Share via

Início rápido: provisionar e ativar um HSM Gerenciado usando o PowerShell

  • Artigo

Neste início rápido, você criará e ativará um HSM Gerenciado do Azure Key Vault (Módulo de Segurança de Hardware) com o PowerShell. O HSM Gerenciado é um serviço de nuvem de apenas um locatário, altamente disponível, totalmente gerenciado e em conformidade com os padrões do setor, que permite proteger chaves criptográficas para seus aplicativos de nuvem usando HSMs validados FIPS 140-2 Nível 3. Para obter mais informações sobre o HSM Gerenciado, examine a Visão geral.

Se você optar por instalar e usar o PowerShell localmente, este tutorial exigirá o módulo do Azure PowerShell versão 1.0.0 ou posterior. Digite $PSVersionTable.PSVersion para encontrar a versão. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount para criar uma conexão com o Azure.

Connect-AzAccount

Criar um grupo de recursos

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização eastus2.

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

Obter a ID da entidade de segurança

Para criar um HSM Gerenciado, precisará da ID da entidade de segurança do Microsoft Entra. Para obter a ID, use o cmdlet Get-AzADUser do Azure PowerShell, passando o endereço de email para o parâmetro "UserPrincipalName":

Get-AzADUser -UserPrincipalName "<your@email.address>"

Sua ID da entidade de segurança será retornada no formato "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".

Criar um HSM Gerenciado

A criação de um HSM Gerenciado é um processo de duas etapas:

  1. Provisionar um recurso de HSM gerenciado.
  2. Ative o HSM Gerenciado baixando um artefato chamado domínio de segurança.

Provisionar um HSM Gerenciado

Use o cmdlet New-AzKeyVaultManagedHsm do Azure PowerShell para criar um HSM Gerenciado. Você precisará fornecer algumas informações:

  • Nome do HSM gerenciado: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)

    Importante

    Cada HSM Gerenciado precisa ter um nome exclusivo. Substitua, nos exemplos a seguir, o texto <your-unique-managed-hsm-name> pelo nome do seu HSM Gerenciado.

  • Nome do grupo de recursos: myResourceGroup.

  • O local: Leste dos EUA 2.

  • Sua ID da entidade de segurança: transmita a ID da entidade de segurança do Microsoft Entra obtida na última seção ao parâmetro "Administrador".

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Observação

O comando Criar pode levar alguns minutos. Quando ele retornar com sucesso, você estará pronto para ativar o HSM.

A saída desse cmdlet mostra as propriedades do HSM Gerenciado recém-criado. Anote estas duas propriedades:

  • Nome: o nome que você forneceu para o HSM Gerenciado.
  • HsmUri: no exemplo é https://<your-unique-managed-hsm-name>.managedhsm.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.

Nesse ponto, sua conta do Azure é a única autorizada a executar qualquer operação nesse novo HSM.

Ativar o HSM Gerenciado

Todos os comandos do plano de dados ficam desabilitados até que o HSM seja ativado. Você não poderá criar chaves nem atribuir funções. Somente os administradores designados que foram atribuídos durante o comando create podem ativar o HSM. Para ativar o HSM, você deve baixar o Domínio de Segurança.

Para ativar o HSM, você precisará:

  • Fornecer pelo menos três (no máximo 10) pares de chaves RSA
  • Especificar o número mínimo de chaves necessário para descriptografar o domínio de segurança (chamado de quorum)

Para ativar o HSM, você envia pelo menos três (no máximo 10) chaves públicas RSA para o HSM. O HSM criptografa o domínio de segurança com essas chaves e o envia de volta. Depois que o download do domínio de segurança for concluído com êxito, o HSM estará pronto para uso. Você também precisa especificar quorum, que é o número mínimo de chaves privadas necessárias para descriptografar o domínio de segurança.

O exemplo a seguir mostra como usar openssl (disponível para Windows aqui) a fim de gerar três certificados auto-assinados.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Importante

Crie e armazene os pares de chaves RSA e o arquivo de domínio de segurança gerados nesta etapa com segurança.

Use o cmdlet Export-AzKeyVaultSecurityDomain do Azure PowerShell para baixar o domínio de segurança e ativar o HSM Gerenciado. O exemplo a seguir usa três pares de chaves RSA (somente chaves públicas são necessárias para este comando) e define o quórum como duas.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Armazene o arquivo de domínio de segurança e os pares de chaves RSA com segurança. Você precisará deles para a recuperação de desastre ou para criar outro HSM Gerenciado que compartilhe o mesmo domínio de segurança para que ambos possam compartilhar chaves.

Depois de baixar com sucesso o domínio de segurança, o HSM estará em estado ativo e pronto para o uso.

Limpar os recursos

Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com outros tutoriais e inícios rápidos, deixe esses recursos onde estão.

Quando o grupo de recursos e todos os recursos relacionados não forem mais necessários, use o cmdlet Remove-AzResourceGroup do Azure PowerShell para removê-los.

Remove-AzResourceGroup -Name "myResourceGroup"

Aviso

Excluir o grupo de recursos coloca o HSM gerenciado em um estado de exclusão reversível. O HSM gerenciado continuará a ser cobrado até que seja limpo. Consulte Exclusão reversível e proteção contra limpeza do HSM gerenciado

Próximas etapas

Nesse início rápido, você criou e ativou um HSM Gerenciado. Para saber mais sobre o HSM Gerenciado e como integrá-lo aos seus aplicativos, prossiga para examinar os seguintes artigos: