Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym przewodniku Szybki start pokazano, jak utworzyć zarządzany moduł HSM usługi Azure Key Vault przy użyciu szablonu usługi Azure Resource Manager (szablon usługi ARM). Kompleksowo zarządzany HSM to w pełni zarządzana, wysoce dostępna, jednostanowa usługa w chmurze zgodna ze standardami, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu modułów HSM zweryfikowanych według standardu FIPS 140-3 poziomu 3. Aby uzyskać więcej informacji na temat zarządzanego modułu HSM, zapoznaj się z omówieniem.
Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu. W szablonie używana jest składnia deklaratywna. Możesz opisać zamierzone wdrożenie bez konieczności pisania sekwencji poleceń programowania w celu utworzenia wdrożenia.
Jeśli Twoje środowisko spełnia wymagania wstępne i masz doświadczenie w korzystaniu z szablonów ARM, wybierz przycisk Wdróż na platformie Azure. Szablon zostanie otwarty w portalu Azure.
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Użyj środowiska Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie Azure CLI na pierwszy użytek. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
Przegląd szablonu
Ten szybki start używa szablonu z Azure Quickstart Templates.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
Szablon definiuje następujący zasób platformy Azure:
- Microsoft.KeyVault/managedHSMs: tworzenie zarządzanego modułu HSM usługi Azure Key Vault.
Wdrażanie szablonu
Szablon wymaga identyfikatora obiektu skojarzonego z kontem. Aby to znaleźć, użyj polecenia az ad user show interfejsu wiersza polecenia platformy Azure, przekazując swój adres e-mail do parametru --id. Dane wyjściowe można ograniczyć tylko do identyfikatora obiektu przy użyciu parametru --query .
az ad user show --id <user-email> --query "id"
Może być również potrzebny identyfikator najemcy. Aby go znaleźć, użyj polecenia az ad user show platformy Azure CLI. Dane wyjściowe można ograniczyć tylko do identyfikatora dzierżawy przy użyciu parametru --query .
az account show --query "tenantId"
Teraz możesz wdrożyć szablon usługi ARM:
Wybierz poniższy obraz, aby zalogować się na platformie Azure i otworzyć szablon. Szablon tworzy zarządzany moduł HSM.
Wybierz lub wprowadź następujące wartości. Jeśli nie zostanie określona, użyj wartości domyślnej, aby utworzyć zarządzany moduł HSM.
- Subskrypcja: wybierz subskrypcję platformy Azure.
- Grupa zasobów: wybierz pozycję Utwórz nową, wprowadź nazwę grupy zasobów, a następnie wybierz przycisk OK.
- Lokalizacja: wybierz lokalizację. Na przykład Wschodnie stany USA.
- managedHSMName: wprowadź nazwę zarządzanego modułu HSM.
- Identyfikator dzierżawy: funkcja szablonu automatycznie pobiera identyfikator dzierżawy; nie zmieniaj wartości domyślnej. Jeśli nie ma żadnej wartości, wprowadź pobrany wcześniej identyfikator dzierżawy.
- initialAdminObjectIds: wprowadź pobrany wcześniej identyfikator obiektu.
Wybierz pozycję Kup. Po pomyślnym wdrożeniu zarządzanego modułu HSM otrzymasz powiadomienie:
Ostrzeżenie
Wystąpienia zarządzanego modułu HSM są zawsze używane. Jeśli włączysz ochronę przed usuwaniem przy użyciu flagi --enable-purge-protection, płacisz za cały okres przechowywania.
Szablon jest wdrażany za pomocą witryny Azure Portal. Oprócz portalu Azure można również użyć programu Azure PowerShell, Azure CLI oraz interfejsu API REST. Aby dowiedzieć się więcej o innych metodach wdrażania, zobacz Wdrażanie szablonów.
Weryfikowanie wdrożenia
Możesz sprawdzić, czy zarządzany moduł HSM został utworzony przy użyciu polecenia az keyvault list interfejsu wiersza polecenia platformy Azure. Sformatuj wyniki jako tabelę, aby ułatwić odczytywanie danych wyjściowych:
az keyvault list -o table
Zostanie wyświetlona nazwa nowo utworzonego zarządzanego modułu HSM.
Czyszczenie zasobów
Inne szybkie starty i samouczki w tej kolekcji bazują na tym szybkim starcie. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.
Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia az group delete w interfejsie wiersza polecenia Azure, aby je usunąć.
az group delete --name "myResourceGroup"
Ostrzeżenie
Usunięcie grupy zasobów powoduje przełączenie zarządzanego modułu HSM do stanu usunięcia nietrwałego. Zarządzany moduł HSM będzie nadal rozliczany, dopóki nie zostanie usunięty. Zobacz Nietrwałe usuwanie zarządzanego modułu HSM i ochrona przed przeczyszczaniem
Następne kroki
W tym przewodniku Szybki Start utworzono zarządzane HSM. Ten zarządzany moduł HSM nie jest w pełni funkcjonalny, dopóki nie zostanie aktywowany. Aby dowiedzieć się, jak aktywować moduł HSM, zobacz Aktywowanie zarządzanego modułu HSM.
- Przeczytaj omówienie zarządzanego modułu HSM.
- Dowiedz się więcej o zarządzaniu kluczami w zarządzanym module HSM.
- Zapoznaj się z artykułem Zabezpieczanie wdrożenia zarządzanego modułu HSM platformy Azure.