Azure CLI kullanarak Yönetilen HSM'yi yönetme
Not
Key Vault iki tür kaynağı destekler: kasalar ve yönetilen HSM'ler. Bu makale Yönetilen HSM hakkındadır. Kasayı yönetmeyi öğrenmek istiyorsanız bkz . Azure CLI kullanarak Key Vault'ı yönetme.
Yönetilen HSM'ye genel bakış için bkz. Yönetilen HSM nedir?
Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
Önkoşullar
Bu makaledeki adımları tamamlamak için aşağıdaki öğelere sahip olmanız gerekir:
- Microsoft Azure aboneliği. Hesabınız yoksa, ücretsiz deneme için kaydolabilirsiniz.
- Azure CLI sürüm 2.25.0 veya üzeri. Sürümü bulmak için
az --versionkomutunu çalıştırın. Yükleme veya yükseltme yapmanız gerekirse bkz. Azure CLI'yı yükleme. - Aboneliğinizde yönetilen bir HSM. Bkz . Hızlı Başlangıç: Yönetilen HSM'yi sağlamak ve etkinleştirmek için Azure CLI kullanarak yönetilen HSM sağlama ve etkinleştirme.
Azure Cloud Shell
Azure, tarayıcınız aracılığıyla kullanabileceğiniz etkileşimli bir kabuk ortamı olan Azure Cloud Shell'i barındırıyor. Azure hizmetleriyle çalışmak için Cloud Shell ile Bash veya PowerShell kullanabilirsiniz. Yerel ortamınıza herhangi bir şey yüklemek zorunda kalmadan bu makaledeki kodu çalıştırmak için Cloud Shell önceden yüklenmiş komutlarını kullanabilirsiniz.
Azure Cloud Shell'i başlatmak için:
| Seçenek | Örnek/Bağlantı |
|---|---|
| Kodun veya komut bloğunun sağ üst köşesindeki Deneyin'i seçin. Deneyin seçildiğinde kod veya komut otomatik olarak Cloud Shell'e kopyalanmaz. |  |
| https://shell.azure.comadresine gidin veya Cloud Shell'i tarayıcınızda açmak için Cloud Shell'i Başlat düğmesini seçin. |  |
| Azure portalının sağ üst kısmındaki menü çubuğunda Cloud Shell düğmesini seçin. |  |
Azure Cloud Shell'i kullanmak için:
Cloud Shell'i başlatın.
Kodu veya komutu kopyalamak için kod bloğundaki (veya komut bloğundaki) Kopyala düğmesini seçin.
Windows ve Linux'ta Ctrl+Shift V'yi seçerek veya macOS üzerinde Cmd+Shift++V'yi seçerek kodu veya komutu Cloud Shell oturumuna yapıştırın.
Kodu veya komutu çalıştırmak için Enter'ı seçin.
Azure'da oturum açma
CLI kullanarak Azure'da oturum açmak için şunu yazabilirsiniz:
az login
CLI aracılığıyla oturum açma seçenekleri hakkında daha fazla bilgi için bkz. Azure CLI ile oturum açma
Not
Aşağıdaki tüm komutlarda iki kullanım yöntemi gösterilmektedir. Biri --hsm-name ve --name (anahtar adı için) parametrelerini, diğeri ise --id parametresini kullanarak, uygun yerlerde anahtar adı da dahil olmak üzere url'nin tamamını belirtebilirsiniz. İkinci yöntem, çağıranın (kullanıcı veya uygulama) denetim düzleminde okuma erişimi olmadığında ve yalnızca veri düzleminde kısıtlı erişime sahip olduğunda kullanışlıdır.
Not
Anahtar malzemelerle yapılan bazı etkileşimler için belirli Yerel RBAC izinleri gerekir. Yerleşik Yerel RBAC rollerinin ve izinlerinin tam listesi için bkz . Yönetilen HSM yerel RBAC yerleşik rolleri. Bu izinleri bir kullanıcıya atamak için bkz . Yönetilen HSM'lerinize güvenli erişim
HSM anahtarı oluşturma
Not
Oluşturulan veya Yönetilen HSM'ye aktarılan anahtar dışarı aktarılamaz. Önemli taşınabilirlik ve dayanıklılık için önerilen en iyi yöntemlere bakın.
Anahtar oluşturmak için komutunu kullanın az keyvault key create .
RSA anahtarı oluşturma
Aşağıdaki örnekte yalnızca wrapKey, unwrapKey işlemleri (--ops) için kullanılacak 3072 bit RSA anahtarının nasıl oluşturulacağı gösterilmektedir.
az keyvault key create --hsm-name ContosoMHSM --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
İşlemin get yalnızca ortak anahtar ve anahtar özniteliklerini döndürdüğünü unutmayın. Özel anahtarı (asimetrik anahtar veya anahtar malzemesi (simetrik anahtar durumunda) döndürmez.
