Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här snabbstarten skapar och aktiverar du en Azure Key Vault Hanterad HSM (maskinvarusäkerhetsmodul) med hjälp av Azure CLI. Hanterad HSM är en fullständigt hanterad, högtillgänglig molntjänst med en enda klientorganisation som är standardkompatibel och som gör att du kan skydda kryptografiska nycklar för dina molnprogram med FIPS 140–3-verifierade HSM:er på nivå 3. Mer information om Managed HSM finns i Översikt.
Förutsättningar
En Azure prenumeration krävs. Om du inte har ett konto kan du skapa ett kostnadsfritt konto innan du börjar.
Du behöver också:
- Azure CLI version 2.25.0 eller senare. Kör
az --versionför att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI.
Azure Cloud Shell
Azure värdar Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via webbläsaren. Du kan använda antingen Bash eller PowerShell med Cloud Shell för att arbeta med Azure tjänster. Du kan använda Cloud Shell förinstallerade kommandon för att köra koden i den här artikeln, utan att behöva installera något i din lokala miljö.
Så här startar du Azure Cloud Shell:
| Alternativ | Exempel/länk |
|---|---|
| Välj Prova det i det övre högra hörnet av ett kod- eller kommandoblock. Om du väljer Try It kopieras inte koden eller kommandot automatiskt till Cloud Shell. |
|
| Gå till https://shell.azure.com eller välj knappen Launch Cloud Shell för att öppna Cloud Shell i webbläsaren. |
|
| Välj knappen Cloud Shell i menyraden längst upp till höger i Azure-portalen. |
|
Så här använder du Azure Cloud Shell:
Starta Cloud Shell.
Välj knappen Kopiera i ett kodblock (eller kommandoblock) för att kopiera koden eller kommandot.
Klistra in koden eller kommandot i den Cloud Shell sessionen genom att välja Ctrl+Shift+V på Windows och Linux, eller genom att välja Cmd+Shift+V på macOS.
Välj Retur för att köra koden eller kommandot.
Logga in på Azure
Om du vill logga in på Azure med hjälp av CLI anger du:
az login
Mer information om autentiseringsalternativ via CLI finns i Tilldela med Azure CLI.
Skapa en resursgrupp
En resursgrupp är en logisk container där Azure resurser distribueras och hanteras. Använd kommandot az group create för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus.
az group create --name "myResourceGroup" --location "EastUS"
Skapa en hanterad HSM
Att skapa en hanterad HSM är en tvåstegsprocess:
- Etablera en hanterad HSM-resurs.
- Aktivera din hanterade HSM genom att ladda ned en artefakt som kallas säkerhetsdomänen.
Etablera en hanterad HSM
az keyvault create Använd kommandot för att skapa en hanterad HSM. Det här skriptet har tre obligatoriska parametrar: ett resursgruppsnamn, ett HSM-namn och den geografiska platsen.
Om du vill skapa en hanterad HSM-resurs anger du följande indata:
Hanterat HSM-namn: En sträng på 3 till 24 tecken som endast kan innehålla siffror (0–9), bokstäver (a-z, A-Z) och bindestreck (-).
Viktigt!
Varje hanterad HSM måste ha ett unikt namn. Ersätt
<hsm-name>med ditt eget unika Managed HSM-namn i följande exempel.Resursgruppsnamn: myResourceGroup.
Plats: EastUS.
En lista över inledande administratörer.
I följande exempel skapas en HSM med namnet <hsm-name> i resursgruppen myResourceGroup, som finns på platsen EastUS , med den aktuella inloggade användaren som den enda administratören och en kvarhållningsperiod på 7 dagar för mjuk borttagning. Du fortsätter att betala för Managed HSM tills den rensas under en mjuk borttagningsperiod. För mer information, se Hanterad HSM-mjuk borttagning och rensningsskydd och läs mer om mjuk borttagning av hanterad HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Kommentar
Om du använder hanterade identiteter som inledande administratörer för din hanterade HSM anger du OID/PrincipalID för hanterade identiteter efter --administrators och inte ClientID.
