Rychlý Start: Zřízení a aktivace spravovaného HSM pomocí Azure CLI
Azure Key Vault Managed HSM je plně spravovaná, vysoce dostupná cloudová služba s jedním tenantem dodržující standardy, která umožňuje chránit kryptografické klíče pro cloudové aplikace pomocí hsm ověřených podle standardu FIPS 140-2 Level 3. Další informace o spravovaném HSM najdete v tématu Přehled.
V tomto rychlém startu vytvoříte a aktivujete spravovaný HSM pomocí Azure CLI.
Požadavky
K dokončení kroků v tomto článku musíte mít následující položky:
- Předplatné Microsoft Azure. Pokud žádný nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
- Azure CLI verze 2.25.0 nebo novější. Verzi zjistíte spuštěním příkazu
az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace rozhraní příkazového řádku Azure CLI.
Použití služby Azure Cloud Shell
Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Můžete použít předinstalované příkazy služby Cloud Shell ke spuštění kódu uvedeného v tomto článku, aniž byste museli instalovat cokoli do svého místního prostředí.
Spuštění služby Azure Cloud Shell:
| Možnost | Příklad nebo odkaz |
|---|---|
| Zvolte Vyzkoušet v pravém horním rohu bloku kódu. Výběr Vyzkoušet automaticky nekopíruje kód do služby Cloud Shell. |  |
| Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči. |  |
| Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal. |  |
Pokud chcete spustit kód uvedený v tomto článku ve službě Azure Cloud Shell, postupujte takto:
Spusťte Cloud Shell.
Vyberte tlačítko Kopírovat na bloku kódu a kód zkopírujte.
Vložte kód do relace Cloud Shell pomocí kláves Ctrl+Shift+V ve Windows a Linuxu nebo pomocí kláves Cmd+Shift+V v systému macOS.
Spusťte kód stisknutím klávesy Enter.
Přihlášení k Azure
Pokud se chcete přihlásit k Azure pomocí rozhraní příkazového řádku, můžete zadat:
az login
Vytvoření skupiny prostředků
Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Následující příklad vytvoří skupinu prostředků s názvem ContosoResourceGroup v umístění centralus.
az group create --name "ContosoResourceGroup" --location centralus
Vytvoření spravovaného HSM
Vytvoření spravovaného HSM je dvoukrokový proces:
- Zřízení prostředku spravovaného HSM
- Stáhněte si doménu zabezpečení a aktivujte spravovaný HSM.
Zřízení spravovaného HSM
K vytvoření az keyvault create spravovaného HSM použijte příkaz . Tento skript má tři povinné parametry: název skupiny prostředků, název HSM a geografické umístění.
K vytvoření prostředku spravovaného HSM je potřeba zadat následující vstupy:
- Skupina prostředků, do které se umístí do vašeho předplatného.
- Umístění Azure.
- Seznam počátečních správců.
Následující příklad vytvoří HSM s názvem ContosoMHSM ve skupině prostředků ContosoResourceGroup, která se nachází v umístění USA – střed. Aktuální přihlášený uživatel je jediným správcem s 28denním obdobím uchovávání obnovitelného odstranění. Přečtěte si další informace o možnostech softwarového odstranění spravovaného HSM.
oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "centralus" --administrators $oid --retention-days 28
Poznámka
Vytvoření příkazu může trvat několik minut. Po úspěšném návratu jste připraveni k aktivaci HSM.
Výstup tohoto příkazu zobrazí vlastnosti spravovaného HSM, který jste vytvořili. Dvě nejdůležitější vlastnosti jsou:
- name: V tomto příkladu má název ContosoMHSM. Tento název použijete pro jiné Key Vault příkazy.
- hsmUri: V tomto příkladu je identifikátor URI https://contosohsm.managedhsm.azure.net . Aplikace, které používají váš HSM prostřednictvím svého REST API musí použít tento identifikátor URI.
Váš účet Azure je teď autorizovaný k provádění jakýchkoli operací s tímto spravovaným HSM. Zatím není autorizován nikdo jiný.
Aktivace spravovaného HSM
Všechny příkazy roviny dat jsou zakázané, dokud se neaktivuje HSM. Nebudete moct vytvářet klíče ani přiřazovat role. Hsm můžou aktivovat jenom určené správce, kteří byli přiřazeni během příkazu create. Pokud chcete aktivovat HSM, musíte si stáhnout doménu zabezpečení.
K aktivaci HSM potřebujete:
- Minimálně 3 páry klíčů RSA (maximálně 10)
- Určení minimálního počtu klíčů požadovaných k dešifrování domény zabezpečení (kvorum)
Pokud chcete aktivovat HSM, odešlete do modulu HSM alespoň 3 (maximálně 10) veřejných klíčů RSA. HSM zašifruje doménu zabezpečení pomocí těchto klíčů a odešle ji zpět. Po úspěšném dokončení stahování této domény zabezpečení je váš HSM připravený k použití. Musíte také zadat kvorum, což je minimální počet privátních klíčů nutných k dešifrování domény zabezpečení.
Následující příklad ukazuje, jak použít k openssl vygenerování 3 certifikátu podepsaného svým držitelem.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Důležité
Vytvořte a bezpečně uložte páry klíčů RSA a soubor domény zabezpečení vygenerované v tomto kroku.
Pomocí příkazu az keyvault security-domain download stáhněte doménu zabezpečení a aktivujte spravovaný HSM. Následující příklad používá 3 páry klíčů RSA (pro tento příkaz jsou potřeba jenom veřejné klíče) a nastaví kvorum na 2.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Bezpečně uložte soubor domény zabezpečení a páry klíčů RSA. Budete je potřebovat k zotavení po havárii nebo k vytvoření jiného spravovaného HSM, který sdílí stejnou doménu zabezpečení, aby mohl sdílet klíče.
Po úspěšném stažení domény zabezpečení bude váš HSM v aktivním stavu a připravený k použití.
Vyčištění prostředků
Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.
Pokud už je nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete. Prostředky můžete odstranit následujícím způsobem:
az group delete --name ContosoResourceGroup
Další kroky
V tomto rychlém startu jste vytvořili Key Vault a uložili jste do něj tajný kód. Další informace o Key Vault a jejich integraci s vašimi aplikacemi najdete v následujících článcích.
- Přečtěte si přehled spravovaného HSM.
- Informace o správě klíčů ve spravovaném HSM
- Informace o správě rolí pro spravovaný HSM
- Osvědčené postupy pro Managed HSM