Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In dieser Schnellstartanleitung wird gezeigt, wie Sie eine Azure Resource Manager-Vorlage (ARM-Vorlage) verwenden, um ein von Azure Key Vault verwaltetes HSM zu erstellen. Verwaltetes HSM ist ein vollständig verwalteter, hochverwendiger, einzelinstanzenfähiger, standardkonformer Clouddienst, mit dem Sie kryptografische Schlüssel für Ihre Cloudanwendungen schützen können, wobei FIPS 140-3 Level 3 validierte HSMs verwendet werden. Weitere Informationen zu verwaltetem HSM erfahren Sie in der Übersicht.
Eine Azure Resource Manager-Vorlage ist eine JSON-Datei (JavaScript Object Notation), die die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.
Wenn Ihre Umgebung die Voraussetzungen erfüllt und Sie mit der Verwendung von ARM-Vorlagen vertraut sind, klicken Sie auf die Schaltfläche In Azure bereitstellen. Die Vorlage wird im Azure-Portal geöffnet.
Voraussetzungen
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.
Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.
Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.
Überprüfen der Vorlage
Diese Schnellstartanleitung verwendet eine Vorlage aus Azure-Schnellstartvorlagen:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
Die Vorlage definiert die folgende Azure-Ressource:
- Microsoft.KeyVault/managedHSMs: Erstellen eines verwalteten Azure Key Vault-HSM.
Bereitstellen der Vorlage
Die Vorlage erfordert die Ihrem Konto zugeordnete Objekt-ID. Ermitteln Sie sie mithilfe des Azure CLI-Befehls az ad user show. Übergeben Sie dabei Ihre E-Mail-Adresse an den Parameter --id. Sie können die Ausgabe nur mithilfe des --query Parameters auf die Objekt-ID beschränken.
az ad user show --id <user-email> --query "id"
Möglicherweise benötigen Sie auch Ihre Mandanten-ID. Ermitteln Sie sie mithilfe des Azure CLI-Befehls az ad user show. Sie können die Ausgabe nur mithilfe des --query Parameters auf die Mandanten-ID beschränken.
az account show --query "tenantId"
Jetzt können Sie die ARM-Vorlage bereitstellen:
Klicken Sie auf das folgende Bild, um sich bei Azure anzumelden und eine Vorlage zu öffnen. Die Vorlage erstellt ein verwaltetes HSM.
Wählen Sie die folgenden Werte aus, bzw. geben Sie sie ein. Falls nicht angegeben, verwenden Sie den Standardwert zum Erstellen des verwalteten HSM.
- Abonnement: Wählen Sie ein Azure-Abonnement aus.
- Ressourcengruppe: Wählen Sie "Neu erstellen" aus, geben Sie einen Namen für Ihre Ressourcengruppe ein, und wählen Sie dann "OK" aus.
- Standort: Wählen Sie einen Standort aus. Beispiel: USA, Osten
- managedHSMName: Geben Sie einen Namen für Ihr verwaltetes HSM ein.
- Mandanten-ID: Die Vorlagenfunktion ruft automatisch Ihre Mandanten-ID ab. Ändern Sie den Standardwert nicht. Wenn kein Wert vorhanden ist, geben Sie die Mandanten-ID ein, die Sie zuvor abgerufen haben.
- initialAdminObjectIds: Geben Sie die Objekt-ID ein, die Sie zuvor abgerufen haben.
Wählen Sie die Option Kaufen. Nachdem das verwaltete HSM erfolgreich bereitgestellt wurde, erhalten Sie eine Benachrichtigung:
Warnung
Verwaltete HSM-Instanzen werden immer verwendet. Wenn Sie den Löschschutz mithilfe der --enable-purge-protection Kennzeichnung aktivieren, zahlen Sie für den gesamten Aufbewahrungszeitraum.
Zum Bereitstellen der Vorlage wird das Azure-Portal verwendet. Neben dem Azure-Portal können Sie auch Azure PowerShell, die Azure-Befehlszeilenschnittstelle (Azure CLI) und die REST-API verwenden. Weitere Informationen zu anderen Bereitstellungsmethoden finden Sie unter Bereitstellen von Vorlagen.
Bereitstellung validieren
Sie können überprüfen, ob das verwaltete HSM mithilfe des Azure CLI az keyvault list command erstellt wurde. Formatieren Sie die Ergebnisse als Tabelle, damit die Ausgabe einfacher zu lesen ist:
az keyvault list -o table
Sie sehen den Namen Ihres neu erstellten verwalteten HSM.
Bereinigen von Ressourcen
Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials weiterarbeiten möchten, empfiehlt es sich, diese Ressourcen unverändert zu lassen.
Wenn Sie die Ressourcen nicht mehr benötigen, führen Sie den Azure CLI-Befehl az group delete aus, um die Ressourcengruppe und alle dazugehörigen Ressourcen zu löschen:
az group delete --name "myResourceGroup"
Warnung
Durch das Löschen der Ressourcengruppe wird das verwaltete HSM in einen vorläufig gelöschten Zustand versetzt. Das verwaltete HSM wird weiterhin in Rechnung gestellt, bis es gelöscht wird. Siehe Vorläufiges Löschen und Löschschutz des verwalteten HSM
Nächste Schritte
In diesem Schnellstart haben Sie ein verwaltetes HSM erstellt. Dieses verwaltete HSM ist erst voll funktionsfähig, wenn Sie es aktivieren. Informationen zum Aktivieren Ihres HSM finden Sie unter Aktivieren Ihres verwalteten HSM.
- Lesen Sie eine Übersicht über verwaltetes HSM.
- Erfahren Sie mehr über das Verwalten von Schlüsseln in einem verwalteten HSM.
- Überprüfen Sie die Sicherheit Ihrer azure Managed HSM-Bereitstellung.