Guia de início rápido: provisionar e ativar um HSM gerenciado usando o PowerShell

  • Artigo

Neste início rápido, você criará e ativará um HSM (Módulo de Segurança de Hardware) gerenciado pelo Azure Key Vault com o PowerShell. O HSM gerenciado é um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões que permite proteger chaves criptográficas para seus aplicativos em nuvem, usando HSMs validados pelo FIPS 140-2 Nível 3 . Para obter mais informações sobre o HSM gerenciado, consulte a Visão geral.

Se você optar por instalar e usar o PowerShell localmente, este tutorial exigirá o módulo do Azure PowerShell versão 1.0.0 ou posterior. Digite $PSVersionTable.PSVersion para encontrar a versão. Se precisar de atualizar, veja Install Azure PowerShell module (Instalar o módulo do Azure PowerShell). Se estiver a executar localmente o PowerShell, também terá de executar o Connect-AzAccount para criar uma ligação com o Azure.

Connect-AzAccount

Criar um grupo de recursos

Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup no local eastus2.

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

Obtenha o seu ID principal

Para criar um HSM gerenciado, você precisará de sua ID principal do Microsoft Entra. Para obter sua ID, use o cmdlet Get-AzADUser do Azure PowerShell, passando seu endereço de email para o parâmetro "UserPrincipalName":

Get-AzADUser -UserPrincipalName "<your@email.address>"

O seu ID principal será devolvido no formato "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".

Criar um HSM gerenciado

Criar um HSM gerenciado é um processo de duas etapas:

  1. Provisione um recurso HSM gerenciado.
  2. Ative seu HSM gerenciado baixando um artefato chamado domínio de segurança.

Provisionar um HSM gerenciado

Use o cmdlet New-AzKeyVaultManagedHsm do Azure PowerShell para criar um novo HSM gerenciado. Terá de fornecer algumas informações:

  • Nome do HSM gerenciado: uma cadeia de caracteres de 3 a 24 caracteres que pode conter apenas números (0-9), letras (a-z, A-Z) e hífenes (-)

    Importante

    Cada HSM gerenciado deve ter um nome exclusivo. Substitua <your-unique-managed-hsm-name> pelo nome do seu HSM gerenciado nos exemplos a seguir.

  • Nome do grupo de recursos: myResourceGroup.

  • A localização: East US 2.

  • Sua ID principal: passe a ID principal do Microsoft Entra obtida na última seção para o parâmetro "Administrador".

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Nota

O comando create pode levar alguns minutos. Uma vez que ele retorna com sucesso, você está pronto para ativar seu HSM.

A saída desse cmdlet mostra as propriedades do HSM gerenciado recém-criado. Tome nota destas duas propriedades:

  • Nome: o nome fornecido para o HSM gerenciado.
  • HsmUri: No exemplo, este é https://< your-unique-managed-hsm-name.managedhsm.azure.net/>. As aplicações que utilizam o cofre através da respetiva API têm de utilizar este URI.

Neste ponto, sua conta do Azure é a única autorizada a executar quaisquer operações neste novo HSM.

Ative seu HSM gerenciado

Todos os comandos do plano de dados são desativados até que o HSM seja ativado. Você não poderá criar chaves ou atribuir funções. Somente os administradores designados que foram atribuídos durante o comando create podem ativar o HSM. Para ativar o HSM, você deve baixar o Domínio de segurança.

Para ativar seu HSM, você precisará de:

  • Para fornecer um mínimo de três pares de chaves RSA (até um máximo de 10)
  • Para especificar o número mínimo de chaves necessárias para desencriptar o domínio de segurança (denominado quórum)

Para ativar o HSM, envie pelo menos três (máximo 10) chaves públicas RSA para o HSM. O HSM criptografa o domínio de segurança com essas chaves e o envia de volta. Quando o download desse domínio de segurança for concluído com êxito, seu HSM estará pronto para uso. Você também precisa especificar quorum, que é o número mínimo de chaves privadas necessárias para descriptografar o domínio de segurança.

O exemplo a seguir mostra como usar openssl (disponível para Windows aqui) para gerar três certificados autoassinados.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Importante

Crie e armazene os pares de chaves RSA e o arquivo de domínio de segurança gerados nesta etapa com segurança.

Use o cmdlet Azure PowerShell Export-AzKeyVaultSecurityDomain para baixar o domínio de segurança e ativar seu HSM gerenciado. O exemplo a seguir usa três pares de chaves RSA (somente chaves públicas são necessárias para este comando) e define o quorum como dois.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Guarde o ficheiro de domínio de segurança e os pares de chaves RSA de forma segura. Você precisará deles para recuperação de desastres ou para criar outro HSM gerenciado que compartilhe o mesmo domínio de segurança para que os dois possam compartilhar chaves.

Depois de fazer o download bem-sucedido do domínio de segurança, seu HSM estará em um estado ativo e pronto para ser usado.

Clean up resources (Limpar recursos)

Outros inícios rápidos e tutoriais desta coleção têm por base este início rápido. Se quiser continuar a trabalhar com outros inícios rápidos e tutoriais, pode manter estes recursos.

Quando não for mais necessário, você poderá usar o cmdlet Azure PowerShell Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos relacionados.

Remove-AzResourceGroup -Name "myResourceGroup"

Aviso

A exclusão do grupo de recursos coloca o HSM gerenciado em um estado de exclusão suave. O HSM gerenciado continuará a ser cobrado até ser limpo. Consulte Proteção de exclusão e limpeza suave do HSM gerenciado

Próximos passos

Neste início rápido, você criou e ativou um HSM gerenciado. Para saber mais sobre o HSM gerenciado e como integrá-lo aos seus aplicativos, continue nestes artigos: