |
|---|---|
| Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell. |
|
| Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. |
|
| Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. |
|
Aby użyć usługi Azure Cloud Shell:
Uruchom usługę Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając Ctrl++V w systemie macOS.
Wybierz Enter, aby uruchomić kod lub polecenie.
Logowanie się do platformy Azure
Aby zalogować się do platformy Azure przy użyciu interfejsu wiersza polecenia, możesz wpisać:
az login
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Poniższy przykład tworzy grupę zasobów o nazwie ContosoResourceGroup w lokalizacji norwayeast.
az group create --name "ContosoResourceGroup" --location norwayeast
Utwórz zarządzany moduł HSM
Tworzenie zarządzanego modułu HSM jest procesem dwuetapowym:
- Udostępnij zasób zarządzanego modułu zabezpieczeń HSM.
- Aktywuj zarządzany moduł HSM, pobierając artefakt o nazwie domena zabezpieczeń.
Skonfiguruj zarządzany HSM
Użyj polecenia , az keyvault create aby utworzyć zarządzany moduł HSM. Ten skrypt ma trzy obowiązkowe parametry: nazwę grupy zasobów, nazwę modułu HSM i lokalizację geograficzną.
Aby utworzyć zasób zarządzanego modułu HSM, należy podać następujące dane wejściowe:
- Grupa zasobów, w której coś jest umieszczone w Twojej subskrypcji.
- Lokalizacja platformy Azure.
- Lista początkowych administratorów.
W poniższym przykładzie utworzono HSM o nazwie ContosoMHSM w grupie zasobów ContosoResourceGroup, znajdującej się w Norway East, z bieżącym zalogowanym użytkownikiem jako jedynym administratorem, z 7-dniowym okresem przechowywania dla miękkiego usuwania. Zarządzany moduł HSM będzie nadal rozliczany do momentu jego oczyszczenia w okresie miękkiego usunięcia. Aby uzyskać więcej informacji, zobacz Zarządzane HSM - miękkie usuwanie i ochrona przed usuwaniem i dowiedz się więcej na temat miękkiego usuwania zarządzanego modułu HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "norwayeast" --administrators $oid --retention-days 7
Uwaga
Jeśli używasz tożsamości zarządzanych jako początkowych administratorów zarządzanego modułu HSM, należy wprowadzić identyfikator OID lub PrincipalID tożsamości zarządzanych po wskazaniu '--administrators', a nie identyfikator ClientID.
Uwaga
Polecenie create może potrwać kilka minut. Gdy powrót zakończy się sukcesem, jesteś gotowy do aktywacji swojego modułu HSM.
Ostrzeżenie
Wystąpienia HSM zarządzane są uznawane za ciągle w użyciu. Jeśli zdecydujesz się włączyć ochronę przed usunięciem przy użyciu flagi --enable-purge-protection, opłaty są naliczane za cały okres przechowywania danych.
Dane wyjściowe tego polecenia zawierają właściwości utworzonego zarządzanego modułu HSM. Dwie najważniejsze właściwości to:
- name: W tym przykładzie nazwa to ContosoMHSM. Używasz tej nazwy dla innych poleceń.
- hsmUri: identyfikator URI w przykładzie to "https://contosohsm.managedhsm.azure.net." Aplikacje korzystające z modułu HSM za pośrednictwem interfejsu API REST muszą używać tego identyfikatora URI.
Twoje konto platformy Azure jest teraz autoryzowane do wykonywania jakichkolwiek operacji na tym zarządzanym module HSM. Od tej pory nikt inny nie jest autoryzowany.
Aktywowanie zarządzanego modułu HSM
Wszystkie polecenia płaszczyzny danych są wyłączone do momentu aktywowania modułu HSM. Na przykład nie można tworzyć kluczy ani przypisywać ról. Tylko wyznaczeni administratorzy, którzy zostali przypisani podczas tworzenia polecenia, mogą aktywować moduł HSM. Aby aktywować moduł HSM, należy pobrać domenę zabezpieczeń.
Aby aktywować moduł HSM, potrzebne są następujące elementy:
- Aby zapewnić co najmniej trzy pary kluczy RSA (maksymalnie 10)
- Aby określić minimalną liczbę kluczy wymaganych do odszyfrowywania domeny zabezpieczeń (nazywanej kworum)
Aby aktywować moduł HSM, należy wysłać co najmniej trzy (maksymalnie 10) klucze publiczne RSA do modułu HSM. Moduł HSM szyfruje domenę zabezpieczeń przy użyciu tych kluczy i wysyła je z powrotem. Po pomyślnym zakończeniu pobierania tej domeny zabezpieczeń moduł HSM jest gotowy do użycia. Należy również określić kworum, czyli minimalną liczbę kluczy prywatnych wymaganych do odszyfrowania domeny zabezpieczeń.
W poniższym przykładzie pokazano, jak za pomocą openssl wygenerować trzy certyfikaty z podpisem własnym.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Uwaga
Nawet jeśli certyfikat "wygasł", można go nadal użyć do przywrócenia domeny zabezpieczeń.
Ważne
Utwórz i zapisz pary kluczy RSA oraz plik domeny zabezpieczeń wygenerowany w tym kroku bezpiecznie.
Użyj polecenia az keyvault security-domain download, aby pobrać domenę zabezpieczeń i aktywować Zarządzany HSM. W poniższym przykładzie użyto trzech par kluczy RSA (wymagane są tylko klucze publiczne) i ustawia kworum na dwa.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Bezpiecznie przechowuj plik domeny zabezpieczeń i pary kluczy RSA. Są one potrzebne do odzyskiwania po awarii lub do utworzenia innego zarządzanego modułu HSM, który współużytkuje tę samą domenę zabezpieczeń, aby te dwa mogły współużytkować klucze.
Po pomyślnym pobraniu domeny zabezpieczeń moduł HSM będzie w stanie aktywnym i będzie gotowy do użycia.
Czyszczenie zasobów
Inne szybkie starty i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz nadal korzystać z kolejnych szybkich startów i samouczków, warto pozostawić te zasoby na miejscu.
Gdy grupa zasobów i wszystkie pokrewne zasoby nie będą już potrzebne, można je usunąć za pomocą polecenia az group delete. Możesz usunąć zasoby w następujący sposób:
az group delete --name ContosoResourceGroup
Ostrzeżenie
Usunięcie grupy zasobów powoduje przełączenie zarządzanego modułu HSM do stanu usunięcia nietrwałego. Zarządzany moduł HSM będzie nadal rozliczany, dopóki nie zostanie usunięty. Zobacz Nietrwałe usuwanie zarządzanego modułu HSM i ochrona przed przeczyszczaniem
Następne kroki
W tym szybkim starcie aprowizowano zarządzany HSM i go aktywowano. Aby dowiedzieć się więcej na temat zarządzanego modułu HSM i sposobu integrowania go z aplikacjami, przejdź do tych artykułów.
- Przeczytaj omówienie zarządzanego modułu HSM
- Dowiedz się więcej o zarządzaniu kluczami w zarządzanym module HSM
- Dowiedz się więcej o zarządzaniu rolami dla zarządzanego modułu HSM
- Zapoznaj się z artykułem Zabezpieczanie wdrożenia zarządzanego modułu HSM platformy Azure