Hızlı Başlangıç: Azure CLI'yi kullanarak yönetilen HSM sağlama ve etkinleştirme
Azure Key Vault Yönetilen HSM, FIPS 140-2 Düzey 3 ile doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanıza olanak sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlarla uyumlu bir bulut hizmetidir. Yönetilen HSM hakkında daha fazla bilgi için Genel Bakış'ı gözden geçirebilirsiniz.
Bu hızlı başlangıçta, Azure CLI ile yönetilen bir HSM oluştur ve etkinleştir.
Önkoşullar
Bu makaledeki adımları tamamlamak için aşağıdaki öğelere sahipsiniz:
- Bir Microsoft Azure aboneliği. Hesabınız yoksa, ücretsiz deneme için kaydolabilirsiniz.
- Azure CLI 2.25.0 veya sonraki bir sürümü. Sürümü bulmak için
az --versionkomutunu çalıştırın. Yükleme veya yükseltme yapmanız gerekirse bkz. Azure CLI’yı yükleme.
Azure Cloud Shell kullanma
Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell’i barındırır. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Bu makaledeki kodu, yerel ortamınıza herhangi bir şey yüklemeye gerek kalmadan çalıştırmak için Cloud Shell’in önceden yüklenmiş komutlarını kullanabilirsiniz.
Azure Cloud Shell’i başlatmak için:
| Seçenek | Örnek/Bağlantı |
|---|---|
| Kod bloğunun sağ üst köşesindeki Deneyin’i seçin. Deneyin seçeneği belirlendiğinde, kod otomatik olarak Cloud Shell’e kopyalanmaz. |  |
| Cloud Shell’i tarayıcınızda açmak için https://shell.azure.com bölümüne gidin veya Cloud Shell’i Başlat düğmesini seçin. |  |
| Azure portalın sağ üst köşesindeki menü çubuğunda yer alan Cloud Shell düğmesini seçin. |  |
Azure Cloud Shell’de bu makaledeki kodu çalıştırmak için:
Cloud Shell’i başlatın.
Kodu kopyalamak için kod bloğunda Kopyala düğmesini seçin.
Windows ve Linux sisteminde Ctrl+Shift+V tuşlarını kullanarak veya macOS’de Cmd+Shift+V tuşlarını kullanarak kodu Cloud Shell oturumuna yapıştırın.
Kodu çalıştırmak için Enter tuşuna basın.
Azure'da oturum açma
CLI kullanarak Azure'da oturum açma için şunları yazın:
az login
Kaynak grubu oluşturma
Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği bir mantıksal kapsayıcıdır. Aşağıdaki örnek centralus konumda ContosoResourceGroup adlı bir kaynak grubu oluşturur.
az group create --name "ContosoResourceGroup" --location centralus
Yönetilen HSM oluşturma
Yönetilen HSM oluşturmak iki adımlı bir işlemdir:
- Yönetilen HSM kaynağı sağlama.
- Güvenlik etki alanını indirerek Yönetilen HSM'nizi etkinleştirin.
Yönetilen HSM sağlama
Yönetilen az keyvault create HSM oluşturmak için komutunu kullanın. Bu betikte üç zorunlu parametre vardır: kaynak grubu adı, HSM adı ve coğrafi konum.
Yönetilen HSM kaynağı oluşturmak için aşağıdaki girişleri sağlanız gerekir:
- Aboneliğinize yerleştirilecek kaynak grubu.
- Azure konumu.
- İlk yöneticilerin listesi.
Aşağıdaki örnek, contosoResourceGroup kaynak grubunda ContosoMHSM adlı bir HSM oluşturur ve bu HSM, Orta ABD konumda yer alır ve geçerli oturum açık kullanıcı, 28 günlük saklama süresiyle tek yönetici olarak kullanılır. Yönetilen HSM yazılım silme hakkında daha fazla bilgi
oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "centralus" --administrators $oid --retention-days 28
Not
Oluştur komutu birkaç dakika sürebilir. Başarıyla geri döndüğünde HSM'nizi etkinleştirmeye hazır oluruz.
