Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este inicio rápido, creará y activará un HSM administrado (módulo de seguridad de hardware) Azure Key Vault mediante el portal de Azure. Managed HSM es un servicio en la nube totalmente administrado, de alta disponibilidad, de un solo inquilino y compatible con estándares que permite proteger las claves criptográficas para las aplicaciones en la nube, mediante HSM validados por FIPS 140-3 de nivel 3 . Para más información sobre HSM administrado, consulte La información general.
Prerrequisitos
Se requiere una suscripción Azure. Si no tienes una, crea una cuenta gratuita antes de empezar.
Creación de un HSM administrado
La creación de un HSM administrado es un proceso que se compone de dos pasos:
- Aprovisionar un recurso HSM gestionado.
- Activa tu HSM administrado descargando un artefacto llamado dominio de seguridad.
Aprovisionar un HSM administrado
Inicie sesión en el portal Azure.
En el cuadro de búsqueda, escriba Managed HSM (HSM administrado ) y seleccione Managed HSM Pools (Grupos de HSM administrados ) en los resultados.
Selecciona Crear.
En la pestaña Básico, especifique la siguiente información:
Suscripción: Seleccione la suscripción que quiere usar.
Grupo de recursos: seleccione Crear nuevo y escriba myResourceGroup.
Nombre de HSM administrado: escriba un nombre para el HSM administrado.
Importante
Cada HSM administrado debe tener un nombre único.
Región: seleccione Este de EE. UU . (o su región preferida).
Administradores : busque y seleccione los usuarios o grupos de Microsoft Entra para designar como administradores iniciales.
Ajuste la configuración en las pestañas Avanzadas, Redes y Etiquetas según sea necesario.
Seleccione Revisar y crear y, luego, Crear.
La implementación tarda unos minutos en completarse. Cuando haya terminado, vaya al recurso para ver su página información general.
Note
El proceso de aprovisionamiento puede tardar unos minutos. Cuando se complete correctamente, estará listo para activar el HSM.
Advertencia
Las instancias de HSM administradas siempre están en uso. Si habilita la protección de purga mediante el --enable-purge-protection indicador, paga por todo el período de retención.
Activación de un HSM administrado
Todos los comandos del plano de datos se deshabilitan hasta que se activa el HSM. No se pueden crear claves ni asignar roles. Solo los administradores designados que asigne durante el comando create pueden activar el HSM. Para activar el HSM, debe descargar el dominio de seguridad.
Para activar el HSM necesita:
- Un mínimo de tres pares de claves RSA (máximo 10)
- Número mínimo de claves necesarias para descifrar el dominio de seguridad (denominado cuórum)
Envíe al menos tres (máximo 10) claves públicas RSA al HSM. El HSM cifra el dominio de seguridad con estas claves y lo devuelve. Una vez que la descarga del dominio de seguridad se complete correctamente, el HSM estará listo para usarse. También debe especificar el cuórum, que es el número mínimo de claves privadas necesarias para descifrar el dominio de seguridad.
En el ejemplo siguiente se muestra cómo usar openssl para generar tres certificados autofirmados:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
La fecha de expiración del certificado no afecta a las operaciones de dominio de seguridad, incluso se puede usar un certificado "expirado" para restaurar el dominio de seguridad.
Importante
Estas claves privadas RSA son la raíz de confianza dentro de tu Managed HSM. En entornos de producción, genere estas claves mediante un sistema aislado del aire o un HSM local, y almacénelas de forma segura. Consulte Procedimientos recomendados de dominio de seguridad para obtener instrucciones detalladas.
En el portal de Azure, vaya al recurso HSM administrado.
En el menú izquierdo, en Configuración, seleccione Dominio de seguridad.
Siga las indicaciones del portal para cargar los certificados de clave pública RSA (mínimo tres) y establecer el valor de cuórum.
Descargue el archivo de dominio de seguridad cifrado.
Importante
Almacene el archivo de dominio de seguridad y las claves privadas RSA en una ubicación segura y independiente. Usted los necesita para recuperar el HSM administrado en un escenario de recuperación ante desastres. La pérdida del dominio de seguridad puede dar lugar a una pérdida permanente del acceso.
Almacene el archivo de dominio de seguridad y los pares de claves RSA de forma segura. Los necesita para la recuperación ante desastres o para crear otro HSM administrado que comparta el mismo dominio de seguridad para que los dos puedan compartir claves.
Después de descargar correctamente el dominio de seguridad, el HSM está en un estado activo y listo para su uso.
Limpieza de recursos
Cuando ya no sea necesario, puede eliminar el grupo de recursos, que elimina el HSM administrado y todos los recursos relacionados:
- En Azure Portal, busque y seleccione Grupos de recursos.
- Seleccione el grupo de recursos (por ejemplo, myResourceGroup).
- Seleccione Eliminar grupo de recursos.
- Escriba el nombre del grupo de recursos y seleccione Eliminar.
Advertencia
La eliminación del grupo de recursos coloca el HSM administrado en un estado de eliminación temporal. El HSM administrado continuará siendo facturado hasta que se purgue. Consulte Eliminación temporal y protección de purga del HSM administrado
Pasos siguientes
En este artículo de inicio rápido, ha aprovisionado un HSM administrado y lo ha activado. Para obtener más información sobre un HSM administrado y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes.
- Lea una introducción a Managed HSM
- Obtenga información sobre la administración de claves en un HSM administrado
- Aprenda sobre la Administración de roles de un HSM administrado.
- Revise Asegure la implementación de HSM administrado de Azure