Rychlý start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI

  • Článek

V tomto rychlém startu vytvoříte a aktivujete spravovaný HSM služby Azure Key Vault (modul hardwarového zabezpečení) pomocí Azure CLI. Spravovaný HSM je plně spravovaná, vysoce dostupná cloudová služba kompatibilní s jedním tenantem, která umožňuje chránit kryptografické klíče pro cloudové aplikace s využitím ověřených HSM úrovně 140-2 FIPS 2 . Další informace o spravovaném HSM najdete v přehledu.

Požadavky

Abyste mohli dokončit kroky v tomto článku, musíte mít:

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.

Spuštění služby Azure Cloud Shell:

Možnost Příklad nebo odkaz
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu. Screenshot that shows an example of Try It for Azure Cloud Shell.
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči. Button to launch Azure Cloud Shell.
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal. Screenshot that shows the Cloud Shell button in the Azure portal

Použití Azure Cloud Shellu:

  1. Spusťte Cloud Shell.

  2. Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.

  3. Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.

  4. Stisknutím klávesy Enter spusťte kód nebo příkaz.

Přihlášení k Azure

Pokud se chcete přihlásit k Azure pomocí rozhraní příkazového řádku, můžete zadat:

az login

Vytvoření skupiny zdrojů

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Následující příklad vytvoří skupinu prostředků ContosoResourceGroup v umístění eastus2.

az group create --name "ContosoResourceGroup" --location eastus2

Vytvoření spravovaného HSM

Vytvoření spravovaného HSM je dvoustupňový proces:

  1. Zřízení spravovaného prostředku HSM
  2. Aktivujte spravovaný HSM stažením artefaktu označovaného jako doména zabezpečení.

Zřízení spravovaného HSM

az keyvault create Pomocí příkazu vytvořte spravovaný HSM. Tento skript má tři povinné parametry: název skupiny prostředků, název HSM a zeměpisné umístění.

Pokud chcete vytvořit spravovaný prostředek HSM, musíte zadat následující vstupy:

  • Skupina prostředků, ve které se umístí do vašeho předplatného.
  • Umístění Azure
  • Seznam počátečních správců

Následující příklad vytvoří HSM s názvem ContosoMHSM ve skupině prostředků ContosoResourceGroup, která se nachází v umístění USA – východ 2 , s aktuálním přihlášeným uživatelem jako jediným správcem s 7denní dobou uchování pro obnovitelné odstranění. Spravovaný HSM se bude dál účtovat, dokud se nevyprázdní v období obnovitelného odstranění. Další informace najdete v tématu Obnovitelné odstranění a vyprázdnění spravovaného HSM a další informace o obnovitelném odstranění spravovaného HSM.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7

Poznámka:

Pokud spravované identity používáte jako počáteční správce spravovaného HSM, měli byste zadávat identifikátor OID/PrincipalID spravovaných identit po --administrators, a ne ID klienta.

Poznámka:

Vytvoření příkazu může trvat několik minut. Jakmile se úspěšně vrátí, budete připraveni k aktivaci hsm.

Upozorňující

Spravované instance HSM se považují za vždy používané. Pokud se rozhodnete povolit ochranu před vymazáním pomocí příznaku --enable-purge-protection , bude se vám účtovat celá doba uchovávání.

Výstup tohoto příkazu zobrazuje vlastnosti spravovaného HSM, které jste vytvořili. Dvě nejdůležitější vlastnosti jsou:

  • name: V příkladu je název ContosoMHSM. Tento název použijete pro jiné příkazy.
  • hsmUri: V příkladu je identifikátor URI 'https://contosohsm.managedhsm.azure.net.' Aplikace, které používají hsm prostřednictvím rozhraní REST API, musí používat tento identifikátor URI.

Váš účet Azure má teď oprávnění provádět všechny operace s tímto spravovaným HSM. Zatím nikdo jiný nemá oprávnění.

Aktivace spravovaného HSM

Všechny příkazy roviny dat jsou zakázány, dokud se neaktivuje HSM. Nebudete například moct vytvářet klíče ani přiřazovat role. HsM můžou aktivovat jenom určené správce, kteří byli přiřazeni během příkazu create. Pokud chcete aktivovat HSM, musíte stáhnout doménu zabezpečení.

K aktivaci HSM budete potřebovat:

  • Poskytnutí minimálně tří párů klíčů RSA (maximálně 10)
  • Určení minimálního počtu klíčů potřebných k dešifrování domény zabezpečení (označované jako kvorum)

K aktivaci HSM odešlete do HSM alespoň tři veřejné klíče RSA (maximálně 10). HsM zašifruje doménu zabezpečení pomocí těchto klíčů a odešle ji zpět. Po úspěšném dokončení stahování této domény zabezpečení je váš HSM připravený k použití. Musíte také zadat kvorum, což je minimální počet privátních klíčů potřebných k dešifrování domény zabezpečení.

Následující příklad ukazuje, jak použít openssl k vygenerování tří certifikátů podepsaných svým držitelem.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Poznámka:

I v případě, že platnost certifikátu vypršela, je možné ho použít k obnovení domény zabezpečení.

Důležité

Vytvořte a uložte páry klíčů RSA a soubor domény zabezpečení vygenerovaný v tomto kroku bezpečně.

az keyvault security-domain download Pomocí příkazu stáhněte doménu zabezpečení a aktivujte spravovaný HSM. Následující příklad používá tři páry klíčů RSA (pro tento příkaz jsou potřeba pouze veřejné klíče) a nastaví kvorum na dva.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Bezpečně uložte soubor domény zabezpečení a páry klíčů RSA. Budete je potřebovat pro zotavení po havárii nebo pro vytvoření jiného spravovaného HSM, který sdílí stejnou doménu zabezpečení, aby tyto dva klíče mohly sdílet.

Po úspěšném stažení domény zabezpečení bude váš HSM v aktivním stavu a připravený k použití.

Vyčištění prostředků

Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.

Pokud už je nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete. Prostředky můžete odstranit následujícím způsobem:

az group delete --name ContosoResourceGroup

Upozorňující

Odstraněním skupiny prostředků se spravovaný HSM umístí do stavu obnovitelného odstranění. Spravovaný HSM se bude dál účtovat, dokud se nevyprázdní. Viz Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM

Další kroky

V tomto rychlém startu jste zřídili spravovaný HSM a aktivovali ho. Další informace o spravovaném HSM a o tom, jak ho integrovat s vašimi aplikacemi, najdete v těchto článcích.