Udostępnij za pośrednictwem

Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure

  • Artykuł

W tym przewodniku Szybki start utworzysz i aktywujesz zarządzany moduł HSM usługi Azure Key Vault (sprzętowy moduł zabezpieczeń) przy użyciu interfejsu wiersza polecenia platformy Azure. Zarządzany moduł HSM to w pełni zarządzana, wysoce dostępna, jednodostępna, zgodna ze standardami usługa w chmurze, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych modułów HSM fiPS 140-2 poziom 3 . Aby uzyskać więcej informacji na temat zarządzanego modułu HSM, możesz zapoznać się z omówieniem.

Wymagania wstępne

Aby wykonać kroki opisane w tym artykule, musisz mieć następujące elementy:

  • Subskrypcja Microsoft Azure. Jeśli go nie masz, możesz zarejestrować się w celu uzyskania bezpłatnej wersji próbnej.
  • Interfejs wiersza polecenia platformy Azure w wersji 2.25.0 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie interfejsu, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Azure Cloud Shell

Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.

Aby uruchomić środowisko Azure Cloud Shell:

Opcja Przykład/link
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell. Zrzut ekranu przedstawiający przykład narzędzia Try It dla usługi Azure Cloud Shell.
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. Przycisk uruchamiania usługi Azure Cloud Shell.
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. Zrzut ekranu przedstawiający przycisk usługi Cloud Shell w witrynie Azure Portal

Aby użyć usługi Azure Cloud Shell:

  1. Uruchom usługę Cloud Shell.

  2. Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.

  3. Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.

  4. Wybierz Enter, aby uruchomić kod lub polecenie.

Logowanie się do platformy Azure

Aby zalogować się do platformy Azure przy użyciu interfejsu wiersza polecenia, możesz wpisać:

az login

Tworzenie grupy zasobów

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Poniższy przykład tworzy grupę zasobów o nazwie ContosoResourceGroup w lokalizacji norweskiej.

az group create --name "ContosoResourceGroup" --location norwayeast

Tworzenie zarządzanego modułu HSM

Tworzenie zarządzanego modułu HSM jest procesem dwuetapowym:

  1. Aprowizuj zasób zarządzanego modułu HSM.
  2. Aktywuj zarządzany moduł HSM, pobierając artefakt o nazwie domena zabezpieczeń.

Aprowizuj zarządzany moduł HSM

Użyj polecenia , az keyvault create aby utworzyć zarządzany moduł HSM. Ten skrypt ma trzy obowiązkowe parametry: nazwę grupy zasobów, nazwę modułu HSM i lokalizację geograficzną.

Aby utworzyć zasób zarządzanego modułu HSM, należy podać następujące dane wejściowe:

  • Grupa zasobów, w której zostanie umieszczona w subskrypcji.
  • Lokalizacja platformy Azure.
  • Lista początkowych administratorów.

W poniższym przykładzie utworzono moduł HSM o nazwie ContosoMHSM w grupie zasobów ContosoResourceGroup znajdującej się w lokalizacji Norwegia Wschodnia z bieżącym zalogowanym użytkownikiem jako jedynym administratorem z 7-dniowym okresem przechowywania w celu usunięcia nietrwałego. Zarządzany moduł HSM będzie nadal rozliczany do momentu przeczyszczania go w okresie usuwania nietrwałego. Aby uzyskać więcej informacji, zobacz Managed HSM soft-delete and purge protection (Zarządzanie usuwaniem nietrwałym modułu HSM i przeczyszczanie) oraz dowiedz się więcej na temat usuwania nietrwałego zarządzanego modułu HSM.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "norwayeast" --administrators $oid --retention-days 7

Uwaga

Jeśli używasz tożsamości zarządzanych jako początkowych administratorów zarządzanego modułu HSM, należy wprowadzić identyfikator OID/principalID tożsamości zarządzanych po identyfikatorze "--administrators", a nie identyfikatorze ClientID.

Uwaga

Polecenie create może potrwać kilka minut. Po pomyślnym powrocie można przystąpić do aktywowania modułu HSM.

