Hızlı Başlangıç: Azure CLI kullanarak Yönetilen HSM sağlama ve etkinleştirme

  • Makale

Bu hızlı başlangıçta, Azure CLI ile bir Azure Key Vault Yönetilen HSM (Donanım Güvenlik Modülü) oluşturacak ve etkinleştireceksiniz. Yönetilen HSM, FIPS 140-2 Düzey 3 doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanızı sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlara uyumlu bir bulut hizmetidir. Yönetilen HSM hakkında daha fazla bilgi için Genel Bakış'ı gözden geçirebilirsiniz.

Önkoşullar

Bu makaledeki adımları tamamlamak için şunlara sahip olmanız gerekir:

  • Microsoft Azure aboneliği. Aboneliğiniz yoksa ücretsiz deneme sürümüne kaydolabilirsiniz.
  • Azure CLI sürüm 2.25.0 veya üzeri. Sürümü bulmak için az --version komutunu çalıştırın. Yükleme veya yükseltme yapmanız gerekirse bkz. Azure CLI'yı yükleme.

Azure Cloud Shell

Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell'i barındırıyor. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Yerel ortamınıza herhangi bir şey yüklemek zorunda kalmadan bu makaledeki kodu çalıştırmak için Cloud Shell önceden yüklenmiş komutlarını kullanabilirsiniz.

Azure Cloud Shell'i başlatmak için:

Seçenek Örnek/Bağlantı
Kodun veya komut bloğunun sağ üst köşesindeki Deneyin'i seçin. Deneyin seçildiğinde kod veya komut otomatik olarak Cloud Shell'e kopyalanmaz. Screenshot that shows an example of Try It for Azure Cloud Shell.
https://shell.azure.comadresine gidin veya Cloud Shell'i tarayıcınızda açmak için Cloud Shell'i Başlat düğmesini seçin. Button to launch Azure Cloud Shell.
Azure portalının sağ üst kısmındaki menü çubuğunda Cloud Shell düğmesini seçin. Screenshot that shows the Cloud Shell button in the Azure portal

Azure Cloud Shell'i kullanmak için:

  1. Cloud Shell'i başlatın.

  2. Kodu veya komutu kopyalamak için kod bloğundaki (veya komut bloğundaki) Kopyala düğmesini seçin.

  3. Windows ve Linux'ta Ctrl+Shift V'yi seçerek veya macOS üzerinde Cmd+Shift++V'yi seçerek kodu veya komutu Cloud Shell oturumuna yapıştırın.

  4. Kodu veya komutu çalıştırmak için Enter'ı seçin.

Azure'da oturum açma

CLI kullanarak Azure'da oturum açmak için şunları yazabilirsiniz:

az login

Kaynak grubu oluşturma

Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği bir mantıksal kapsayıcıdır. Aşağıdaki örnek eastus2 konumunda ContosoResourceGroup adlı bir kaynak grubu oluşturur.

az group create --name "ContosoResourceGroup" --location eastus2

Yönetilen HSM oluşturma

Yönetilen HSM oluşturmak iki adımlı bir işlemdir:

  1. Yönetilen HSM kaynağı sağlama.
  2. Güvenlik etki alanı adlı bir yapıtı indirerek Yönetilen HSM'nizi etkinleştirin.

Yönetilen HSM sağlama

az keyvault create Yönetilen HSM oluşturmak için komutunu kullanın. Bu betik üç zorunlu parametreye sahiptir: kaynak grubu adı, HSM adı ve coğrafi konum.

Yönetilen HSM kaynağı oluşturmak için aşağıdaki girişleri sağlamanız gerekir:

  • Aboneliğinize yerleştirileceği kaynak grubu.
  • Azure konumu.
  • İlk yöneticilerin listesi.

Aşağıdaki örnek, ContosoResourceGroup kaynak grubunda ContosoMHSM adlı bir HSM oluşturur ve bu HSM Doğu ABD 2 konumundadır ve geçerli oturum açmış kullanıcı geçici silme için 7 günlük saklama süresiyle tek yönetici olarak oturum açmaktadır. Yönetilen HSM geçici silme süresi içinde temizlenene kadar faturalandırılmaya devam eder. Daha fazla bilgi için bkz. Yönetilen HSM geçici silme ve temizleme koruması ve Yönetilen HSM geçici silme hakkında daha fazla bilgi edinin.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7

Not

Yönetilen HSM'nizin ilk yöneticileri olarak Yönetilen Kimlikler kullanıyorsanız, ClientID yerine '--administrators' sonrasında Yönetilen Kimlikler'in OID/PrincipalID değerini girmeniz gerekir.

Not

Oluşturma komutu birkaç dakika sürebilir. Başarıyla döndürdüğünde HSM'nizi etkinleştirmeye hazır olursunuz.

