Guia de Início Rápido: Criar um HSM gerenciado usando um modelo do ARM

Este guia de início rápido descreve como usar um modelo do ARM (modelo do Azure Resource Manager) para criar um HSM gerenciado do Azure Key Vault. O HSM Gerenciado é um serviço de nuvem em conformidade com os padrões de um único locatário, altamente disponível e totalmente gerenciado que permite proteger chaves criptográficas para seus aplicativos de nuvem usando HSMs validados FIPS 140-2 Nível 3.

Um Modelo do Azure Resource Manager é um arquivo JSON (JavaScript Object Notation) que define a infraestrutura e a configuração do seu projeto. O modelo usa a sintaxe declarativa. Você descreve a implantação pretendida sem escrever a sequência de comandos de programação para criar a implantação.

Se seu ambiente atender aos pré-requisitos e você estiver familiarizado com o uso de modelos ARM, selecione o botão Implantar no Azure. O modelo será aberto no portal do Azure.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

Examinar o modelo

O modelo usado neste guia de início rápido foi obtido dos Modelos de Início Rápido do Azure:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

O recurso do Azure definido neste modelo é:

• Microsoft.KeyVault/managedHSMs: crie um HSM gerenciado do Azure Key Vault.

Implantar o modelo

O modelo requer a ID de objeto associada à sua conta. Para encontrá-la, use o comando az ad user show da CLI do Azure, passando seu endereço de email para o parâmetro --id. Você pode limitar a saída à ID de objeto somente com o parâmetro --query.

az ad user show --id <your-email-address> --query "objectId"

Talvez você também precise da sua ID de locatário. Para encontrá-la, use o comando az ad user show da CLI do Azure. Você pode limitar a saída à ID de locatário somente com o parâmetro --query.

az account show --query "tenantId"

Agora você pode implantar o modelo do ARM:

1. Selecione a imagem a seguir para entrar no Azure e abrir um modelo. O modelo cria um HSM Gerenciado.

   

2. Selecione ou insira os seguintes valores. A menos que seja especificado, use o valor padrão para criar o HSM Gerenciado.

   • Assinatura: Selecione uma assinatura do Azure.
   • Grupo de recursos: selecione Criar, insira "myResourceGroup" como o nome e escolha OK.
   • Localização: Selecione um local. Por exemplo, Leste da Noruega.
   • managedHSMName: Insira um nome para o HSM Gerenciado.
   • ID do locatário: A função de modelo recupera automaticamente sua ID de locatário. Não altere o valor padrão. Se não houver nenhum valor, insira a ID do Locatário que você recuperou acima.
   • initialAdminObjectIds: insira a ID de objeto que você recuperou acima.

3. Selecione Comprar. Depois que o HSM Gerenciado for implantado com êxito, você receberá uma notificação:

O portal do Azure é usado para implantar o modelo. Além do portal do Azure, você também pode usar o Azure PowerShell, a CLI do Azure e a API REST. Para saber mais sobre outros métodos de implantação, confira Implantar modelos.

Validar a implantação

Verifique se o HSM gerenciado foi criado com o comando az keyvault list da CLI do Azure. Você achará a saída mais fácil de ler se formatar os resultados como uma tabela:

az keyvault list -o table

Você verá o nome do HSM gerenciado recém-criado.

Limpar os recursos

Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com os tutoriais e inícios rápidos subsequentes, deixe esses recursos onde estão.

Quando não forem mais necessários, você poderá usar o comando az group delete da CLI do Azure para remover o grupo de recursos e todos os recursos relacionados:

az group delete --name "myResourceGroup"

Aviso

Excluir o grupo de recursos coloca o HSM gerenciado em um estado de exclusão reversível. O HSM gerenciado continuará sendo cobrado até que seja limpo. Consulte Exclusão reversível e proteção contra limpeza do HSM gerenciado

Próximas etapas

Neste guia de início rápido, você criou um HSM Gerenciado. Este HSM gerenciado não estará totalmente funcional até ser ativado. Confira Ativar seu HSM Gerenciado para saber como ativar seu HSM.

• Leia uma Visão geral do HSM gerenciado
• Saiba mais sobre Gerenciar chaves em um HSM Gerenciado
• Examine as Melhores práticas do HSM Gerenciado