快速入门:使用 Azure CLI 预配和激活托管 HSM
本快速入门使用 Azure CLI 创建和激活 Azure Key Vault 托管 HSM(硬件安全模块)。 托管 HSM 是一项完全托管、高度可用、单租户、符合标准的云服务,通过该服务,你可以使用 FIPS 140-2 级别 3 验证的 HSM 保护云应用程序的加密密钥。 若要详细了解托管 HSM,可参阅概述。
先决条件
若要完成本文中的步骤,必须具备:
- Azure 订阅。 如果没有 Azure 订阅,可注册一个试用版订阅。
- Azure CLI 版本 2.25.0 或更高版本。 运行
az --version
即可查找版本。 如需进行安装或升级,请参阅安装 Azure CLI。
登录 Azure
若要使用 CLI 登录到 Azure,可以键入:
az login
创建资源组
资源组是在其中部署和管理 Azure 资源的逻辑容器。 以下示例在“chinaeast2”位置创建名为“ContosoResourceGroup”的资源组。
az group create --name "ContosoResourceGroup" --location chinaeast2
创建托管 HSM
创建托管 HSM 的过程分为两步:
- 预配“托管 HSM”资源。
- 下载名为安全域的项目来激活托管 HSM。
预配托管 HSM
使用 az keyvault create
命令创建托管 HSM。 此脚本包含 3 个必需参数:资源组名称、HSM 名称和地理位置。
需提供以下输入才能创建“托管 HSM”资源:
- 要将其放置在订阅中的资源组。
- Azure 位置。
- 初始管理员的列表。
以下示例在资源组 ContosoResourceGroup 中创建了一个名为“ContosoMHSM”的 HSM,该 HSM 位于挪威东部位置,当前已登录用户为唯一管理员,软删除保留期为 7 天。 托管 HSM 将继续计费,直到在软删除期间将其清除。 有关详细信息,请参阅托管 HSM 软删除和清除保护,并阅读有关托管 HSM 软删除的详细信息。
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "chinaeast2" --administrators $oid --retention-days 7
注意
如果使用托管标识作为托管 HSM 的初始管理员,则应在“--administrators”后面输入托管标识的 OID/PrincipalID,而不是 ClientID。
注意
运行 create 命令可能需要几分钟的时间。 它成功返回输出后,便可激活 HSM。
警告
托管 HSM 实例被视为始终在使用中。 如果选择使用 --enable-purge-protection
标志启用清除保护,则整个保留期都会计费。
此命令的输出会显示创建的托管 HSM 的属性。 两个最重要的属性是:
- 名称:在本示例中,名称为 ContosoMHSM。 将在其他命令中使用此名称。
- hsmUri:在本示例中,URI 为“https://contosohsm.managedhsm.chinacloudapi.cn.” 通过其 REST API 使用 HSM 的应用程序必须使用此 URI。
Azure 帐户现已获得授权,可在此托管 HSM 上执行任何作业。 到目前为止,尚未授权其他任何人。
激活托管 HSM
在激活 HSM 之前,所有数据平面命令都处于禁用状态。 例如,你将无法创建密钥或分配角色。 只有在 create 命令期间分配的指定管理员才能激活 HSM。 必须下载安全域才能激活 HSM。
若要激活 HSM,需执行以下操作:
- 提供至少 3 个(至多 10 个)RSA 密钥对
- 指定解密安全域所需的最小密钥数(称为“仲裁”)
若要激活 HSM,请向 HSM 发送至少 3 个(最多 10 个)RSA 公钥。 HSM 利用这些密钥对安全域进行加密,并将其发回。 一旦成功完成此安全域下载,HSM 便可使用。 还需要指定仲裁,即解密安全域所需的最小私钥数。
下面的示例演示如何使用 openssl
生成 3 个自签名证书。
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
注意
即使证书已“过期”,它仍可用来还原安全域。
重要
安全地创建并存储在此步骤中生成的 RSA 密钥对和安全域文件。
使用 az keyvault security-domain download
命令下载安全域并激活托管 HSM。 下面的示例使用 3 个 RSA 密钥对(此命令只需要公钥),并将仲裁设置为 2。
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
请安全地存储安全域文件和 RSA 密钥对。 你需要它们进行灾难恢复,还需要用它们再创建一个共享同一安全域的托管 HSM,这样二者才可共享密钥。
成功下载安全域后,HSM 将处于活动状态并可供使用。
清理资源
本系列中的其他快速入门和教程是在本快速入门的基础上制作的。 如果打算继续使用后续的快速入门和教程,则可能需要保留这些资源。
如果不再需要资源组和所有相关的资源,可以使用 az group delete 命令将其删除。 可以删除资源,如下所示:
az group delete --name ContosoResourceGroup
警告
删除资源组会将托管 HSM 置于软删除状态。 托管 HSM 将继续计费,直到被清除。 请参阅托管 HSM 软删除和清除保护
后续步骤
在本快速入门中,你预配并激活了托管 HSM。 若要详细了解托管 HSM 以及如何将其与应用程序集成,请继续阅读以下文章。
- 请参阅托管 HSM 概述
- 了解如何管理托管 HSM 中的密钥
- 了解托管 HSM 的角色管理
- 查看托管 HSM 最佳做法