Ostrzeżenie

Wystąpienia zarządzanego modułu HSM są uznawane za zawsze używane. Jeśli zdecydujesz się włączyć ochronę przed przeczyszczeniem --enable-purge-protection przy użyciu flagi, opłaty będą naliczane za cały okres przechowywania.

Dane wyjściowe tego polecenia pokazują właściwości utworzonego zarządzanego modułu HSM. Dwie najważniejsze właściwości to:

  • name: W tym przykładzie nazwa to ContosoMHSM. Użyjesz tej nazwy dla innych poleceń.
  • hsmUri: w przykładzie identyfikator URI to "https://contosohsm.managedhsm.azure.net." Aplikacje korzystające z modułu HSM za pośrednictwem interfejsu API REST muszą używać tego identyfikatora URI.

Twoje konto platformy Azure jest teraz autoryzowane do wykonywania jakichkolwiek operacji na tym zarządzanym module HSM. Od tej pory nikt inny nie jest autoryzowany.

Aktywowanie zarządzanego modułu HSM

Wszystkie polecenia płaszczyzny danych są wyłączone do momentu aktywowania modułu HSM. Na przykład nie będzie można tworzyć kluczy ani przypisywać ról. Tylko wyznaczeni administratorzy, którzy zostali przypisani podczas tworzenia polecenia, mogą aktywować moduł HSM. Aby aktywować moduł HSM, należy pobrać domenę zabezpieczeń.

Aby aktywować moduł HSM, potrzebne są następujące elementy:

  • Aby zapewnić co najmniej trzy pary kluczy RSA (maksymalnie 10)
  • Aby określić minimalną liczbę kluczy wymaganych do odszyfrowywania domeny zabezpieczeń (nazywanej kworum)

Aby aktywować moduł HSM, należy wysłać co najmniej trzy (maksymalnie 10) klucze publiczne RSA do modułu HSM. Moduł HSM szyfruje domenę zabezpieczeń przy użyciu tych kluczy i wysyła je z powrotem. Po pomyślnym zakończeniu pobierania tej domeny zabezpieczeń moduł HSM jest gotowy do użycia. Należy również określić kworum, czyli minimalną liczbę kluczy prywatnych wymaganych do odszyfrowania domeny zabezpieczeń.

W poniższym przykładzie pokazano, jak wygenerować openssl trzy certyfikaty z podpisem własnym.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Uwaga

Nawet jeśli certyfikat "wygasł", można go nadal użyć do przywrócenia domeny zabezpieczeń.

Ważne

Utwórz i zapisz pary kluczy RSA oraz plik domeny zabezpieczeń wygenerowany w tym kroku bezpiecznie.

Użyj polecenia , az keyvault security-domain download aby pobrać domenę zabezpieczeń i aktywować zarządzany moduł HSM. W poniższym przykładzie użyto trzech par kluczy RSA (wymagane są tylko klucze publiczne) i ustawia kworum na dwa.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Przechowuj bezpiecznie plik domeny zabezpieczeń i pary kluczy RSA. Będą one potrzebne do odzyskiwania po awarii lub utworzenia innego zarządzanego modułu HSM, który współużytkuje tę samą domenę zabezpieczeń, aby te dwa mogły współużytkować klucze.

Po pomyślnym pobraniu domeny zabezpieczeń moduł HSM będzie w stanie aktywnym i będzie gotowy do użycia.

Czyszczenie zasobów

Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.

Gdy grupa zasobów i wszystkie pokrewne zasoby nie będą już potrzebne, można je usunąć za pomocą polecenia az group delete. Możesz usunąć zasoby w następujący sposób:

az group delete --name ContosoResourceGroup

Ostrzeżenie

Usunięcie grupy zasobów powoduje przełączenie zarządzanego modułu HSM do stanu usunięcia nietrwałego. Zarządzany moduł HSM będzie nadal rozliczany, dopóki nie zostanie przeczyszczone. Zobacz Nietrwałe usuwanie zarządzanego modułu HSM i ochrona przed przeczyszczaniem

Następne kroki

W tym przewodniku Szybki start zainicjowano aprowizację zarządzanego modułu HSM i aktywowano go. Aby dowiedzieć się więcej na temat zarządzanego modułu HSM i sposobu integrowania go z aplikacjami, przejdź do tych artykułów.