Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Cloud HSM — это высокодоступная служба FIPS 140-3 уровня 3, которая позволяет развертывать аппаратные модули безопасности (HSM) с помощью различных методов. К этим методам относятся Azure CLI, Azure PowerShell, шаблоны Azure Resource Manager (шаблоны ARM), Terraform или портал Azure. В этом кратком руководстве описан процесс развертывания в Azure PowerShell.
Предпосылки
- Учетная запись Azure с активной подпиской. Если у вас нет учетной записи, создайте бесплатную учетную запись перед началом работы.
- Последняя версия Azure PowerShell установлена.
- Соответствующие разрешения для создания ресурсов в подписке, включая ресурсы HSM.
- Для рабочих сред должна быть существующая виртуальная сеть и подсеть для настройки частных конечных точек.
Создайте экземпляр Azure Cloud HSM
В следующем примере кода создается группа ресурсов и экземпляр Cloud HSM. Чтобы соответствовать вашей среде, необходимо обновить подписку, группу ресурсов, расположение и имя HSM.
Это важно
Имя HSM должно быть уникальным. Если указать имя HSM, которое уже существует в выбранном регионе, развертывание не удастся.
# Define variables for your Cloud HSM deployment
$server = @{
Location = "<RegionName>"
Sku = @{"family" = "B"; "Name" = "Standard_B1" }
ResourceName = "<HSMName>"
ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
ResourceGroupName = "<ResourceGroupName>"
Force = $true
}
# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force
# Create an HSM cluster
New-AzResource @server -AsJob -Verbose
Замечание
Мы рекомендуем развернуть ресурсы Cloud HSM в отдельной группе ресурсов от связанных клиентских виртуальных сетей и ресурсов виртуальной машины. Использование отдельной группы ресурсов обеспечивает более эффективное управление и изоляцию безопасности.
Настройка управляемого удостоверения (необязательно)
Для операций резервного копирования и восстановления в Azure Cloud HSM необходимо создать управляемое удостоверение, назначаемое пользователем. Это удостоверение используется для передачи резервных копий Cloud HSM в назначенную учетную запись хранения в сценариях непрерывности бизнес-процессов и аварийного восстановления (BCDR).
Если вы планируете использовать функции резервного копирования и восстановления, можно создать и настроить управляемое удостоверение с помощью следующих команд Azure PowerShell:
# Define parameters for the new managed identity
$identity = @{
Location = "<RegionName>"
ResourceName = "<ManagedIdentityName>"
ResourceGroupName = "<ResourceGroupName>"
}
# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location
# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id
# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
Sku = @{
Family = "B"
Name = "Standard_B1"
}
Location = $server.Location
Identity = @{
type = "UserAssigned"
userAssignedIdentities = @{
"/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
}
}
} | ConvertTo-Json -Depth 4
# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"
# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch
Подробные инструкции по настройке операций резервного копирования и восстановления см. в статье "Резервное копирование и восстановление ресурсов Azure Cloud HSM".
Настройка сети
Для рабочих сред настоятельно рекомендуется настроить частную конечную точку для развертывания Cloud HSM, чтобы обеспечить безопасное взаимодействие. Для создания частной конечной точки можно использовать следующие команды Azure PowerShell:
# Define private endpoint parameters
$privateEndpoint = @{
Name = "<PrivateEndpointName>"
ResourceGroupName = $server.ResourceGroupName
Location = $server.Location
Subnet = $subnet # You need to have $subnet defined with your subnet configuration
PrivateLinkServiceConnection = @{
Name = "$($server.ResourceName)-connection"
PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
GroupId = "cloudhsmclusters"
}
}
# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint
Подсказка
Частные конечные точки имеют решающее значение для безопасности. Они обеспечивают безопасные подключения к экземпляру Azure Cloud HSM через частный канал. Эти подключения гарантируют, что трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Эта конфигурация устраняет уязвимость к общедоступному Интернету, как описано в статье " Безопасность сети для облачного устройства HSM Azure".
Развертывание ресурса Cloud HSM
При выполнении New-AzResource команды с -AsJob параметром создается фоновое задание для развертывания ресурса Cloud HSM. Чтобы проверить состояние развертывания, выполните следующую команду:
Get-Job -Id <JobId> | Receive-Job
В приведенной выше команде указан идентификатор, <JobId> возвращаемый системой при выполнении New-AzResource команды.
Развертывание завершится, когда вы увидите успешный результат задания или когда вы можете убедиться, что ресурс существует в вашей подписке Azure.
Инициализация и настройка HSM
Вы не можете выполнить активацию и настройку Azure Cloud HSM напрямую с помощью Azure PowerShell. Вам потребуется пакет SDK для Azure Cloud HSM и клиентские средства.
После развертывания ресурса Cloud HSM с помощью Azure PowerShell выполните следующие действия.
Скачайте и установите пакет SDK azure Cloud HSM из GitHub на виртуальной машине с сетевым подключением к HSM.
Инициализируйте и настройте HSM, выполнив подробные инструкции в руководстве по подключению к облачному HSM Azure.
Создайте управление пользователями с соответствующими сотрудниками криптографии и пользователями, как описано в разделе "Управление пользователями" в Azure Cloud HSM.
Реализуйте надлежащие методики управления ключами, чтобы обеспечить оптимальную безопасность и производительность, как описано в руководстве по управлению ключами в Azure Cloud HSM.
Очистите ресурсы
Если вы создали группу ресурсов исключительно для этого краткого руководства, и вам не нужно хранить эти ресурсы, можно удалить всю группу ресурсов:
Remove-AzResourceGroup -Name $server.ResourceGroupName -Force
Устранение распространенных проблем развертывания
При возникновении проблем во время развертывания:
- Конфликты имен ресурсов: убедитесь, что имя HSM уникально в указанном регионе. Если развертывание завершается сбоем из-за конфликта имен, попробуйте использовать другое имя.
- Проблемы с сетевым подключением. Если вы используете частные конечные точки, убедитесь, что у виртуальной машины есть правильный сетевой доступ к HSM. Рекомендации см. в разделе "Безопасность сети" для облачного устройства HSM Azure.
- Сбои проверки подлинности. При инициализации HSM убедитесь, что вы используете правильный формат учетных данных, как описано в разделе "Проверка подлинности" в Облачном HSM Azure.
- Проблемы с управляемыми удостоверениями: если операции резервного копирования завершаются ошибкой, убедитесь, что управляемое удостоверение было правильно назначено и имеет необходимые разрешения.