Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом кратком руководстве вы создадите и активируете управляемый HSM Azure Key Vault (аппаратный модуль безопасности) с помощью PowerShell. Управляемый модуль HSM — это полностью управляемая, высокодоступная, однотенантная и совместимая со стандартами облачная служба, которая позволяет защитить криптографические ключи для облачных приложений с помощью FIPS 140-3 уровня 3 , проверенных HSM. Дополнительные сведения об управляемом HSM см. в обзоре.
Предварительные требования
Если у вас нет подписки Azure, создайте учетную запись free перед началом работы.
- Если вы решили использовать Azure PowerShell локально:
- Установите последнюю версию модуля Az PowerShell.
- Подключитесь к учетной записи Azure с помощью командлета Connect-AzAccount.
- Если вы решили использовать Azure Cloud Shell:
- Дополнительные сведения см. в разделе Overview Azure Cloud Shell.
Создание группы ресурсов
Группа ресурсов — это логический контейнер, в котором развертываются и управляются ресурсы Azure. Используйте командлет Azure PowerShell New-AzResourceGroup для создания группы ресурсов с именем myResourceGroup в расположении eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Получите свой основной идентификатор.
Чтобы создать управляемый модуль HSM, вам потребуется идентификатор субъекта Microsoft Entra. Чтобы получить идентификатор, используйте командлет Azure PowerShell Get-AzADUser и передайте адрес электронной почты в параметр UserPrincipalName:
Get-AzADUser -UserPrincipalName "<user-principal-name>"
Ваш основной идентификатор возвращается в формате "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".
Создание управляемого устройства HSM
Создание управляемого модуля HSM выполняется в два этапа.
- Создание управляемого ресурса HSM.
- Активация управляемого модуля HSM путем скачивания артефакта, который называется доменом безопасности.
Настройка управляемого модуля HSM
Создайте новый управляемый модуль HSM, используя командлет Azure PowerShell New-AzKeyVaultManagedHsm. Укажите следующие сведения:
Управляемое имя HSM: строка от 3 до 24 символов, которые могут содержать только числа (0-9), буквы (a-z, A-Z) и дефисы (-).
Внимание
Управляемый модуль HSM должен иметь уникальное имя. Замените
<hsm-name>собственным уникальным именем управляемого устройства HSM в следующих примерах.Имя группы ресурсов: myResourceGroup.
Расположение: EastUS (или выбранное расположение).
Ваш основной ID: передайте основной ID Microsoft Entra, полученный в последнем разделе, параметру "Administrator".
New-AzKeyVaultManagedHsm -Name "<hsm-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Administrator "<principal-id>" -SoftDeleteRetentionInDays "<retention-days>"
Примечание.
Выполнение команды создания может занять несколько минут. Когда он возвращается успешно, вы готовы активировать HSM.
Предупреждение
Управляемые экземпляры HSM всегда используются. Если включить защиту очистки с помощью флага --enable-purge-protection , вы платите за весь период хранения.
В выходных данных командлета отобразятся свойства созданного управляемого модуля HSM. Обратите внимание на эти два свойства.
- Имя: имя, которое вы предоставили для управляемого модуля HSM.
-
HsmUri: универсальный код ресурса (URI) для HSM (например,
https://<hsm-name>.managedhsm.azure.net/). Необходимо, чтобы приложения, использующие ваше хранилище через REST API, использовали этот URI.
На этом этапе ваша Azure учетная запись является единственной авторизованной для выполнения любых операций с этим новым HSM.
Активация управляемого модуля HSM
Все команды плоскости данных отключены, пока не активируется HSM. Нельзя создавать ключи или назначать роли. Только указанные администраторы, назначенные в процессе выполнения команды создания, могут активировать HSM. Чтобы активировать HSM, необходимо скачать домен безопасности.
Чтобы активировать HSM, вам потребуется:
- Не менее трех пар ключей RSA (максимум 10)
- Минимальное количество ключей, необходимых для расшифровки домена безопасности (называемого кворумом)
Вы отправляете по крайней мере три открытых ключа RSA (не более 10) в HSM. HSM шифрует домен безопасности с помощью этих ключей и отправляет их обратно. После успешного скачивания домена безопасности устройство HSM будет готово к использованию. Также необходимо указать кворум, который является минимальным количеством закрытых ключей, необходимых для расшифровки домена безопасности.
В следующем примере показано, как использовать openssl для генерации трёх самозаверяющих сертификатов.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Срок действия сертификата не влияет на операции домена безопасности, даже сертификат с истекшим сроком действия по-прежнему можно использовать для восстановления домена безопасности.
Внимание
Эти закрытые ключи RSA являются корнем доверия для управляемого модуля HSM. В производственных средах создайте эти ключи с помощью системы с воздушным зазором или локальной системы HSM, а затем храните их в безопасности. Подробные рекомендации см. в рекомендациях по домену безопасности .
Подсказка
OpenSSL для Windows доступен на веб-сайте the OpenSSL.
Используйте командлет Azure PowerShell Export-AzKeyVaultSecurityDomain, чтобы скачать домен безопасности и активировать управляемый модуль HSM. В следующем примере используются три пары ключей RSA (для этой команды нужны только открытые ключи) и настраивается значение кворума 2.
Export-AzKeyVaultSecurityDomain -Name "<hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "<hsm-name>-SD.json" -Quorum 2
Безопасно храните файл домена безопасности и пары ключей RSA. Вам они нужны для аварийного восстановления или для создания другого Managed HSM, использующего тот же домен безопасности, чтобы оба устройства могли совместно использовать ключи.
После успешного скачивания домена безопасности HSM находится в активном состоянии и готов к использованию.
Очистка ресурсов
Другие быстрого старта и учебные пособия в этой коллекции основаны на этом быстром старте. Если вы планируете продолжить работу с другими краткими руководствами и учебниками, вы можете оставить эти ресурсы.
При отсутствии необходимости можно использовать командлет Azure PowerShell Remove-AzResourceGroup для удаления группы ресурсов и всех связанных ресурсов.
Remove-AzResourceGroup -Name "myResourceGroup"
Предупреждение
При удалении группы ресурсов управляемый модуль HSM переходит в состояние мягкого удаления. Управляемый модуль HSM продолжает выставляться на счет до тех пор, пока он не будет удален. См. статью Обратимое удаление и защита от очистки для управляемых модулей HSM.
Следующие шаги
В этом кратком руководстве вы создали и активировали управляемый HSM. Дополнительные сведения об управляемом модуле HSM и его интеграции в приложения см. в следующих статьях.
- Просмотрите развертывание управляемого HSM-устройства Azure.
- Ознакомьтесь с обзором Azure Managed HSM.
- См. ссылку на командлеты Azure PowerShell Key Vault.