Hızlı Başlangıç: Azure PowerShell kullanarak Azure Cloud HSM'yi dağıtma

Azure Cloud HSM , çeşitli yöntemler kullanarak donanım güvenlik modülleri (HSM) dağıtmanızı sağlayan yüksek oranda kullanılabilir, FIPS 140-3 Düzey 3 doğrulanmış tek kiracılı bir hizmettir. Bu yöntemler Azure CLI, Azure PowerShell, Azure Resource Manager şablonları (ARM şablonları), Terraform veya Azure portalıdır. Bu hızlı başlangıç, Azure PowerShell'deki dağıtım işleminde size yol gösterir.

Önkoşullar

• Aktif bir aboneliğe sahip bir Azure hesabı. Hesabınız yoksa başlamadan önce ücretsiz bir hesap oluşturun.
• Azure PowerShell'in en son sürümü yüklü.
• HSM kaynakları dahil olmak üzere aboneliğinizde kaynak oluşturmak için uygun izinler.
• Üretim ortamları için , özel uç noktaları yapılandırmak için mevcut bir sanal ağ ve alt ağ.

Azure Cloud HSM örneği oluşturma

Aşağıdaki örnek kod bir kaynak grubu ve bir Cloud HSM örneği oluşturur. Aboneliği, kaynak grubunu, konumu ve HSM adını ortamınızla eşleşecek şekilde güncelleştirmeniz gerekir.

Önemli

HSM adı benzersiz olmalıdır. Seçilen bölgede zaten var olan bir HSM adı belirtirseniz dağıtımınız başarısız olur.

# Define variables for your Cloud HSM deployment
$server = @{
    Location = "<RegionName>"
    Sku = @{"family" = "B"; "Name" = "Standard_B1" }
    ResourceName = "<HSMName>"
    ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
    ResourceGroupName = "<ResourceGroupName>"
    Force = $true
}

# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force

# Create an HSM cluster
New-AzResource @server -AsJob -Verbose

Uyarı

Bulut HSM kaynaklarınızı ilgili istemci sanal ağınızdan ve sanal makine (VM) kaynaklarınızdan ayrı bir kaynak grubuna dağıtmanızı öneririz. Ayrı bir kaynak grubu kullanmak daha iyi yönetim ve güvenlik yalıtımı sağlar.

Yönetilen kimlik yapılandırma (isteğe bağlı)

Azure Cloud HSM'deki yedekleme ve geri yükleme işlemleri için kullanıcı tarafından atanan bir yönetilen kimlik oluşturmanız gerekir. Bu kimlik, iş sürekliliği ve olağanüstü durum kurtarma (BCDR) senaryolarında Bulut HSM yedeklerini belirlenen depolama hesabınıza aktarmak için kullanılır.

Yedekleme ve geri yükleme işlevlerini kullanmayı planlıyorsanız, aşağıdaki Azure PowerShell komutlarını kullanarak yönetilen kimlik oluşturabilir ve yapılandırabilirsiniz:

# Define parameters for the new managed identity
$identity = @{
    Location          = "<RegionName>"                                         
    ResourceName      = "<ManagedIdentityName>"                                         
    ResourceGroupName = "<ResourceGroupName>"
}

# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location

# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id

# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
    Sku = @{
        Family = "B"
        Name = "Standard_B1"
    }
    Location = $server.Location
    Identity = @{
        type = "UserAssigned"
        userAssignedIdentities = @{
            "/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
        }
    }
} | ConvertTo-Json -Depth 4

# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"

# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch

Yedekleme ve geri yükleme işlemlerini yapılandırma hakkında ayrıntılı yönergeler için bkz. Azure Cloud HSM kaynaklarını yedekleme ve geri yükleme.

