Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym szybkim starcie utworzysz i aktywujesz zarządzany moduł HSM usługi Azure Key Vault (sprzętowy moduł zabezpieczeń) przy użyciu Azure CLI. Kompleksowo zarządzany HSM to w pełni zarządzana, wysoce dostępna, jednostanowa usługa w chmurze zgodna ze standardami, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu modułów HSM zweryfikowanych według standardu FIPS 140-3 poziomu 3. Aby uzyskać więcej informacji na temat zarządzanego modułu HSM, zapoznaj się z omówieniem.
Wymagania wstępne
Wymagana jest subskrypcja Azure. Jeśli go nie masz, przed rozpoczęciem utwórz bezpłatne konto .
Potrzebne są również następujące elementy:
- Azure CLI w wersji 2.25.0 lub nowszej. Uruchom polecenie
az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli musisz zainstalować lub uaktualnić, zobacz Instaluj Azure CLI.
Azure Cloud Shell
Azure udostępnia Azure Cloud Shell, interaktywne środowisko powłoki, którym można się posługiwać przez przeglądarkę. Możesz użyć zarówno Bash, jak i PowerShell z Cloud Shell do pracy z usługami Azure. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby rozpocząć Azure Cloud Shell:
| Opcja | Przykład/link |
|---|---|
| Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie Try It nie powoduje automatycznego skopiowania kodu ani polecenia do Cloud Shell. |
|
| Przejdź do https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć Cloud Shell w przeglądarce. |
|
| Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu Azure portal. |
|
Aby użyć Azure Cloud Shell:
Uruchom Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji Cloud Shell, wybierając Ctrl+Shift+V w Windows i Linux, lub wybierając Cmd+Shift+V w systemie macOS.
Wybierz Enter, aby uruchomić kod lub polecenie.
Zaloguj się do Azure
Aby zalogować się do Azure przy użyciu interfejsu wiersza polecenia, wprowadź:
az login
Aby uzyskać więcej informacji na temat opcji uwierzytelniania za pośrednictwem interfejsu wiersza polecenia, zobacz
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener, w którym Azure zasoby są wdrażane i zarządzane. Użyj polecenia az group create , aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus .
az group create --name "myResourceGroup" --location "EastUS"
Utwórz zarządzany moduł HSM
Tworzenie zarządzanego modułu HSM jest procesem dwuetapowym:
- Udostępnij zasób zarządzanego modułu zabezpieczeń HSM.
- Aktywuj zarządzany moduł HSM, pobierając artefakt o nazwie domena zabezpieczeń.
Skonfiguruj zarządzany HSM
Użyj polecenia , az keyvault create aby utworzyć zarządzany moduł HSM. Ten skrypt ma trzy obowiązkowe parametry: nazwę grupy zasobów, nazwę modułu HSM i lokalizację geograficzną.
Aby utworzyć zasób zarządzanego modułu HSM, podaj następujące dane wejściowe:
Nazwa zarządzanego modułu HSM: ciąg zawierający od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-).
Ważne
Każdy zarządzany moduł HSM musi mieć unikatową nazwę. Zastąp
<hsm-name>swoją unikatową nazwą Zarządzanego HSM w poniższych przykładach.Nazwa grupy zasobów: myResourceGroup.
Lokalizacja: EastUS.
Lista początkowych administratorów.
Poniższy przykład tworzy moduł HSM o nazwie <hsm-name> w grupie zasobów myResourceGroup, zlokalizowanej w EastUS, z aktualnie zalogowanym użytkownikiem jako jedynym administratorem i 7-dniowym okresem przechowywania dla usuwania miękkiego. Kontynuujesz płacenie za zarządzany HSM, aż do jego usunięcia w okresie miękkiego usuwania. Aby uzyskać więcej informacji, zobacz Zarządzane HSM - miękkie usuwanie i ochrona przed usuwaniem i dowiedz się więcej na temat miękkiego usuwania zarządzanego modułu HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Uwaga
Jeśli używasz tożsamości zarządzanych jako początkowych administratorów zarządzanego modułu HSM, wprowadź identyfikator OID/principalID tożsamości zarządzanych po --administrators, a nie identyfikator ClientID.
Uwaga
Polecenie create może potrwać kilka minut. Po pomyślnym powrocie możesz aktywować moduł HSM.
Ostrzeżenie
Wystąpienia zarządzanego modułu HSM są zawsze używane. Jeśli włączysz ochronę przed usuwaniem przy użyciu flagi --enable-purge-protection, płacisz za cały okres przechowywania.
