Поделиться через

Быстрый старт: Подготовка и активация управляемого HSM, используя Azure CLI

В этом кратком руководстве вы создадите и активируете управляемый HSM Azure Key Vault (аппаратный модуль безопасности) с помощью Azure CLI. Управляемый модуль HSM — это полностью управляемая, высокодоступная, однотенантная и совместимая со стандартами облачная служба, которая позволяет защитить криптографические ключи для облачных приложений с помощью FIPS 140-3 уровня 3 , проверенных HSM. Дополнительные сведения об управляемых модулях HSM см. в этом обзоре.

Предпосылки

Чтобы выполнить действия, описанные в этой статье, необходимо выполнить следующие действия.

Azure Cloud Shell

Azure размещает Azure Cloud Shell, интерактивную среду оболочки, которую можно использовать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для выполнения кода в этой статье можно использовать предустановленные команды Cloud Shell, не устанавливая ничего в локальной среде.

Чтобы запустить Azure Cloud Shell, выполните приведенные действия.

Вариант Пример/ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически. Снимок экрана, на котором показан пример функции
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell. Кнопка запуска Azure Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure. Снимок экрана: кнопка

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

  1. Запустите Cloud Shell.

  2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

  3. Вставьте код или команду в сеанс Cloud Shell, выбрав CTRL+SHIFT+V в Windows и Linux или выбрав Cmd+Shift+V в macOS.

  4. Нажмите Enter, чтобы запустить код или команду.

Вход в Azure

Чтобы войти в Azure с помощью интерфейса командной строки, можно ввести следующее:

az login

Создайте группу ресурсов

Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. В следующем примере создается группа ресурсов ContosoResourceGroup в регионе norwayeast.

az group create --name "ContosoResourceGroup" --location norwayeast

Создание управляемого устройства HSM

Создание управляемого модуля HSM выполняется в два этапа.

  1. Создание управляемого ресурса HSM.
  2. Активация управляемого модуля HSM путем скачивания артефакта, который называется доменом безопасности.

Настройка управляемого модуля HSM

Используйте команду az keyvault create, чтобы создать управляемое HSM. Этот скрипт имеет три обязательных параметра: имя группы ресурсов, имя HSM и географическое расположение.

Чтобы создать управляемый ресурс HSM, необходимо указать следующие входные данные:

  • Группа ресурсов, в которой она находится в вашей подписке.
  • Расположение Azure.
  • Список начальных администраторов.

В следующем примере создается HSM с именем ContosoMHSM в группе ресурсов ContosoResourceGroup, находящейся в расположении Норвегия Восток, с текущим вошедшим пользователем в качестве единственного администратора, с периодом хранения данных 7 дней для обратимого удаления. Управляемый модуль HSM продолжает оплачиваться до тех пор, пока он не будет удален в период мягкого удаления. Дополнительные сведения см. в статье "Обратимое удаление и защита от очистки в управляемом HSM" и узнайте больше об обратимом удалении в управляемом HSM.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "norwayeast" --administrators $oid --retention-days 7

Замечание

Если вы используете управляемые удостоверения в качестве начальных администраторов управляемого HSM, необходимо ввести идентификатор OID/PrincipalID управляемых удостоверений после "--администраторы", а не ClientID.

Замечание

Выполнение команды создания может занять несколько минут. После успешного возврата вы будете готовы активировать HSM.

Предупреждение

Управляемые экземпляры HSM считаются постоянно используемыми. Если вы решили включить защиту очистки с помощью флага --enable-purge-protection , плата взимается за весь период хранения.

Выходные данные этой команды показывают свойства созданного управляемого модуля HSM. Два самых важных свойства это:

  • имя: в примере используется имя ContosoMHSM. Вы используете это имя для других команд.
  • hsmUri: в примере универсальный код ресурса (URI) — 'https://contosohsm.managedhsm.azure.net.' Приложения, использующие HSM через REST API, должны использовать этот URI.

Теперь ваша учетная запись Azure авторизована для выполнения любых операций с этим управляемым HSM. На данный момент никто другой не имеет полномочий.

Активация управляемого модуля HSM

Все команды плоскости данных неактивны до тех пор, пока не будет активировано устройство HSM. Например, вы не можете создавать ключи или назначать роли. Только администраторы, назначенные во время выполнения команды создания, могут активировать HSM. Чтобы активировать HSM, необходимо скачать домен безопасности.

Чтобы активировать HSM, вам потребуется:

  • предоставить не менее трех пар ключей RSA (можно больше, но не более 10);
  • указать минимальное число ключей, необходимых для расшифровки домена безопасности (кворум).

Чтобы активировать HSM, отправьте в него не менее трех (но не более 10) открытых ключей RSA. HSM шифрует домен безопасности с помощью этих ключей и отправляет их обратно. После успешного завершения загрузки домена безопасности устройство HSM готово к использованию. Также необходимо указать кворум, который является минимальным числом закрытых ключей, необходимых для расшифровки домена безопасности.

В следующем примере показано, как использовать openssl для создания трёх самозаверяющих сертификатов.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Замечание

Даже если сертификат истек, его можно использовать для восстановления домена безопасности.

Это важно

Безопасно создайте и сохраните пары ключей RSA и файл домена безопасности.

Используйте команду az keyvault security-domain download, чтобы скачать домен безопасности и активировать ваш управляемый HSM. В следующем примере используются три пары ключей RSA (для этой команды нужны только открытые ключи) и настраивается значение кворума 2.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Безопасно храните файл домена безопасности и пары ключей RSA. Вам нужно это для аварийного восстановления или создания другого управляемого модуля безопасности HSM, который использует тот же домен безопасности, чтобы они могли делиться ключами.

После успешного скачивания домена безопасности модуль HSM будет находиться в активном состоянии и готов к использованию.

Очистите ресурсы

Другие быстрого старта и учебные пособия в этой коллекции основаны на этом быстром старте. Если вы планируете продолжить работу с последующими быстрыми стартами и руководствами, вы можете пожелать оставить эти ресурсы на месте.

При отсутствии необходимости можно использовать команду az group delete для удаления группы ресурсов и всех связанных ресурсов. Удалите ресурсы следующим образом:

az group delete --name ContosoResourceGroup

Предупреждение

При удалении группы ресурсов управляемый модуль HSM переходит в состояние мягкого удаления. Управляемый модуль HSM продолжает оплачиваться до тех пор, пока он не будет полностью очищен. См. статью Обратимое удаление и защита от очистки для управляемых модулей HSM.

Дальнейшие шаги

В этом кратком руководстве вы подготовили управляемый модуль HSM и активировали его. Чтобы узнать больше об управляемом HSM и о том, как интегрировать его с приложениями, перейдите к этим статьям.

  • Last updated on