Bu komutun çıktısı, oluşturduğunuz Yönetilen HSM'nin özelliklerini gösterir. En önemli iki özellik şunlardır:
- name: Örnekte, ad ContosoMHSM'dir. Diğer komutlar için bu adı Key Vault.
- hsmUri: Örnekte URI şu şekildedir: https://contosohsm.managedhsm.azure.net '.' HSM'nizi kendi uygulaması aracılığıyla kullanan REST API bu URI'yi kullan gerekir.
Azure hesabınız artık bu Yönetilen HSM üzerinde tüm işlemleri gerçekleştirme yetkisine sahip. Henüz başka hiç kimse yetkilendirilmedi.
Yönetilen HSM'nizi etkinleştirme
HSM etkinleştirilene kadar tüm veri düzlemi komutları devre dışı bırakılır. Anahtar oluşturamayacak veya rol atayabileceksiniz. Yalnızca oluşturma komutu sırasında atanan atanan yöneticiler HSM'yi etkinleştirebilirsiniz. HSM'yi etkinleştirmek için Güvenlik Etki Alanını indirmeniz gerekir.
HSM'nizi etkinleştirmek için:
- En az 3 RSA anahtar çifti (en fazla 10)
- Güvenlik etki alanının şifresini çözmek için gereken minimum anahtar sayısını belirtin (çekirdek)
HSM'yi etkinleştirmek için HSM'ye en az 3 (en fazla 10) RSA ortak anahtarı gönderirsiniz. HSM, güvenlik etki alanını bu anahtarlarla şifreler ve geri gönderir. Bu güvenlik etki alanı indirme işlemi başarıyla tamamlandıktan sonra HSM'niz kullanıma hazırdır. Ayrıca, güvenlik etki alanının şifresini çözmek için gereken en düşük özel anahtar sayısı olan çekirdek belirtmeniz gerekir.
Aşağıdaki örnekte, otomatik olarak imzalanan openssl 3 sertifika oluşturmak için nasıl kullanabileceğiniz gösterilmiştir.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Önemli
Bu adımda oluşturulan RSA anahtar çiftlerini ve güvenlik etki alanı dosyasını güvenli bir şekilde oluşturun ve depolar.
Güvenlik etki az keyvault security-domain download alanını indirmek ve yönetilen HSM'nizi etkinleştirmek için komutunu kullanın. Aşağıdaki örnekte, 3 RSA anahtar çifti (bu komut için yalnızca ortak anahtarlar gereklidir) kullanır ve çekirdek 2 olarak ayarlar.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Lütfen güvenlik etki alanı dosyasını ve RSA anahtar çiftlerini güvenli bir şekilde depolar. Bunların olağanüstü durum kurtarma veya anahtarları paylaşacak şekilde aynı güvenlik etki alanını paylaşan başka bir yönetilen HSM oluşturmak için ihtiyacınız olacak.
Güvenlik etki alanını başarıyla indirdikten sonra HSM'niz etkin durumda olur ve kullanıma hazır olur.
Kaynakları temizleme
Bu koleksiyondaki diğer hızlı başlangıçlar ve öğreticiler bu hızlı başlangıcı temel alır. Sonraki hızlı başlangıç ve öğreticilerle çalışmaya devam etmeyi planlıyorsanız, bu kaynakları yerinde bırakmanız yararlı olabilir.
Artık gerekli değilse, az group delete komutunu kullanarak kaynak grubunu ve tüm ilgili kaynakları kaldırabilirsiniz. Kaynakları aşağıda gösterildiği gibi silebilirsiniz:
az group delete --name ContosoResourceGroup
Sonraki adımlar
Bu hızlı başlangıçta bir gizli Key Vault ve içinde bir gizli bilgi depolaydın. Uygulamalarınızı nasıl Key Vault ve uygulamalarınız ile nasıl tümleştirebilirsiniz hakkında daha fazla bilgi edinmek için aşağıdaki makalelere geçin.
- Yönetilen HSM'ye Genel Bakış'ı okuyun
- Yönetilen bir HSM'de anahtarları yönetme hakkında bilgi
- Yönetilen bir HSM için rol yönetimi hakkında bilgi edinmek için
- Yönetilen HSM en iyi uygulamalarını gözden geçirme