Mulai cepat: Sediakan dan aktifkan HSM Terkelola menggunakan Azure CLI

  • Artikel

Dalam mulai cepat ini, Anda akan membuat dan mengaktifkan Azure Key Vault Managed HSM (Hardware Security Module) dengan Azure CLI. HSM Terkelola adalah layanan cloud yang dikelola penuh, sangat tersedia, penyewa tunggal, mematuhi standar yang memungkinkan Anda melindungi kunci kriptografi untuk aplikasi cloud Anda, menggunakan HSM tervalidasi FIPS 140-2 Level 3. Untuk informasi lebih lanjut tentang HSM terkelola, Anda dapat mengulas Ringkasan.

Prasyarat

Untuk menyelesaikan langkah-langkah dalam artikel ini, Anda perlu:

  • Berlangganan Microsoft Azure. Jika Anda tidak memilikinya, Anda dapat mendaftar untuk uji coba gratis.
  • Azure CLI versi 2.25.0 atau yang lebih baru. Jalankan az --version untuk menemukan versinya. Jika Anda perlu memasang atau meningkatkan, Pasang Azure CLI.

Azure Cloud Shell

Azure meng-hosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini tanpa harus menginstal apa-apa di lingkungan lokal Anda.

Untuk memulai Azure Cloud Shell:

Opsi Contoh/Tautan
Pilih Coba di pojok kanan atas blok kode atau perintah. Memilih Coba tidak otomatis menyalin kode atau perintah ke Cloud Shell. Screenshot that shows an example of Try It for Azure Cloud Shell.
Buka https://shell.azure.com, atau pilih tombol Luncurkan Cloud Shell untuk membuka Cloud Shell di browser Anda. Button to launch Azure Cloud Shell.
Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Microsoft Azure. Screenshot that shows the Cloud Shell button in the Azure portal

Untuk menggunakan Azure Cloud Shell:

  1. Mulai Cloud Shell.

  2. Pilih tombol Salin pada blok kode (atau blok perintah) untuk menyalin kode atau perintah.

  3. Tempel kode atau perintah ke dalam sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux, atau dengan memilih Cmd+Shift+V di macOS.

  4. Pilih Masukkan untuk menjalankan kode atau perintah.

Masuk ke Azure

Untuk masuk ke Azure menggunakan CLI, ketik:

az login

Buat grup sumber daya

Grup sumber daya adalah kontainer logis yang disebarkan dan dikelola oleh sumber daya Azure. Contoh berikut ini membuat grup sumber daya bernama ContosoResourceGroup di lokasi eastus2.

az group create --name "ContosoResourceGroup" --location eastus2

Buat HSM Terkelola

Membuat HSM terkelola adalah proses dua langkah:

  1. Sediakan sumber daya HSM terkelola.
  2. Aktifkan HSM Terkelola dengan mengunduh artefak yang disebut domain keamanan.

Melakukan provisi HSM terkelola

Gunakan perintah az keyvault create untuk membuat HSM terkelola. Skrip ini memiliki tiga parameter wajib: nama grup sumber daya, nama HSM, dan lokasi geografis.

Sediakan input berikut untuk membuat sumber daya HSM terkelola:

  • Grup sumber daya di mana sumber daya HSM terkelola akan ditempatkan di langganan Anda.
  • Lokasi Azure.
  • Daftar administrator awal.

Contoh berikut membuat HSM bernama ContosoMHSM, di grup sumber daya ContosoResourceGroup, berada di lokasi US Timur 2 , dengan pengguna yang masuk saat ini sebagai satu-satunya administrator, dengan periode retensi 7 hari untuk penghapusan sementara. HSM Terkelola akan terus ditagih hingga dihapus menyeluruh dalam periode penghapusan sementara. Untuk informasi selengkapnya, lihat Perlindungan penghapusan sementara dan penghapusan menyeluruh HSM Terkelola dan baca selengkapnya tentang penghapusan sementara HSM Terkelola.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7

Catatan

Jika Anda menggunakan Identitas Terkelola sebagai admin awal HSM Terkelola, Anda harus memasukkan OID/PrincipalID dari Identitas Terkelola setelah '--administrator' dan bukan ClientID.

Catatan

Perintah buat memerlukan waktu beberapa menit. Setelah perintah tersebut berhasil kembali, Anda siap untuk mengaktifkan HSM Anda.

