Краткое руководство. Подготовка и активация управляемого устройства HSM с помощью PowerShell
В этом кратком руководстве вы создадите и активируете управляемый HSM Azure Key Vault (аппаратный модуль безопасности) с помощью PowerShell. Управляемый модуль HSM — это полностью управляемая, высокодоступная, однопользовательская, соответствующая стандартам облачная служба, которая позволяет защищать криптографические ключи для облачных приложений, используя устройства HSM, отвечающие стандартам FIPS 140-2 уровня 3. Дополнительные сведения об управляемых модулях HSM см. в этом обзоре.
Необходимые компоненты
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
- Если вы решили использовать Azure PowerShell локально:
- Установите последнюю версию модуля Az PowerShell.
- Подключитесь к учетной записи Azure с помощью командлета Connect-AzAccount.
- Если вы решили использовать Azure Cloud Shell:
- Дополнительные сведения см. в статье Общие сведения об Azure Cloud Shell.
Создание или изменение группы ресурсов
Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. Используйте командлет Azure PowerShell New-AzResourceGroup , чтобы создать группу ресурсов с именем myResourceGroup в расположении норвегии .
New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"
Получение идентификатора субъекта.
Чтобы создать управляемый модуль HSM, вам потребуется идентификатор субъекта Microsoft Entra. Чтобы получить идентификатор, используйте командлет Azure PowerShell Get-AzADUser, передав ему адрес электронной почты в параметре UserPrincipalName:
Get-AzADUser -UserPrincipalName "<your@email.address>"
Идентификатор субъекта возвращается в формате xxxx-xxxx.
Создание управляемого устройства HSM
Создание управляемого модуля HSM выполняется в два этапа.
- Подготовка ресурса управляемого устройства HSM.
- Активация управляемого модуля HSM путем скачивания артефакта, который называется доменом безопасности.
Подготовка управляемого модуля HSM
Выполните командлет Azure PowerShell New-AzKeyVaultManagedHsm, чтобы создать новый управляемый модуль HSM. Необходимо указать некоторые сведения:
Имя управляемого устройства HSM: строка длиной от 3 до 24 символов, которая может содержать только цифры (0–9), буквы (a–z, A–Z) и дефисы (-)
Внимание
Управляемый модуль HSM должен иметь уникальное имя. В следующих примерах замените заполнитель <your-unique-managed-hsm-name> именем своего управляемого модуля HSM.
Имя группы ресурсов: myResourceGroup.
Расположение: Восточная Норвегия.
Идентификатор субъекта: передайте идентификатор субъекта Microsoft Entra, полученный в последнем разделе, параметру "Администратор".
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Примечание.
Выполнение команды создания может занять несколько минут. После успешного ее завершения вы можете активировать HSM.
В выходных данных командлета отобразятся свойства созданного управляемого модуля HSM. Зафиксируйте два его свойства.
- Имя: имя, которое вы предоставили для управляемого модуля HSM.
- HsmUri: в примере HsmUri — это https://< your-unique-managed-hsm-name.managedhsm.azure.net/>. Необходимо, чтобы приложения, использующие ваше хранилище через REST API, использовали этот URI.
На этом этапе любые операции в новом модуле HSM может выполнять только ваша учетная запись Azure.
Активация управляемого модуля HSM
Все команды плоскости данных неактивны до тех пор, пока не будет активировано устройство HSM. Вы не сможете создавать ключи или назначать роли. Только администраторы, назначенные во время выполнения команды создания, могут активировать HSM. Чтобы активировать HSM, необходимо скачать домен безопасности.
Чтобы активировать необходимый модуль HSM, потребуется следующее:
- предоставить не менее трех пар ключей RSA (можно больше, но не более 10);
- указать минимальное число ключей, необходимых для расшифровки домена безопасности (кворум).
Чтобы активировать HSM, отправьте в него не менее трех (но не более 10) открытых ключей RSA. HSM шифрует домен безопасности с помощью этих ключей и отправляет их обратно. После успешного завершения загрузки домена безопасности устройство HSM готово к использованию. Также необходимо указать кворум, который является минимальным числом закрытых ключей, необходимых для расшифровки домена безопасности.
В приведенном ниже примере показано, как с помощью openssl (версия для Windows доступна здесь) создать три самозаверяющих сертификата.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Внимание
Безопасно создайте и сохраните пары ключей RSA и файл домена безопасности.
Выполните командлет Azure PowerShell Export-AzKeyVaultSecurityDomain, чтобы скачать домен безопасности и активировать управляемый модуль HSM. В следующем примере используются три пары ключей RSA (для этой команды нужны только открытые ключи) и настраивается значение кворума 2.
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Надежно сохраните файл домена безопасности и пары ключей RSA. Они понадобятся вам для аварийного восстановления или создания другого управляемого модуля HSM с тем же доменам безопасности, что позволит им совместно использовать ключи.
После успешного скачивания домена безопасности HSM будет находиться в активном состоянии и будет готов к использованию.
Очистка ресурсов
Другие руководства в этой серии созданы на основе этого документа. Если вы планируете продолжить работу с другими краткими руководствами и статьями, эти ресурсы можно не удалять.
Чтобы удалить группу ресурсов и все связанные с ней ресурсы, выполните командлет Remove-AzResourceGroup в Azure PowerShell.
Remove-AzResourceGroup -Name "myResourceGroup"
Предупреждение
При удалении группы ресурсов управляемый модуль HSM переходит в обратимое удаленное состояние. За модуль продолжит взиматься плата до тех пор, пока он не будет очищен. См. статью Обратимое удаление и защита от очистки для управляемых модулей HSM.
Следующие шаги
Используя сведения в этом кратком руководстве, вы создали управляемый модуль HSM. Дополнительные сведения об управляемом модуле HSM и его интеграции в приложения см. в следующих статьях.