Ağı ayarlama

Üretim ortamlarında, güvenli iletişim sağlamaya yardımcı olmak üzere Bulut HSM dağıtımınız için özel bir uç nokta yapılandırmanızı kesinlikle öneririz. Özel uç nokta oluşturmak için aşağıdaki Azure PowerShell komutlarını kullanabilirsiniz:

# Define private endpoint parameters
$privateEndpoint = @{
    Name = "<PrivateEndpointName>"
    ResourceGroupName = $server.ResourceGroupName
    Location = $server.Location
    Subnet = $subnet # You need to have $subnet defined with your subnet configuration
    PrivateLinkServiceConnection = @{
        Name = "$($server.ResourceName)-connection"
        PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
        GroupId = "cloudhsmclusters"
    }
}

# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint

İpucu

Özel uç noktalar güvenlik açısından çok önemlidir. Özel bir bağlantı aracılığıyla Azure Cloud HSM örneğine güvenli bağlantılar sağlar. Bu bağlantılar, sanal ağınızla hizmet arasındaki trafiğin Microsoft omurga ağından geçişini sağlar. Bu yapılandırma, Azure Cloud HSM için ağ güvenliği bölümünde açıklandığı gibi genel İnternet'e maruz kalma durumunu ortadan kaldırır.

Bulut HSM kaynağınızı dağıtın

New-AzResource komutunu ve -AsJob parametresini çalıştırdığınızda, Cloud HSM kaynağınızı dağıtmak için bir arka plan işi oluşturur. Aşağıdakini çalıştırarak dağıtımın durumunu de kontrol edebilirsiniz:

Get-Job -Id <JobId> | Receive-Job

Önceki komutta, <JobId>, New-AzResource komutunu çalıştırdığınızda sistemin döndürdüğü kimliktir.

İşin başarılı bir sonucunu gördüğünüzde veya kaynağın Azure aboneliğinizde mevcut olduğunu doğrulayabildiğinizde dağıtım tamamlanır.

HSM'nizi başlatma ve yapılandırma

Azure Cloud HSM etkinleştirmesini ve yapılandırmasını doğrudan Azure PowerShell aracılığıyla gerçekleştiremezsiniz. Azure Cloud HSM SDK'sı ve istemci araçlarına ihtiyacınız vardır.

Bulut HSM kaynağınızı Azure PowerShell aracılığıyla dağıttığınızda şu adımları izleyin:

1. GitHub'dan Azure Cloud HSM SDK'sını indirin ve HSM'nize ağ bağlantısı olan bir VM'ye yükleyin.

2. Azure Bulut HSM ekleme kılavuzundaki ayrıntılı adımları izleyerek HSM'nizi başlatın ve yapılandırın.

3. Azure Cloud HSM'de kullanıcı yönetimi bölümünde açıklandığı gibi uygun şifreleme yetkilileri ve kullanıcılarla kullanıcı yönetimi oluşturun.

4. Azure Bulut HSM'de anahtar yönetimi bölümünde açıklandığı gibi en iyi güvenlik ve performansı sağlamaya yardımcı olmak için uygun anahtar yönetimi uygulamalarını uygulayın.

Kaynakları temizle

Yalnızca bu hızlı başlangıç için bir kaynak grubu oluşturduysanız ve bu kaynakları tutmanız gerekmiyorsa, kaynak grubunun tamamını silebilirsiniz:

Remove-AzResourceGroup -Name $server.ResourceGroupName -Force

Yaygın dağıtım sorunlarını giderme

Dağıtım sırasında sorunlarla karşılaşırsanız:

• Kaynak adı çakışmaları: HSM adınızın bölgede benzersiz olduğundan emin olun. Dağıtım isimlendirme çakışması durumunda başarısız olursa, farklı bir ad deneyin.
• Ağ bağlantısı sorunları: Özel uç noktalar kullanıyorsanız VM'nizin HSM'ye uygun ağ erişimine sahip olduğunu doğrulayın. En iyi yöntemler için bkz. Azure Cloud HSM için ağ güvenliği.
• Kimlik doğrulama hataları: HSM'yi başlatırken , Azure Cloud HSM'de kimlik doğrulaması bölümünde açıklandığı gibi kimlik bilgileri için doğru biçimi kullandığınızdan emin olun.
• Yönetilen kimlik sorunları: Yedekleme işlemleri başarısız olursa, yönetilen kimliğin düzgün atandığını ve gerekli izinlere sahip olduğunu doğrulayın.

İlgili içerik

• Azure Cloud HSM ekleme kılavuzu
• Azure Cloud HSM kaynaklarını yedekleme ve geri yükleme
• Azure Cloud HSM dağıtımınızın güvenliğini sağlama
• Azure Cloud HSM için ağ güvenliği
• Azure portalını kullanarak Azure Cloud HSM'yi dağıtma