Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом кратком руководстве вы создадите и активируете управляемый модуль HSM Azure Key Vault (аппаратный модуль безопасности) с помощью Azure CLI. Управляемый модуль HSM — это полностью управляемая, высокодоступная, однотенантная и совместимая со стандартами облачная служба, которая позволяет защитить криптографические ключи для облачных приложений с помощью FIPS 140-3 уровня 3 , проверенных HSM. Дополнительные сведения об управляемом HSM см. в обзоре.
Предпосылки
Требуется Azure подписка. Если у вас еще нет аккаунта, создайте бесплатную учетную запись, прежде чем начать.
Кроме того, вам понадобится следующее:
- Azure CLI версии 2.25.0 или более поздней. Чтобы узнать версию, выполните команду
az --version. Если необходимо установить или обновить, ознакомьтесь с Install Azure CLI.
Azure Cloud Shell
Azure предоставляет Azure Cloud Shell, интерактивную оболочку, которую можно использовать через браузер. Вы можете использовать Bash или PowerShell с Cloud Shell для работы со службами Azure. Вы можете использовать предварительно установленные команды Cloud Shell для запуска кода в этой статье, не устанавливая ничего в локальной среде.
Чтобы начать Azure Cloud Shell, выполните приведенные действия.
| Вариант | Пример/ссылка |
|---|---|
| Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. Выбор Try It не копирует код или команду в Cloud Shell. |
|
| Перейдите к https://shell.azure.com или нажмите кнопку Launch Cloud Shell, чтобы открыть Cloud Shell в браузере. |
|
| Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу на портале Azure. |
|
Чтобы использовать Azure Cloud Shell:
Запустите Cloud Shell.
Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.
Вставьте код или команду в сеанс Cloud Shell, выбрав Ctrl+Shift+V в Windows и Linux или выбрав Cmd+Shift+V в macOS.
Нажмите Enter, чтобы запустить код или команду.
Вход в Azure
Чтобы войти в Azure с помощью интерфейса командной строки, введите следующее:
az login
Дополнительные сведения о параметрах проверки подлинности с помощью интерфейса командной строки см. в разделе Sign in with Azure CLI.
Создайте группу ресурсов
Группа ресурсов — это логический контейнер, в котором развертываются и управляются ресурсы Azure. С помощью команды az group create создайте группу ресурсов с именем myResourceGroup в расположении eastus.
az group create --name "myResourceGroup" --location "EastUS"
Создание управляемого устройства HSM
Создание управляемого модуля HSM выполняется в два этапа.
- Создание управляемого ресурса HSM.
- Активация управляемого модуля HSM путем скачивания артефакта, который называется доменом безопасности.
Настройка управляемого модуля HSM
Используйте команду az keyvault create, чтобы создать управляемое HSM. Этот скрипт имеет три обязательных параметра: имя группы ресурсов, имя HSM и географическое расположение.
Чтобы создать управляемый ресурс HSM, укажите следующие входные данные:
Управляемое имя HSM: строка от 3 до 24 символов, которые могут содержать только числа (0-9), буквы (a-z, A-Z) и дефисы (-).
Это важно
Управляемый модуль HSM должен иметь уникальное имя. Замените
<hsm-name>собственным уникальным именем управляемого устройства HSM в следующих примерах.Имя группы ресурсов: myResourceGroup.
Расположение: EastUS.
Список начальных администраторов.
В следующем примере создается HSM с именем <hsm-name> в группе ресурсов myResourceGroup, в регионе EastUS, где только текущий вошедший пользователь является администратором и с 7-дневным сроком хранения для мягкого удаления. Вы продолжаете платить за управляемый HSM, пока он не будет удален в период мягкого удаления. Дополнительные сведения см. в статье "Обратимое удаление и защита от очистки в управляемом HSM" и узнайте больше об обратимом удалении в управляемом HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Замечание
Если вы используете управляемые удостоверения как начальных администраторов для управляемого HSM, введите идентификатор OID/PrincipalID управляемых удостоверений после --administrators, а не ClientID.
