Share via

Inicio rápido: Aprovisionamiento y activación de un HSM administrado mediante PowerShell

  • Artículo

En este inicio rápido, creará y activará un HSM (módulo de seguridad de hardware) administrado de Azure Key Vault con PowerShell. Managed HSM es un servicio en la nube que cumple los estándares totalmente administrado, de alta disponibilidad y de un solo inquilino que le permite proteger las claves criptográficas de las aplicaciones en la nube mediante HSM validados de FIPS 140-2 de nivel 3. Para más información sobre Managed HSM, puede consultar esta introducción.

Si decide instalar y usar PowerShell de forma local, en este tutorial necesitará la versión 1.0.0 del módulo de Azure PowerShell, o cualquier versión posterior. Escriba $PSVersionTable.PSVersion para encontrar la versión. Si necesita actualizarla, consulte Instalación del módulo de Azure PowerShell. Si PowerShell se ejecuta localmente, también debe ejecutar Connect-AzAccount para crear una conexión con Azure.

Connect-AzAccount

Crear un grupo de recursos

Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Use el cmdlet New-AzResourceGroup de Azure PowerShell para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus2.

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

Obtención del identificador de entidad de seguridad

Para crear un HSM administrado, necesitará el identificador de entidad de seguridad de Microsoft Entra. Para obtener el identificador, use el cmdlet de Azure PowerShell Get-AzADUser y pase la dirección de correo electrónico al parámetro "UserPrincipalName":

Get-AzADUser -UserPrincipalName "<your@email.address>"

El identificador de entidad de seguridad se devolverá con el formato: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".

Creación de un HSM administrado

La creación de un HSM administrado es un proceso que se compone de dos pasos:

  1. Aprovisionar un recurso de Managed HSM.
  2. Activar el HSM administrado mediante la descarga de un artefacto denominado el dominio de seguridad.

Aprovisionamiento de un HSM administrado

Use el cmdlet New-AzKeyVaultManagedHsm de Azure PowerShell para crear un nuevo HSM administrado. Tendrá que proporcionar algo de información:

  • Nombre del HSM administrado: cadena de entre 3 y 24 caracteres que puede contener solo números (0-9), letras (a-z, A-Z) y guiones (-).

    Importante

    Cada HSM administrado debe tener un nombre único. Reemplace <su-nombre-de-hsm-administrado-único> por el nombre de HSM administrado en los ejemplos siguientes.

  • Nombre del grupo de recursos: myResourceGroup.

  • Ubicación: Este de EE. UU 2.

  • Su id. principal: pase el identificador de entidad de seguridad de Microsoft Entra que obtuvo en la última sección al parámetro "Administrador".

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Nota:

El comando de creación puede tardar unos minutos. Una vez que vuelva correctamente, está listo para activar el HSM.

La salida de este cmdlet muestra propiedades del HSM administrado que acaba de crear. Tome nota de estas dos propiedades:

  • Name: el nombre que proporcionó para el HSM administrado.
  • HsmUri: en el ejemplo, es https://<su-nombre-de-hsm-administrado-único>.managedhsm.azure.net/. Las aplicaciones que utilizan el almacén a través de su API de REST deben usar este identificador URI.

En este momento, su cuenta de Azure es la única autorizada para realizar operaciones en este nuevo HSM.

Activación de un HSM administrado

Todos los comandos de plano de datos estarán deshabilitados hasta que se active el HSM. No podrá crear claves ni asignar roles. El HSM solo pueden activarlo los administradores designados que se asignaron durante el comando create. Para activar el HSM, debe descargar el dominio de seguridad.

Para activar el HSM necesitará lo siguiente:

  • Proporcionar un mínimo de tres pares de claves RSA (hasta un máximo de 10)
  • Especificar el número mínimo de claves necesarias para descifrar el dominio de seguridad (denominado cuórum)

Para activar el HSM, envíe al menos tres claves públicas RSA (diez como máximo) al HSM. El HSM cifra el dominio de seguridad con estas claves y lo devuelve. Una vez que la descarga de este dominio de seguridad se haya completado correctamente, el HSM está listo para usarse. También debe especificar el cuórum, que es el número mínimo de claves privadas necesarias para descifrar el dominio de seguridad.

En el ejemplo siguiente se muestra cómo usar openssl (disponible para Windows aquí) para generar tres certificados autofirmados.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Importante

Cree y almacene los pares de claves de RSA y el archivo de dominio de seguridad generados en este paso de forma segura.

Use el cmdlet Export-AzKeyVaultSecurityDomain de Azure PowerShell para descargar el dominio de seguridad y activar el HSM administrado. En el ejemplo siguiente, se usan tres pares de claves de RSA (para este comando solo se necesitan claves públicas) y se establece el cuórum en dos.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Almacene el archivo del dominio de seguridad y los pares de claves de RSA de forma segura. Los necesitará tanto para la recuperación ante desastres como para crear otro HSM administrado que comparta el mismo dominio de seguridad, con el fin de que los dos puedan compartir claves.

Después de descargar correctamente el dominio de seguridad, el HSM estará en estado activo y listo para que lo use.

Limpieza de recursos

Otras guías de inicio rápido y tutoriales de esta colección se basan en los valores de esta. Si tiene pensado seguir trabajando en otras guías de inicio rápido y tutoriales, considere la posibilidad de dejar estos recursos activos.

Cuando ya no los necesite, puede usar el cmdlet Remove-AzResourceGroup de Azure PowerShell para eliminar el grupo de recursos y todos los recursos relacionados.

Remove-AzResourceGroup -Name "myResourceGroup"

Advertencia

La eliminación del grupo de recursos coloca el HSM administrado en un estado de eliminación temporal. El HSM administrado se seguirá facturando hasta que se purgue. Consulte Eliminación temporal y protección de purga del HSM administrado.

Pasos siguientes

En este inicio rápido, ha creado y activado un HSM administrado. Para más información sobre HSM administrado y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes: