Schnellstart: Erstellen eines verwalteten HSM mithilfe einer ARM-Vorlage

In dieser Schnellstartanleitung wird beschrieben, wie Sie mithilfe einer Azure Resource Manager-Vorlage (ARM-Vorlage) ein verwaltetes HSM für Azure Key Vault erstellen. Verwaltetes HSM ist ein vollständig verwalteter, hochverfügbarer, standardkonformer Einzelinstanz-Clouddienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Cloudanwendungen über HSMs zu schützen, die mit FIPS 140-2 Level 3 validiert sind.

Eine Azure Resource Manager-Vorlage ist eine JSON-Datei (JavaScript Object Notation), die die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.

Wenn Ihre Umgebung die Voraussetzungen erfüllt und Sie mit der Verwendung von ARM-Vorlagen vertraut sind, klicken Sie auf die Schaltfläche In Azure bereitstellen. Die Vorlage wird im Azure-Portal geöffnet.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

  • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

  • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Überprüfen der Vorlage

Die in dieser Schnellstartanleitung verwendete Vorlage stammt aus den Azure-Schnellstartvorlagen:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

Die in der Vorlage definierte Azure-Ressource ist:

• Microsoft.KeyVault/managedHSMs: Erstellen eines verwalteten Azure Key Vault-HSM.

Bereitstellen der Vorlage

Die Vorlage erfordert die Ihrem Konto zugeordnete Objekt-ID. Ermitteln Sie sie mithilfe des Azure CLI-Befehls az ad user show. Übergeben Sie dabei Ihre E-Mail-Adresse an den Parameter --id. Die Ausgabe kann mit dem Parameter --query auf die Objekt-ID beschränkt werden.

az ad user show --id <your-email-address> --query "objectId"

Möglicherweise benötigen Sie auch die Mandanten-ID. Ermitteln Sie sie mithilfe des Azure CLI-Befehls az ad user show. Die Ausgabe kann mit dem Parameter --query auf die Mandanten-ID beschränkt werden.

az account show --query "tenantId"

Jetzt können Sie die ARM-Vorlage bereitstellen:

1. Klicken Sie auf das folgende Bild, um sich bei Azure anzumelden und eine Vorlage zu öffnen. Die Vorlage erstellt ein verwaltetes HSM.

   

2. Wählen Sie die folgenden Werte aus, bzw. geben Sie sie ein. Falls nicht angegeben, verwenden Sie den Standardwert zum Erstellen des verwalteten HSM.

   • Abonnement: Wählen Sie ein Azure-Abonnement aus.
   • Ressourcengruppe: Wählen Sie Neu erstellen aus, geben Sie „myResourceGroup“ als Namen ein, und wählen Sie dann OK aus.
   • Standort: Wählen Sie einen Standort aus. Beispiel: USA, Osten 2
   • managedHSMName: Geben Sie einen Namen für Ihr verwaltetes HSM ein.
   • Mandanten-ID: Die Vorlagenfunktion ruft automatisch Ihre Mandanten-ID ab. Ändern Sie den Standardwert nicht. Ist kein Wert vorhanden, geben Sie die Mandanten-ID ein, die Sie weiter oben abgerufen haben.
   • initialAdminObjectIds: Geben Sie die weiter oben abgerufene Objekt-ID ein.

3. Wählen Sie die Option Kaufen. Nach erfolgreicher Bereitstellung des verwalteten HSM erhalten Sie eine Benachrichtigung:

Zum Bereitstellen der Vorlage wird das Azure-Portal verwendet. Neben dem Azure-Portal können Sie auch Azure PowerShell, die Azure-Befehlszeilenschnittstelle (Azure CLI) und die REST-API verwenden. Informationen zu anderen Bereitstellungsmethoden finden Sie unter Bereitstellen von Vorlagen.

Überprüfen der Bereitstellung

Sie können überprüfen, ob das verwaltete HSM mit dem Azure CLI-Befehl az keyvault list erstellt wurde. Die Ausgabe lässt sich einfacher lesen, wenn Sie die Ergebnisse als Tabelle formatieren:

az keyvault list -o table

Sie sollten den Namen Ihres neu erstellten verwalteten HSM sehen.

Bereinigen von Ressourcen

Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen.

Wenn Sie die Ressourcen nicht mehr benötigen, führen Sie den Azure CLI-Befehl az group delete aus, um die Ressourcengruppe und alle dazugehörigen Ressourcen zu löschen:

az group delete --name "myResourceGroup"

Nächste Schritte

In diesem Schnellstart haben Sie ein verwaltetes HSM erstellt. Dieses verwaltete HSM ist erst dann voll funktionsfähig, nachdem es aktiviert wurde. Informationen zum Aktivieren des HSM finden Sie unter Aktivieren des verwalteten HSM.

• Erhalten Sie einen Überblick über verwaltetes HSM.
• Erfahren Sie mehr über das Verwalten von Schlüsseln in einem verwalteten HSM.
• Sehen Sie sich die bewährten Methoden für verwaltetes HSM an.