Замечание
Выполнение команды создания может занять несколько минут. Когда он возвращается успешно, вы готовы активировать HSM.
Предупреждение
Управляемые экземпляры HSM всегда используются. Если включить защиту очистки с помощью флага --enable-purge-protection , вы платите за весь период хранения.
Выходные данные этой команды показывают свойства созданного управляемого модуля HSM. Два самых важных свойства это:
- имя: указанное имя. Вы используете это имя для других команд.
-
hsmUri: URI для вашей HSM (например,
https://<hsm-name>.managedhsm.azure.net). Приложения, использующие HSM через REST API, должны использовать этот URI.
Ваша учетная запись Azure теперь авторизована для выполнения любых операций с этим управляемым HSM. На данный момент никто другой не имеет полномочий.
Активация управляемого модуля HSM
Все команды плоскости данных отключены, пока не активируется HSM. Нельзя создавать ключи или назначать роли. Только указанные администраторы, назначенные в процессе выполнения команды создания, могут активировать HSM. Чтобы активировать HSM, необходимо скачать домен безопасности.
Чтобы активировать HSM, вам потребуется:
- Не менее трех пар ключей RSA (максимум 10)
- Минимальное количество ключей, необходимых для расшифровки домена безопасности (называемого кворумом)
Вы отправляете по крайней мере три открытых ключа RSA (не более 10) в HSM. HSM шифрует домен безопасности с помощью этих ключей и отправляет их обратно. После успешного скачивания домена безопасности устройство HSM будет готово к использованию. Также необходимо указать кворум, который является минимальным количеством закрытых ключей, необходимых для расшифровки домена безопасности.
В следующем примере показано, как с помощью openssl сгенерировать три самозаверяющих сертификата:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Срок действия сертификата не влияет на операции домена безопасности, даже сертификат с истекшим сроком действия по-прежнему можно использовать для восстановления домена безопасности.
Это важно
Эти закрытые ключи RSA являются корнем доверия для вашего управляемого HSM. В продуктивных средах создайте эти ключи с помощью изолированной системы или локального HSM и храните их в безопасности. Подробные рекомендации см. в рекомендациях по домену безопасности .
Используйте команду az keyvault security-domain download, чтобы скачать домен безопасности и активировать ваш управляемый HSM. В следующем примере используются три пары ключей RSA (для этой команды нужны только открытые ключи) и настраивается значение кворума 2.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Безопасно храните файл домена безопасности и пары ключей RSA. Вам они нужны для аварийного восстановления или для создания другого Managed HSM, использующего тот же домен безопасности, чтобы оба устройства могли совместно использовать ключи.
После успешного скачивания домена безопасности HSM находится в активном состоянии и готов к использованию.
Очистите ресурсы
Другие быстрого старта и учебные пособия в этой коллекции основаны на этом быстром старте. Если вы планируете продолжить работу с последующими быстрыми стартами и руководствами, вы можете пожелать оставить эти ресурсы на месте.
При отсутствии необходимости можно использовать команду Azure CLI az group delete, чтобы удалить группу ресурсов и все связанные ресурсы:
az group delete --name "myResourceGroup"
Предупреждение
При удалении группы ресурсов управляемый модуль HSM переходит в состояние мягкого удаления. Управляемый модуль HSM продолжает выставляться на счет до тех пор, пока он не будет удален. См. статью Обратимое удаление и защита от очистки для управляемых модулей HSM.
Дальнейшие шаги
В этом кратком руководстве вы подготовили управляемый модуль HSM и активировали его. Чтобы узнать больше об управляемом HSM и о том, как интегрировать его с приложениями, перейдите к этим статьям.
- Ознакомьтесь с обзором управляемого устройства HSM
- Узнайте о управлении ключами в управляемом HSM
- Узнайте об управлении ролями для управляемого HSM
- Обеспечьте безопасность развертывания управляемого HSM Azure