Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu hızlı başlangıçta, Azure CLI kullanarak Azure Key Vault Yönetilen HSM (Donanım Güvenlik Modülü) oluşturup etkinleştireceksiniz. Yönetilen HSM, FIPS 140-3 Düzey 3 doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanızı sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlara uyumlu bir bulut hizmetidir. Yönetilen HSM hakkında daha fazla bilgi için Genel Bakış'ı gözden geçirin.
Önkoşullar
Azure aboneliği gereklidir. Hesabınız yoksa başlamadan önce ücretsiz bir hesap oluşturun.
Ayrıca şunları yapmanız gerekir:
- Azure CLI sürüm 2.25.0 veya üzeri. Sürümü bulmak için
az --versionkomutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekiyorsa bkz. Azure CLI yükleme.
Azure Cloud Shell
Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell barındırıyor. Azure hizmetleriyle çalışmak için Bash veya PowerShell'i Cloud Shell kullanabilirsiniz. Kodu yerel ortamınıza yüklemek zorunda kalmadan bu makalede çalıştırmak için önceden yüklenmiş Cloud Shell komutlarını kullanabilirsiniz.
Azure Cloud Shell başlatmak için:
| Seçenek | Örnek/Bağlantı |
|---|---|
| Kodun veya komut bloğunun sağ üst köşesindeki Deneyin'i seçin. Try It seçildiğinde kod veya komut otomatik olarak Cloud Shell kopyalanmaz. | "Azure Cloud Shell için 'Deneyin' özelliği örneğini gösteren ekran görüntüsü." |
| https://shell.azure.com gidin veya tarayıcınızda Cloud Shell açmak için Launch Cloud Shell düğmesini seçin. |
|
| Azure portal sağ üstteki menü çubuğundaki Cloud Shell düğmesini seçin. | Azure portalında Cloud Shell düğmesini gösteren  |
Azure Cloud Shell kullanmak için:
Cloud Shell'ı başlatın.
Kodu veya komutu kopyalamak için kod bloğundaki (veya komut bloğundaki) Kopyala düğmesini seçin.
Windows ve Linux üzerinde Ctrl+Shift+V seçerek kodu veya komutu Cloud Shell oturumuna yapıştırın, veya macOS üzerinde Cmd+Shift+V'ı seçin.
Kodu veya komutu çalıştırmak için Enter'ı seçin.
Azure oturum açma
CLI kullanarak Azure oturum açmak için şunu girin:
az login
CLI üzerinden kimlik doğrulama seçenekleri hakkında daha fazla bilgi için Azure CLI ile oturum açma konusuna bakın.
Bir kaynak grubu oluşturun
Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği mantıksal bir kapsayıcıdır. az group create komutunu, eastus konumunda myResourceGroup adlı bir kaynak grubu oluşturmak için kullanın.
az group create --name "myResourceGroup" --location "EastUS"
Yönetilen HSM oluştur
Yönetilen HSM oluşturmak iki adımlı bir işlemdir:
- Yönetilen HSM kaynağı sağla.
- Güvenlik etki alanı adlı bir yapıtı indirerek Yönetilen HSM'nizi etkinleştirin.
Yönetilen HSM sağlama
az keyvault create Yönetilen HSM oluşturmak için komutunu kullanın. Bu betik üç zorunlu parametreye sahiptir: kaynak grubu adı, HSM adı ve coğrafi konum.
Yönetilen HSM kaynağı oluşturmak için aşağıdaki girişleri sağlayın:
Yönetilen HSM adı: Yalnızca sayı (0-9), harfler (a-z, A-Z) ve kısa çizgi (-) içerebilen 3 ila 24 karakterden oluşan bir dize.
Önemli
Her Yönetilen HSM'nin benzersiz bir adı olmalıdır. Aşağıdaki örneklerde
<hsm-name>ifadesini kendi benzersiz Yönetilen HSM adınızla değiştirin.Kaynak grubu adı: myResourceGroup.
Konum: EastUS.
İlk yöneticilerin listesi.
Aşağıdaki örnek, <hsm-name> adında bir HSM’i, myResourceGroup kaynak grubunda oluşturur, EastUS konumunda yer alır ve geçerli oturum açmış kullanıcı tek yönetici olarak belirlenir, geçici silme işlemi için 7 günlük saklama süresi bulunmaktadır. Geçici silme süresi içinde temizlenene kadar Yönetilen HSM için ödeme yapmaya devam edebilirsiniz. Daha fazla bilgi için bkz. Yönetilen HSM geçici silme ve temizleme koruması ve Yönetilen HSM geçici silme hakkında daha fazla bilgi edinin.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Uyarı
Yönetilen HSM'nizin ilk yöneticileri olarak Yönetilen Kimlikler'i kullanıyorsanız, --administrators sonrasına ClientID yerine Yönetilen Kimliklerin OID/PrincipalID değerini girin.
Uyarı
Oluşturma komutu birkaç dakika sürebilir. Başarıyla tamamlandığında HSM'nizi etkinleştirmeye hazır olursunuz.