EC anahtarı oluşturma
Aşağıdaki örnekte, P-256 eğrisi ile yalnızca imzalama ve doğrulama işlemleri (--ops) için kullanılacak ve kullanım ve uygulama adı olmak üzere iki etiketi olan bir EC anahtarının nasıl oluşturulacağı gösterilmektedir. Etiketler, izleme ve yönetme için anahtara ek meta veriler eklemenize yardımcı olur.
az keyvault key create --hsm-name ContosoMHSM --name myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myec256key --ops sign verify --tags ‘usage=signing] appname=myapp’ --kty EC-HSM --curve P-256
256 bit simetrik anahtar oluşturma
Aşağıdaki örnekte, yalnızca şifreleme ve şifre çözme işlemleri (--ops) için kullanılacak 256 bit simetrik anahtarın nasıl oluşturulacağı gösterilmektedir.
az keyvault key create --hsm-name ContosoMHSM --name myaeskey --ops encrypt decrypt --tags --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://ContosoMHSM.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags ‘usage=signing] appname=myapp’ --kty oct-HSM --size 256
Anahtar özniteliklerini ve etiketlerini görüntüleme
Anahtarın özniteliklerini, sürümlerini ve etiketlerini görüntülemek için komutunu kullanın az keyvault key show .
az keyvault key show --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Liste anahtarları
Yönetilen HSM içindeki tüm anahtarları listelemek için komutunu kullanın az keyvault key list .
az keyvault key list --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list --id https://ContosoMHSM.managedhsm.azure.net/
Anahtar silme
Yönetilen HSM'den anahtar silmek için komutunu kullanın az keyvault key delete . Geçici silme işleminin her zaman açık olduğunu unutmayın. Bu nedenle, silinen anahtar silinmiş durumda kalır ve kurtarma mümkün olmadan anahtarın temizlenip (kalıcı olarak silineceği) saklama gün sayısı geçene kadar kurtarılabilir.
az keyvault key delete --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://ContosoMHSM.managedhsm.azure.net/keys/myrsakey
Silinen anahtarları listeleme
Yönetilen HSM'nizde silinmiş durumdaki tüm anahtarları listelemek için komutunu kullanın az keyvault key list-deleted .
az keyvault key list-deleted --hsm-name ContosoHSM
## OR
# use full URI
az keyvault key list-deleted --id https://ContosoMHSM.managedhsm.azure.net/
Silinen anahtarı kurtarma (geri alma)
Yönetilen HSM'nizde silinmiş durumdaki tüm anahtarları listelemek için komutunu kullanın az keyvault key list-deleted . Silinen bir anahtarı kurtarırken --id parametresini kullanarak bir anahtarı kurtarmanız (geri alma işlemini kaldırmanız) gerekiyorsa, komuttan az keyvault key list-deleted alınan silinen anahtarın değerini not recoveryId almanız gerekir.
az keyvault key recover --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Anahtarı temizleme (kalıcı olarak silme)
Bir anahtarı temizlemek (kalıcı olarak silmek) için komutunu kullanın az keyvault key purge .
Not
Yönetilen HSM'de temizleme koruması etkinse temizleme işlemine izin verilmez. Saklama süresi geçtiğinde anahtar otomatik olarak temizlenir.
az keyvault key purge --hsm-name ContosoHSM --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey
Tek anahtarlı yedekleme oluşturma
Anahtar yedeklemesi oluşturmak için kullanın az keyvault key backup . Yedekleme dosyası, kaynak HSM'nin Güvenlik Etki Alanı'na şifreli olarak bağlı şifrelenmiş bir blobdur. Yalnızca aynı güvenlik etki alanını paylaşan HSM'lerde geri yüklenebilir. Güvenlik Etki Alanı hakkında daha fazla bilgi edinin.
az keyvault key backup --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Yedeklemeden tek bir anahtarı geri yükleme
Tek bir anahtarı geri yüklemek için kullanın az keyvault key restore . Yedeklemenin oluşturulduğu kaynak HSM, anahtarın geri yüklendiği hedef HSM ile aynı güvenlik etki alanını paylaşmalıdır.
Not
Etkin veya silinmiş durumda aynı ada sahip bir anahtar varsa geri yükleme başarılı olmaz.
az keyvault key restore --hsm-name ContosoHSM --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --file myrsakey.backup
Dosyadan anahtar içeri aktarma
Bir dosyadan anahtar (yalnızca RSA ve EC) içeri aktarmak için komutunu kullanın az keyvault key import . Sertifika dosyasının özel anahtarı olmalıdır ve PEM kodlaması kullanmalıdır (RFC 1421, 1422, 1423, 1424'te tanımlandığı gibi).
az keyvault key import --hsm-name ContosoHSM --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://ContosoMHSM.managedhsm.azure.net/deletedKeys/myrsakey --pem-file mycert.key --password 'mypassword'
Şirket içi HSM'nizden yönetilen HSM'ye anahtar aktarmak için bkz . HSM korumalı anahtarları Yönetilen HSM'ye aktarma (BYOK)
Sonraki adımlar
- Anahtar kasası komutları için tam Azure CLI başvurusu için bkz . Key Vault CLI başvurusu.
- Programlama başvuruları için bkz . Azure Key Vault geliştirici kılavuzu
- Yönetilen HSM rol yönetimi hakkında daha fazla bilgi edinin
- Yönetilen HSM en iyi yöntemleri hakkında daha fazla bilgi edinin