Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом кратком руководстве показано, как использовать шаблон Azure Resource Manager (шаблон ARM) для создания управляемого HSM в Azure Key Vault. Управляемый модуль HSM — это полностью управляемая, высокодоступная, однотенантная и совместимая со стандартами облачная служба, которая позволяет защитить криптографические ключи для облачных приложений с помощью FIPS 140-3 уровня 3 , проверенных HSM. Дополнительные сведения об управляемом HSM см. в обзоре.
Шаблон Azure Resource Manager — это файл нотации объектов JavaScript (JSON), который определяет инфраструктуру и конфигурацию проекта. В шаблоне используется декларативный синтаксис. Вы описываете предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.
Если среда соответствует предварительным требованиям и вы знакомы с использованием шаблонов ARM, нажмите кнопку Развертывание в Azure. Шаблон откроется на портале Azure.
Требования
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".
Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.
Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.
Просмотреть шаблон
В этом кратком руководстве используется шаблон из шаблонов быстрого запуска Azure:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
Шаблон определяет следующий ресурс Azure:
- Microsoft.KeyVault/managedHSMs: создание управляемого HSM в Azure Key Vault.
Развертывание шаблона
Для шаблона требуется идентификатор объекта, связанный с вашей учетной записью. Чтобы найти его, используйте команду Azure CLI az ad user show для передачи адреса электронной почты в параметр --id. Вы можете ограничить выходные данные идентификатором объекта только с помощью --query параметра.
az ad user show --id <user-email> --query "id"
Вам также может потребоваться идентификатор клиента. Чтобы найти его, используйте команду Azure CLI az ad user show. Выходные данные можно ограничить только идентификатором клиента с помощью --query параметра.
az account show --query "tenantId"
Теперь можно развернуть шаблон ARM:
Выберите следующее изображение, чтобы войти на портал Azure и открыть шаблон. Шаблон создает Управляемое устройство HSM.
Введите или выберите следующие значения. Если не указано, используйте значение по умолчанию для создания управляемого HSM.
- Подписка— выберите подписку Azure.
- Группа ресурсов: выберите "Создать", введите имя для группы ресурсов и нажмите кнопку "ОК".
- Расположение: выберите расположение. Например, Восточная часть США.
- managedHSMName: введите имя Управляемого устройства HSM.
- Идентификатор клиента: функция шаблона автоматически получает идентификатор клиента. Не изменяйте значение по умолчанию. Если нет значения, введите Tenant ID, полученный ранее.
- initialAdminObjectIds: введите идентификатор объекта, полученный ранее.
Щелкните Приобрести. После успешного развертывания управляемого устройства HSM вы получите уведомление:
Предупреждение
Управляемые экземпляры HSM всегда используются. Если включить защиту очистки с помощью флага --enable-purge-protection , вы платите за весь период хранения.
Для развертывания шаблона используется портал Azure. Помимо портала Azure можно также использовать Azure PowerShell, Azure CLI и REST API. Дополнительные сведения о других методах развертывания см. в статье "Развертывание шаблонов".
Проверка развертывания
Вы можете убедиться, что управляемый HSM был создан с помощью команды Azure CLI az keyvault list . Отформатируйте результаты в виде таблицы, чтобы упростить чтение выходных данных:
az keyvault list -o table
Вы увидите имя вашего недавно созданного управляемого модуля HSM.
Очистка ресурсов
Другие краткие руководства и учебные пособия в этой коллекции основаны на этом материале. Если вы планируете продолжить работу с последующими быстрыми стартовыми руководствами и обучающими материалами, можете оставить эти ресурсы без изменений.
Вы можете удалить ставшую ненужной группу ресурсов и все связанные с ней ресурсы с помощью Azure CLI, выполнив команду az group delete:
az group delete --name "myResourceGroup"
Предупреждение
При удалении группы ресурсов управляемый модуль HSM переходит в состояние мягкого удаления. Управляемый модуль HSM продолжает выставляться на счет до тех пор, пока он не будет удален. См. статью Мягкое удаление и защита от очистки для управляемых HSM.
Следующие шаги
В этом кратком руководстве вы создали Управляемое устройство HSM. Этот управляемый модуль HSM не является полностью функциональным, пока не активируете его. Сведения о активации HSM см. в статье "Активация управляемого HSM".
- Ознакомьтесь с обзором управляемого модуля HSM.
- Узнайте об управлении ключами в управляемом HSM.
- Ознакомьтесь с обеспечением безопасности развертывания управляемого HSM Azure.