Dane wyjściowe tego polecenia zawierają właściwości utworzonego zarządzanego modułu HSM. Dwie najważniejsze właściwości to:
- name: określona nazwa. Używasz tej nazwy dla innych poleceń.
-
hsmUri: identyfikator URI modułu HSM (na przykład
https://<hsm-name>.managedhsm.azure.net). Aplikacje korzystające z modułu HSM za pośrednictwem interfejsu API REST muszą używać tego identyfikatora URI.
Twoje konto Azure jest teraz autoryzowane do wykonywania jakichkolwiek operacji na tym zarządzanym module HSM. Od tej pory nikt inny nie jest autoryzowany.
Aktywowanie zarządzanego modułu HSM
Wszystkie polecenia płaszczyzny danych są wyłączone do momentu aktywowania modułu HSM. Nie można tworzyć kluczy ani przypisywać ról. Tylko wyznaczeni administratorzy przypisani podczas tworzenia polecenia mogą aktywować moduł HSM. Aby aktywować moduł HSM, należy pobrać domenę zabezpieczeń.
Aby aktywować moduł HSM, potrzebne są następujące elementy:
- Co najmniej trzy pary kluczy RSA (maksymalnie 10)
- Minimalna liczba kluczy wymaganych do odszyfrowania domeny zabezpieczeń (nazywanej kworum)
Do modułu HSM wysyłasz co najmniej trzy (maksymalnie 10) klucze publiczne RSA. Moduł HSM szyfruje domenę zabezpieczeń przy użyciu tych kluczy i wysyła je z powrotem. Po pomyślnym zakończeniu downloadingu domeny zabezpieczeń moduł HSM jest gotowy do użycia. Należy również określić kworum, czyli minimalną liczbę kluczy prywatnych wymaganych do odszyfrowania domeny zabezpieczeń.
W poniższym przykładzie pokazano, jak użyć openssl do wygenerowania trzech certyfikatów z podpisem własnym.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Data wygaśnięcia certyfikatu nie ma wpływu na operacje domeny zabezpieczeń — nawet "wygasły" certyfikat nadal może służyć do przywrócenia domeny zabezpieczeń.
Ważne
Te klucze prywatne RSA są podstawą zaufania dla Zarządzanego HSM. W środowiskach produkcyjnych wygeneruj te klucze przy użyciu systemu odizolowanego lub lokalnego modułu HSM i przechowuj je bezpiecznie. Aby uzyskać szczegółowe wskazówki, zobacz Najlepsze rozwiązania dotyczące domeny zabezpieczeń .
Użyj polecenia az keyvault security-domain download, aby pobrać domenę zabezpieczeń i aktywować Zarządzany HSM. W poniższym przykładzie użyto trzech par kluczy RSA (wymagane są tylko klucze publiczne) i ustawia kworum na dwa.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Bezpiecznie przechowuj plik domeny zabezpieczeń i pary kluczy RSA. Są one potrzebne do odzyskiwania po awarii lub do utworzenia innego zarządzanego modułu HSM, który współużytkuje tę samą domenę zabezpieczeń, aby te dwa mogły współużytkować klucze.
Po pomyślnym pobraniu domeny zabezpieczeń moduł HSM jest w stanie aktywnym i jest gotowy do użycia.
Czyszczenie zasobów
Inne szybkie starty i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz nadal korzystać z kolejnych szybkich startów i samouczków, warto pozostawić te zasoby na miejscu.
Gdy grupa nie będzie już potrzebna, możesz użyć Azure CLI az group delete polecenie, aby usunąć grupę zasobów i wszystkie powiązane zasoby:
az group delete --name "myResourceGroup"
Ostrzeżenie
Usunięcie grupy zasobów powoduje przełączenie zarządzanego modułu HSM do stanu usunięcia nietrwałego. Zarządzany moduł HSM będzie nadal rozliczany, dopóki nie zostanie usunięty. Zobacz Nietrwałe usuwanie zarządzanego modułu HSM i ochrona przed przeczyszczaniem
Następne kroki
W tym szybkim starcie aprowizowano zarządzany HSM i go aktywowano. Aby dowiedzieć się więcej na temat zarządzanego modułu HSM i sposobu integrowania go z aplikacjami, przejdź do tych artykułów.
- Przeczytaj omówienie zarządzanego modułu HSM
- Dowiedz się więcej o zarządzaniu kluczami w zarządzanym module HSM
- Dowiedz się więcej o zarządzaniu rolami dla zarządzanego modułu HSM
- Przejrzyj Zabezpiecz swoje wdrożenie zarządzanego modułu HSM Azure