Uyarı

Yönetilen HSM örnekleri her zaman kullanımda olarak kabul edilir. bayrağını kullanarak temizleme korumasını etkinleştirmeyi --enable-purge-protection seçerseniz, saklama süresinin tamamı için faturalandırılırsınız.

Bu komutun çıktısı, oluşturduğunuz Yönetilen HSM'nin özelliklerini gösterir. En önemli iki özellik şunlardır:

  • name: Örnekte ad ContosoMHSM'dir. Bu adı diğer komutlar için kullanacaksınız.
  • hsmUri: Örnekte URI şudur: 'https://contosohsm.managedhsm.azure.net.' HSM'nizi REST API aracılığıyla kullanan uygulamaların bu URI'yi kullanması gerekir.

Azure hesabınız artık bu Yönetilen HSM üzerinde tüm işlemleri gerçekleştirme yetkisine sahiptir. Henüz kimse yetkilendirilmedi.

Yönetilen HSM'nizi etkinleştirme

HSM etkinleştirilene kadar tüm veri düzlemi komutları devre dışı bırakılır. Örneğin, bunu yapmadan önce anahtar oluşturamaz veya rol atayamazsınız. HSM'yi yalnızca oluşturma komutu sırasında atanan atanmış yöneticiler etkinleştirebilir. HSM'yi etkinleştirmek için Güvenlik Etki Alanı'nı indirmeniz gerekir.

HSM'nizi etkinleştirmek için şunları yapmanız gerekir:

  • En az üç RSA anahtar çifti sağlamak için (en fazla 10)
  • Güvenlik etki alanının şifresini çözmek için gereken en az anahtar sayısını belirtmek için (çekirdek olarak adlandırılır)

HSM'yi etkinleştirmek için HSM'ye en az üç (en fazla 10) RSA ortak anahtarı gönderirsiniz. HSM, güvenlik etki alanını bu anahtarlarla şifreler ve geri gönderir. Bu güvenlik etki alanı indirme işlemi başarıyla tamamlandıktan sonra HSM'niz kullanıma hazırdır. Güvenlik etki alanının şifresini çözmek için gereken en az özel anahtar sayısı olan çekirdeği de belirtmeniz gerekir.

Aşağıdaki örnekte, üç otomatik olarak imzalanan sertifika oluşturmak için nasıl kullanılacağı openssl gösterilmektedir.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Not

Sertifikanın süresi "dolmuş" olsa bile, güvenlik etki alanını geri yüklemek için kullanılabilir.

Önemli

Bu adımda oluşturulan RSA anahtar çiftlerini ve güvenlik etki alanı dosyasını güvenli bir şekilde oluşturun ve depolayın.

Komutunu kullanarak az keyvault security-domain download güvenlik etki alanını indirin ve Yönetilen HSM'nizi etkinleştirin. Aşağıdaki örnek üç RSA anahtar çifti kullanır (bu komut için yalnızca ortak anahtarlar gereklidir) ve çekirdeği iki olarak ayarlar.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Lütfen güvenlik etki alanı dosyasını ve RSA anahtar çiftlerini güvenli bir şekilde depolayın. Olağanüstü durum kurtarma için veya aynı güvenlik etki alanını paylaşan başka bir Yönetilen HSM oluşturmak için bu ikisine ihtiyacınız olacaktır; böylece ikisi anahtarları paylaşabilir.

Güvenlik etki alanı başarıyla indirildikten sonra HSM'niz etkin durumda olur ve kullanımınıza hazır olur.

Kaynakları temizleme

Bu koleksiyondaki diğer hızlı başlangıçlar ve öğreticiler bu hızlı başlangıcı temel alır. Sonraki hızlı başlangıç ve öğreticilerle çalışmaya devam etmeyi planlıyorsanız, bu kaynakları yerinde bırakmanız yararlı olabilir.

Artık gerekli değilse, az group delete komutunu kullanarak kaynak grubunu ve tüm ilgili kaynakları kaldırabilirsiniz. Kaynakları aşağıda gösterildiği gibi silebilirsiniz:

az group delete --name ContosoResourceGroup

Uyarı

Kaynak grubu silindiğinde Yönetilen HSM geçici olarak silinmiş duruma getirilir. Yönetilen HSM temizlenene kadar faturalandırılmaya devam eder. Yönetilen HSM geçici silme ve temizleme koruması bölümüne bakın

Sonraki adımlar

Bu hızlı başlangıçta, yönetilen bir HSM sağladınız ve etkinleştirdiniz. Yönetilen HSM ve uygulamalarınızla tümleştirme hakkında daha fazla bilgi edinmek için bu makalelere geçin.