Uyarı
Yönetilen HSM örnekleri her zaman kullanımdadır. Bayrağını kullanarak temizleme korumasını --enable-purge-protection etkinleştirirseniz, saklama süresinin tamamı için ödeme alırsınız.
Bu komutun çıktısı, oluşturduğunuz Yönetilen HSM'nin özelliklerini gösterir. En önemli iki özellik şunlardır:
- name: Belirttiğiniz ad. Bu adı diğer komutlar için kullanırsınız.
-
hsmUri: HSM'nizin URI'sini (örneğin,
https://<hsm-name>.managedhsm.azure.net). HSM'nizi REST API aracılığıyla kullanan uygulamaların bu URI'yi kullanması gerekir.
Azure hesabınız artık bu Yönetilen HSM üzerinde herhangi bir işlem gerçekleştirme yetkisine sahiptir. Henüz başkası yetkilendirilmiş değil.
Yönetilen HSM'nizi etkinleştirin
HSM'yi etkinleştirene kadar tüm veri düzlemi komutları devre dışı bırakılır. Anahtar oluşturamaz veya rol atayamazsınız. HSM'yi yalnızca oluşturma komutu sırasında atadığınız atanan yöneticiler etkinleştirebilir. HSM'yi etkinleştirmek için Güvenlik Etki Alanı'nı indirmeniz gerekir.
HSM'nizi etkinleştirmek için şunları yapmanız gerekir:
- En az üç RSA anahtar çifti (en fazla 10)
- Güvenlik etki alanının şifresini çözmek için gereken en az anahtar sayısı (nisap olarak adlandırılır)
HSM'ye en az üç (en fazla 10) RSA ortak anahtarı gönderirsiniz. HSM, güvenlik etki alanını bu anahtarlarla şifreler ve geri gönderir. Güvenlik etki alanı indirme işlemi başarıyla tamamlandıktan sonra HSM'niz kullanıma hazırdır. Güvenlik etki alanının şifresini çözmek için gereken en az özel anahtar sayısını belirten nitelikli çoğunluğu da belirtmeniz gerekir.
Aşağıdaki örnekte, otomatik olarak imzalanan üç sertifika oluşturmak için nasıl kullanılacağı openssl gösterilmektedir:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Sertifikanın son kullanma tarihi güvenlik etki alanı işlemlerini etkilemez; güvenlik etki alanını geri yüklemek için "süresi dolmuş" bir sertifika bile kullanılabilir.
Önemli
Bu RSA özel anahtarları, Yönetilen HSM'niz için güven kökünü oluşturur. Üretim ortamları için, ağdan izole edilmiş bir sistem veya yerel HSM kullanarak bu anahtarları oluşturun ve güvenli bir şekilde saklayın. Ayrıntılı yönergeler için Güvenlik etki alanı en iyi yöntemleri bölümüne bakın.
Komutunu kullanarak az keyvault security-domain download güvenlik etki alanını indirin ve Yönetilen HSM'nizi etkinleştirin. Aşağıdaki örnek üç RSA anahtar çifti kullanır (bu komut için yalnızca ortak anahtarlar gereklidir) ve çoğunluğu iki olarak ayarlayarak belirler.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Güvenlik etki alanı dosyasını ve RSA anahtar çiftlerini güvenli bir şekilde depolayın. Olağanüstü durum kurtarma veya ikisinin anahtarları paylaşabilmesi için aynı güvenlik etki alanını paylaşan başka bir Yönetilen HSM oluşturmak için bunlara ihtiyacınız vardır.
Güvenlik etki alanını başarıyla indirdikten sonra, HSM'niz etkin durumdadır ve kullanmaya hazır olur.
Kaynakları temizle
Bu koleksiyondaki diğer hızlı başlangıçlar ve öğreticiler bu hızlı başlangıcı temel alır. Sonraki hızlı başlangıçlar ve öğreticilerle çalışmaya devam etmeyi planlıyorsanız, bu kaynakları yerinde bırakmayı tercih edebilirsiniz.
Artık gerekli olmadığında, kaynak grubunu ve tüm ilgili kaynakları kaldırmak için Azure CLI az group delete komutunu kullanabilirsiniz:
az group delete --name "myResourceGroup"
Uyarı
Kaynak grubu silindiğinde Yönetilen HSM geçici olarak silinmiş duruma getirilir. Yönetilen HSM temizlenene kadar faturalandırılmaya devam eder. Yönetilen HSM geçici silme ve temizleme koruması bölümüne bakın
Sonraki Adımlar
Bu hızlı başlangıçta, yönetilen bir HSM sağladınız ve etkinleştirdiniz. Yönetilen HSM ve uygulamalarınızla tümleştirme hakkında daha fazla bilgi edinmek için bu makalelere geçin.
- Yönetilen HSM'ye Genel Bakış'ı okuyun
- Yönetilen HSM'de anahtarları yönetme hakkında bilgi edinin
- Yönetilen HSM için rol yönetimi hakkında bilgi edinin
- Azure Yönetilen HSM dağıtımınızı güvenceye alın