Szybki Start: udostępnianie zarządzanego modułu HSM i aktywowanie go przy użyciu interfejsu wiersza polecenia platformy Azure

Azure Key Vault zarządzanym modułem HSM jest w pełni zarządzana usługa w chmurze o wysokiej dostępności, która jest zgodna ze standardami, która umożliwia Zabezpieczanie kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych sprzętowych modułów zabezpieczeń poziomu 3 w trybie FIPS 140-2 . Aby uzyskać więcej informacji na temat zarządzanego modułu HSM, można zapoznać się z omówieniem.

W tym przewodniku szybki start utworzysz i uaktywniasz zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure. a następnie umieszczanie w nim wpisu tajnego.

Wymagania wstępne

Aby wykonać kroki opisane w tym artykule, musisz dysponować następującymi elementami:

Używanie usługi Azure Cloud Shell

Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod z tego artykułu bez konieczności instalowania narzędzi w środowisku lokalnym, można użyć wstępnie zainstalowanych poleceń środowiska Cloud Shell.

Aby uruchomić środowisko Azure Cloud Shell:

Opcja Przykład/link
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu. Wybranie pozycji Wypróbuj nie spowoduje automatycznego skopiowania kodu do środowiska Cloud Shell. Przykład funkcji Wypróbuj w środowisku Azure Cloud Shell
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. Uruchamianie środowiska Cloud Shell w nowym oknie
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. Przycisk Cloud Shell w witrynie Azure Portal

Aby uruchomić kod z tego artykułu w środowisku Azure Cloud Shell:

  1. Uruchom usługę Cloud Shell.

  2. Wybierz przycisk Kopiuj w bloku kodu, aby skopiować kod.

  3. Wklej kod w sesji Cloud Shell, naciskając klawisze Ctrl+Shift+V w systemach Windows i Linux lub klawisze Cmd+Shift+V w systemie macOS.

  4. Naciśnij klawisz Enter, aby uruchomić kod.

Logowanie do platformy Azure

Aby zalogować się do platformy Azure przy użyciu interfejsu wiersza polecenia, możesz wpisać:

az login

Tworzenie grupy zasobów

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Poniższy przykład tworzy grupę zasobów o nazwie ContosoResourceGroup w lokalizacji eastus2 .

az group create --name "ContosoResourceGroup" --location eastus2

Tworzenie zarządzanego modułu HSM

Tworzenie zarządzanego modułu HSM jest procesem dwuetapowym:

  1. Inicjowanie obsługi zarządzanego zasobu modułu HSM.
  2. Aktywuj zarządzany moduł HSM, pobierając domenę zabezpieczeń.

Obsługa zarządzanego modułu HSM

Użyj az keyvault create polecenia, aby utworzyć zarządzany moduł HSM. Ten skrypt ma trzy parametry obowiązkowe: nazwę grupy zasobów, nazwę modułu HSM i lokalizację geograficzną.

Musisz podać następujące dane wejściowe, aby utworzyć zarządzany zasób modułu HSM:

  • Grupa zasobów, w której zostanie umieszczona w Twojej subskrypcji.
  • Lokalizacja platformy Azure.
  • Lista administratorów początkowych.

Poniższy przykład tworzy moduł HSM o nazwie ContosoMHSM w grupie zasobów ContosoResourceGroup, znajdujący się w lokalizacji Wschodnie stany USA 2 , z obecnie zalogowanym użytkownikiem jako jedynego administratora.

oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "East US 2" --administrators $oid

Uwaga

Polecenie CREATE może potrwać kilka minut. Po pomyślnym powrocie można aktywować moduł HSM.

Dane wyjściowe tego polecenia przedstawiają właściwości zarządzanego modułu HSM, który został utworzony. Dwie najważniejsze właściwości to:

  • Nazwa: w tym przykładzie nazwa to ContosoMHSM. Ta nazwa będzie używana do innych poleceń Key Vault.
  • hsmUri: w przykładzie identyfikator URI to " https://contosohsm.managedhsm.azure.net ." Aplikacje korzystające z modułu HSM za pomocą interfejsu API REST muszą używać tego identyfikatora URI.

Twoje konto platformy Azure ma teraz uprawnienia do wykonywania dowolnych operacji na tym zarządzanym module HSM. Od tej pory nikt nie jest autoryzowany.

Aktywuj zarządzany moduł HSM

Wszystkie polecenia płaszczyzny danych są wyłączone do momentu aktywowania modułu HSM. Nie będzie można tworzyć kluczy ani przypisywać ról. Tylko Wyznaczeni Administratorzy przypisani podczas tworzenia polecenia mogą aktywować moduł HSM. Aby aktywować moduł HSM, należy pobrać domenę zabezpieczeń.

Aby aktywować moduł HSM, potrzebujesz:

  • Minimum 3 pary kluczy RSA (maksymalnie 10)
  • Określ minimalną liczbę kluczy potrzebną do odszyfrowania domeny zabezpieczeń (kworum)

Aby aktywować moduł HSM, należy wysłać co najmniej 3 (maksymalnie 10) kluczy publicznych RSA do modułu HSM. Moduł HSM szyfruje domenę zabezpieczeń przy użyciu tych kluczy i wysyła je z powrotem. Po pomyślnym ukończeniu pobierania tej domeny zabezpieczeń moduł HSM jest gotowy do użycia. Należy również określić kworum, czyli minimalną liczbę kluczy prywatnych wymaganych do odszyfrowania domeny zabezpieczeń.

W poniższym przykładzie przedstawiono sposób użycia openssl programu w celu wygenerowania 3-z certyfikatem z podpisem własnym.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Ważne

Utwórz i Zapisz pary kluczy RSA i plik domeny zabezpieczeń, które zostały wygenerowane w tym kroku bezpiecznie.

Użyj az keyvault security-domain download polecenia, aby pobrać domenę zabezpieczeń i aktywować zarządzany moduł HSM. W poniższym przykładzie zastosowano 3 pary kluczy RSA (tylko klucze publiczne są konieczne dla tego polecenia) i ustawia kworum na 2.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Zapisz plik domeny zabezpieczeń i pary kluczy RSA bezpiecznie. Będą one potrzebne do odzyskiwania po awarii lub tworzenia innego zarządzanego modułu HSM, który ma udział w tej samej domenie zabezpieczeń, dzięki czemu mogą udostępniać klucze.

Po pomyślnym pobraniu domeny zabezpieczeń moduł HSM będzie w stanie aktywny i będzie gotowy do użycia.

Czyszczenie zasobów

Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.

Gdy grupa zasobów i wszystkie pokrewne zasoby nie będą już potrzebne, można je usunąć za pomocą polecenia az group delete. Możesz usunąć zasoby w następujący sposób:

az group delete --name ContosoResourceGroup

Następne kroki

W tym przewodniku szybki start utworzono Key Vault i Zapisano w nim wpis tajny. Aby dowiedzieć się więcej na temat Key Vault i sposobu integrowania go z aplikacjami, przejdź do artykułu poniżej.