Peringatan

Instans HSM terkelola dianggap selalu digunakan. Jika Anda memilih untuk mengaktifkan perlindungan pembersihan menggunakan --enable-purge-protection bendera, Anda akan ditagih untuk keseluruhan periode retensi.

Output dari perintah ini menunjukkan properti HSM terkelola yang telah Anda buat. Dua properti yang paling penting adalah:

  • nama: Dalam contoh, nama yang digunakan adalah ContosoMHSM. Anda akan menggunakan nama ini untuk perintah Key Vault lainnya.
  • hsmUri: Dalam contoh, URI yang digunakan adalah 'https://contosohsm.managedhsm.azure.net.' Aplikasi yang menggunakan HSM Anda melalui REST API-nya harus menggunakan URI ini.

Akun Azure Anda saat ini memiliki autorisasi untuk melakukan operasi apa pun pada HSM terkelola tersebut. Sampai saat ini, tidak ada orang lain yang diotorisasi.

Mengaktifkan HSM Terkelola Anda

Semua perintah pesawat data dinonaktifkan hingga HSM diaktifkan. Anda tidak akan dapat membuat kunci atau menetapkan peran. Hanya administrator yang ditunjuk saat perintah dibuat yang dapat mengaktifkan HSM. Untuk mengaktifkan HSM, Anda harus mengunduh Domain Keamanan.

Untuk mengaktifkan HSM, Anda perlu:

  • Memberikan minimal tiga pasangan tombol RSA (hingga maksimal 10)
  • Menentukan jumlah minimum kunci yang diperlukan untuk mendekripsi domain keamanan (disebut kuorum)

Untuk mengaktifkan HSM, Anda perlu mengirim setidaknya tiga (maksimum 10) kunci publik RSA ke HSM. HSM mengenkripsi domain keamanan dengan kunci ini dan mengirimkannya kembali. Setelah unduhan domain keamanan ini berhasil diselesaikan, HSM Anda siap digunakan. Anda juga perlu menentukan kuorum, yang merupakan jumlah minimum kunci privat yang diperlukan untuk mendekripsi domain keamanan.

Contoh di bawah ini menunjukkan cara menggunakan openssl untuk menghasilkan tiga sertifikat yang ditandatangani sendiri.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Catatan

Bahkan jika sertifikat telah "kedaluwarsa," sertifikat masih dapat digunakan untuk memulihkan domain keamanan.

Penting

Buat dan simpan pasangan kunci RSA dan file domain keamanan yang dihasilkan dalam langkah ini dengan aman.

Gunakan perintah az keyvault security-domain download untuk mengunduh domain keamanan dan mengaktifkan HSM terkelola Anda. Contoh berikut menggunakan tiga pasangan tombol RSA (hanya kunci publik yang diperlukan untuk perintah ini) dan mengatur kuorum menjadi dua.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Simpanlah berkas domain keamanan dan pasangan kunci RSA dengan aman. Anda akan membutuhkannya untuk pemulihan bencana atau untuk membuat HSM Terkelola lain yang memiliki domain keamanan yang sama, sehingga HSM tersebut dapat berbagi kunci.

Setelah berhasil mengunduh domain keamanan, HSM Anda akan berada dalam keadaan aktif dan siap untuk Anda gunakan.

Membersihkan sumber daya

Mulai cepat dan tutorial lain dalam koleksi ini dibentuk berdasarkan mulai cepat ini. Jika berencana untuk melanjutkan bekerja dengan mulai cepat dan tutorial berikutnya, Anda mungkin ingin membiarkan sumber daya ini tetap di tempatnya.

Jika tidak lagi dibutuhkan, gunakan perintah grup az hapus untuk menghapus grup sumber daya, dan semua sumber daya terkait. Anda bisa menghapus sumber daya dengan cara berikut:

az group delete --name ContosoResourceGroup

Peringatan

Menghapus grup sumber daya akan mengubah status HSM Terkelola ke dihapus sementara. HSM Terkelola akan terus ditagih hingga dihapus menyeluruh. Lihat Penghapusan sementara dan perlindungan penghapusan menyeluruh HSM Terkelola

Langkah berikutnya

Dalam mulai cepat ini, Anda menyediakan HSM Terkelola dan mengaktifkannya. Untuk mempelajari lebih lanjut tentang HSM Terkelola dan cara mengintegrasikannya dengan aplikasi Anda, lanjutkan ke artikel di bawah ini.