Aracılığıyla paylaş

Hızlı Başlangıç: ARM şablonu kullanarak Yönetilen HSM oluşturma

  • Makale

Bu hızlı başlangıçta Azure Key Vault tarafından yönetilen HSM oluşturmak için Azure Resource Manager şablonunun (ARM şablonu) nasıl kullanılacağı açıklanmaktadır. Yönetilen HSM, FIPS 140-2 Düzey 3 doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanızı sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlara uyumlu bir bulut hizmetidir.

Azure Resource Manager şablonu, projenizin altyapısını ve yapılandırmasını tanımlayan bir JavaScript Nesne Gösterimi (JSON) dosyasıdır. Bu şablonda, bildirim temelli sözdizimi kullanılır. Dağıtımı oluşturmak için programlama komutlarının sırasını yazmadan hedeflenen dağıtımınızı açıklarsınız.

Ortamınız önkoşulları karşılıyorsa ve ARM şablonlarını kullanma hakkında bilginiz varsa, Azure’a dağıtma düğmesini seçin. Şablon Azure portalda açılır.

Resource Manager şablonunu Azure'a dağıtma düğmesi.

Önkoşullar

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

  • Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  • CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

    • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

    • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

    • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Şablonu gözden geçirme

Bu hızlı başlangıçta kullanılan şablon Azure Hızlı Başlangıç Şablonları'ndan alındıysa:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

Şablonda tanımlanan Azure kaynağı:

  • Microsoft.KeyVault/managedHSMs: Azure Key Vault Yönetilen HSM oluşturun.

Şablonu dağıtma

Şablon, hesabınızla ilişkilendirilmiş nesne kimliğini gerektirir. Bunu bulmak için Azure CLI az ad user show komutunu kullanarak e-posta adresinizi parametresine --id geçirin. Çıkışı yalnızca parametresiyle nesne kimliğiyle --query sınırlayabilirsiniz.

az ad user show --id <your-email-address> --query "objectId"

Kiracı kimliğiniz de gerekebilir. Bunu bulmak için Azure CLI az ad user show komutunu kullanın. Çıktıyı yalnızca parametresiyle kiracı kimliğiyle --query sınırlayabilirsiniz.

az account show --query "tenantId"

Artık ARM şablonunu dağıtabilirsiniz:

  1. Aşağıdaki görüntüyü seçerek Azure'da oturum açıp bir şablon açın. Şablon bir Yönetilen HSM oluşturur.

    Resource Manager şablonunu Azure'a dağıtma düğmesi.

  2. Aşağıdaki değerleri seçin veya girin. Belirtilmediği sürece, Yönetilen HSM'yi oluşturmak için varsayılan değeri kullanın.

    • Abonelik: Bir Azure aboneliği seçin.
    • Kaynak grubu: Yeni oluştur'u seçin, ad olarak "myResourceGroup" yazın ve tamam'ı seçin.
    • Konum: Bir konum seçin. Örneğin, Doğu ABD 2.
    • managedHSMName: Yönetilen HSM'niz için bir ad girin.
    • Kiracı Kimliği: Şablon işlevi kiracı kimliğinizi otomatik olarak alır; varsayılan değeri değiştirmeyin. Değer yoksa, yukarıda aldığınız Kiracı Kimliğini girin.
    • initialAdminObjectIds: Yukarıda aldığınız Nesne Kimliğini girin.

  3. Satın al'ı seçin. Yönetilen HSM başarıyla dağıtıldıktan sonra bir bildirim alırsınız:

Şablonu dağıtmak için Azure portalı kullanılır. Azure portalına ek olarak Azure PowerShell, Azure CLI ve REST API'yi de kullanabilirsiniz. Diğer dağıtım yöntemlerini öğrenmek için bkz . Şablonları dağıtma.

Dağıtımı doğrulama

Yönetilen HSM'nin Azure CLI az keyvault list komutuyla oluşturulduğunu doğrulayabilirsiniz. Sonuçları tablo olarak biçimlendirdiğinizde çıkışın daha kolay okunacağını göreceksiniz:

az keyvault list -o table

Yeni oluşturduğunuz yönetilen HSM'nin adını görmeniz gerekir.

Kaynakları temizleme

Bu koleksiyondaki diğer hızlı başlangıçlar ve öğreticiler bu hızlı başlangıcı temel alır. Sonraki hızlı başlangıç ve öğreticilerle çalışmaya devam etmeyi planlıyorsanız, bu kaynakları yerinde bırakmanız yararlı olabilir.

Artık gerekli olmadığında, kaynak grubunu ve tüm ilgili kaynakları kaldırmak için Azure CLI az group delete komutunu kullanabilirsiniz:

az group delete --name "myResourceGroup"

Uyarı

Kaynak grubu silindiğinde Yönetilen HSM geçici olarak silinmiş duruma getirilir. Yönetilen HSM temizlenene kadar faturalandırılmaya devam eder. Yönetilen HSM geçici silme ve temizleme koruması bölümüne bakın

Sonraki adımlar

Bu hızlı başlangıçta yönetilen bir HSM oluşturdunuz. Bu Yönetilen HSM etkinleştirilene kadar tam olarak işlevsel olmayacaktır. HSM'nizi etkinleştirmeyi öğrenmek için bkz. Yönetilen HSM'nizi etkinleştirme.