Kommentar
Det kan ta några minuter att skapa kommandot. När den har återkommit med framgång är du redo att aktivera din HSM.
Varning
Hanterade HSM-instanser används alltid. Om du aktiverar rensningsskydd med hjälp av --enable-purge-protection flaggan betalar du för hela kvarhållningsperioden.
Utdata från det här kommandot visar egenskaperna för den hanterade HSM som du skapade. De två viktigaste egenskaperna är:
- name: Det namn som du angav. Du använder det här namnet för andra kommandon.
-
hsmUri: URI:n för din HSM (till exempel
https://<hsm-name>.managedhsm.azure.net). Program som använder din HSM via rest-API:et måste använda den här URI:n.
Ditt Azure-konto har nu behörighet att utföra åtgärder på denna hanterade HSM. Än så länge har ingen annan behörighet.
Aktivera det hanterade HSM
Alla dataplanskommandon är inaktiverade tills du aktiverar HSM. Du kan inte skapa nycklar eller tilldela roller. Endast de utsedda administratörer som du tilldelar under kommandot create kan aktivera HSM. Om du vill aktivera HSM måste du ladda ned säkerhetsdomänen.
För att aktivera din HSM behöver du:
- Minst tre RSA-nyckelpar (högst 10)
- Det minsta antalet nycklar som krävs för att dekryptera säkerhetsdomänen (kallas kvorum)
Du skickar minst tre (högst 10) offentliga RSA-nycklar till HSM. HSM krypterar säkerhetsdomänen med dessa nycklar och skickar tillbaka den. När nedladdningen av säkerhetsdomänen har slutförts är din HSM redo att användas. Du måste också ange kvorumet, vilket är det minsta antal privata nycklar som krävs för att dekryptera säkerhetsdomänen.
I följande exempel visas hur du använder openssl för att generera tre självsignerade certifikat:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Certifikatets förfallodatum påverkar inte säkerhetsdomänåtgärder– även ett "utgånget" certifikat kan fortfarande användas för att återställa säkerhetsdomänen.
Viktigt!
Dessa privata RSA-nycklar är roten till förtroende för din hanterade HSM. För produktionsmiljöer genererar du dessa nycklar med hjälp av ett luftgapigt system eller lokal HSM och lagrar dem på ett säkert sätt. Mer information finns i Metodtips för säkerhetsdomäner .
az keyvault security-domain download Använd kommandot för att ladda ned säkerhetsdomänen och aktivera din hanterade HSM. I följande exempel används tre RSA-nyckelpar (endast offentliga nycklar behövs för det här kommandot) och kvorumet anges till två.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Lagra säkerhetsdomänfilen och RSA-nyckelparen på ett säkert sätt. Du behöver dem för haveriberedskap eller för att skapa en annan hanterad HSM som delar samma säkerhetsdomän så att de två kan dela nycklar.
När du har laddat ned säkerhetsdomänen är din HSM i ett aktivt tillstånd och redo att användas.
Rensa resurser
De andra snabbstarterna och självstudierna i den här samlingen bygger på den här snabbstarten. Om du planerar att fortsätta med efterföljande snabbstarter och självstudier kan du lämna kvar de här resurserna.
När det inte längre behövs kan du använda kommandot Azure CLI az group delete för att ta bort resursgruppen och alla relaterade resurser:
az group delete --name "myResourceGroup"
Varning
Om du tar bort resursgruppen försätts den hanterade HSM i tillståndet för mjuk radering. Managed HSM fortsätter att faktureras tills den rensas. Se Skydd mot rensning av hanterad HSM och mjuk borttagning
Nästa steg
I den här snabbstarten etablerade du en hanterad HSM och aktiverade den. Om du vill veta mer om Managed HSM och hur du integrerar den med dina program kan du fortsätta med de här artiklarna.
- Läs en översikt över hanterad HSM
- Lär dig mer om att hantera nycklar i en hanterad HSM
- Läs mer om rollhantering för en hanterad HSM
- Granska Säkra din Azure Managed HSM-distribution