Azure 雲端 HSM 是高可用性的 FIPS 140-3 層級 3 驗證的單一租使用者服務,可讓您使用各種方法部署硬體安全性模組 (HSM)。 這些方法包括 Azure CLI、Azure PowerShell、Azure Resource Manager 範本(ARM 範本)、Terraform 或 Azure 入口網站。 本快速入門會引導您在 Azure PowerShell 中完成部署程式。
先決條件
- 具有有效訂閱的 Azure 帳戶。 如果您沒有帳戶,請在開始之前建立 免費帳戶 。
- 已安裝最新版的 Azure PowerShell 。
- 在訂用帳戶中建立資源的適當權限,包括 HSM 資源。
- 針對生產環境,現有的虛擬網路和子網可用於設定 私人端點。
建立 Azure 雲端 HSM 實例
下列範例程式代碼會建立資源群組和雲端 HSM 實例。 您必須更新訂用帳戶、資源群組、位置和 HSM 名稱,以符合您的環境。
這很重要
HSM 名稱必須是唯一的。 如果您指定已存在於所選取區域中的 HSM 名稱,您的部署將會失敗。
# Define variables for your Cloud HSM deployment
$server = @{
Location = "<RegionName>"
Sku = @{"family" = "B"; "Name" = "Standard_B1" }
ResourceName = "<HSMName>"
ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
ResourceGroupName = "<ResourceGroupName>"
Force = $true
}
# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force
# Create an HSM cluster
New-AzResource @server -AsJob -Verbose
備註
我們建議您將雲端 HSM 資源部署在與相關用戶端虛擬網路和虛擬機 (VM) 資源不同的資源群組中。 使用個別的資源群組可提供更佳的管理和安全性隔離。
設定受控識別 (選擇性)
針對 Azure Cloud HSM 中的備份和還原作業,您必須建立使用者指派的受控識別。 此身份用於在業務持續性和災害復原 (BCDR) 情境中,將雲端 HSM 備份傳輸到您指定的儲存體帳戶。
如果您打算使用備份和還原功能,您可以使用下列 Azure PowerShell 命令來建立和設定受控識別:
# Define parameters for the new managed identity
$identity = @{
Location = "<RegionName>"
ResourceName = "<ManagedIdentityName>"
ResourceGroupName = "<ResourceGroupName>"
}
# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location
# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id
# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
Sku = @{
Family = "B"
Name = "Standard_B1"
}
Location = $server.Location
Identity = @{
type = "UserAssigned"
userAssignedIdentities = @{
"/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
}
}
} | ConvertTo-Json -Depth 4
# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"
# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch
如需設定備份和還原作業的詳細指示,請參閱 備份和還原 Azure 雲端 HSM 資源。
設定網路
針對生產環境,強烈建議您為雲端 HSM 部署設定私人端點,以協助確保通訊安全。 您可以使用下列 Azure PowerShell 命令來建立私人端點:
# Define private endpoint parameters
$privateEndpoint = @{
Name = "<PrivateEndpointName>"
ResourceGroupName = $server.ResourceGroupName
Location = $server.Location
Subnet = $subnet # You need to have $subnet defined with your subnet configuration
PrivateLinkServiceConnection = @{
Name = "$($server.ResourceName)-connection"
PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
GroupId = "cloudhsmclusters"
}
}
# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint
小提示
私人端點對於安全性至關重要。 它們可透過私人連結,安全地連線到您的 Azure Cloud HSM 實例。 這些連線可確保虛擬網路與服務之間的流量會周遊Microsoft骨幹網路。 此設定可排除公開因特網的風險,如 Azure 雲端 HSM 的網路安全性中所述。
部署雲端 HSM 資源
當您使用 New-AzResource 參數執行 -AsJob 命令時,它會建立背景作業來部署雲端 HSM 資源。 您可以執行下列命令來檢查部署的狀態:
Get-Job -Id <JobId> | Receive-Job
在上述命令中, <JobId> 是執行命令時系統傳回的 New-AzResource 標識碼。
當您看到來自作業的成功結果,或確認資源存在於您的 Azure 訂用帳戶中時,部署就會完成。
初始化及設定您的 HSM
您無法直接透過 Azure PowerShell 完成 Azure 雲端 HSM 啟用和設定。 您需要 Azure 雲端 HSM SDK 和用戶端工具。
透過 Azure PowerShell 部署雲端 HSM 資源之後,請遵循下列步驟:
在具有 HSM 網路連線的 VM 上,從 GitHub 下載並安裝 Azure Cloud HSM SDK。
遵循 Azure 雲端 HSM 上線指南中的詳細步驟,初始化和設定 HSM。
使用適當的密碼編譯官員和使用者建立使用者管理,如 Azure Cloud HSM 中的使用者管理中所述。
實作適當的密鑰管理做法,以協助確保最佳安全性和效能,如 Azure 雲端 HSM 中的密鑰管理中所述。
清理資源
如果您只針對本快速入門建立了資源群組,而且不需要保留這些資源,您可以刪除整個資源群組:
Remove-AzResourceGroup -Name $server.ResourceGroupName -Force
針對常見的部署問題進行疑難解答
如果您在部署期間遇到問題:
- 資源名稱衝突:確定您的 HSM 名稱在區域中是唯一的。 如果部署因命名衝突而失敗,請嘗試不同的名稱。
- 網路連線問題:如果您使用私人端點,請確認您的 VM 具有 HSM 的適當網路存取權。 如需最佳做法,請參閱 Azure 雲端 HSM 的網路安全性。
- 驗證失敗:當您初始化 HSM 時,請確定您使用正確的認證格式,如 Azure Cloud HSM 中的驗證中所述。
- 受控識別問題:如果備份作業失敗,請確認受控識別已正確指派,且具有必要的許可權。