Per una panoramica del modulo di protezione hardware gestito, vedere Che cos'è il modulo di protezione hardware gestito?
Prerequisiti
È necessaria una sottoscrizione Azure. Se non ne hai uno, crea un account gratuito prima di iniziare.
Altri elementi necessari:
Annotazioni
Tutti i comandi seguenti mostrano due metodi di utilizzo per l'interfaccia della riga di comando. Un metodo usa i --hsm-name parametri e --name (per il nome della chiave). L'altro metodo usa il --id parametro , in cui è possibile specificare l'intero URL, incluso il nome della chiave quando appropriato. Il secondo metodo è utile quando il chiamante (un utente o un'applicazione) non ha accesso in lettura al piano di controllo e ha accesso limitato al piano dati.
Alcune interazioni con il materiale della chiave richiedono autorizzazioni per un HSM gestito specifiche del controllo degli accessi in base al ruolo locali. Per un elenco completo dei ruoli RBAC locali e delle autorizzazioni predefiniti per HSM gestiti, vedere Ruoli predefiniti RBAC locali per HSM gestiti. Per assegnare queste autorizzazioni a un utente, vedere Proteggere l'accesso agli HSM gestiti.
Creare una chiave del modulo di protezione hardware
Annotazioni
Non è possibile esportare una chiave generata o importata in HSM gestito. L'unica eccezione alla regola di no-export è quando si crea una chiave con un criterio di rilascio della chiave specifico. Questo criterio consente l'esportazione della chiave solo in ambienti attendibili di confidential computing (enclave sicuri) definiti in modo esplicito. Questa funzionalità di esportazione limitata è progettata per scenari specifici di elaborazione sicura e non è uguale a un'esportazione di chiavi per utilizzo generico. Per le procedure consigliate per la portabilità e la durabilità chiave, vedere l'articolo collegato.
Nel portale Azure, vai alla risorsa del Managed HSM.
Nel menu a sinistra, in Impostazioni, selezionare Chiavi.
Seleziona Genera/Importa dall'elenco a discesa Genera/Importa/Ripristina backup.
Scegliere il tipo di chiave (RSA-HSM, EC-HSM o oct-HSM), impostare le dimensioni o la curva della chiave, il nome e le operazioni consentite, quindi selezionare Crea.
Usare il az keyvault key create comando per creare una chiave.
Creare una chiave RSA
Questo esempio illustra come creare una chiave RSA a 3072 bit usata solo per le operazioni wrapKey e unwrapKey (--ops).
az keyvault key create --hsm-name <hsm-name> --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
L'operazione get restituisce solo la chiave pubblica e gli attributi chiave. Non restituisce la chiave privata (se una chiave asimmetrica) o il materiale della chiave (se una chiave simmetrica).
Creare una chiave EC
Nell'esempio seguente viene illustrato come creare una chiave EC con la curva P-256. La chiave è solo per le operazioni di firma e verifica (--ops) e ha due tag, utilizzo e nomeapp. Usare i tag per aggiungere metadati aggiuntivi alla chiave per il rilevamento e la gestione.
az keyvault key create --hsm-name <hsm-name> --name myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
Creare una chiave simmetrica a 256 bit
Questo esempio illustra come creare una chiave simmetrica a 256 bit solo per operazioni di crittografia e decrittografia (--ops).
az keyvault key create --hsm-name <hsm-name> --name myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
Usare il Add-AzKeyVaultKey cmdlet per creare una chiave.
Creare una chiave RSA
In questo esempio viene illustrato come creare una chiave RSA a 3072 bit usata solo per le operazioni wrapKey e unwrapKey .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyType RSA-HSM -Size 3072 -KeyOps wrapKey,unwrapKey
Creare una chiave EC
Questo esempio illustra come creare una chiave EC con la curva P-256 per le operazioni di firma e verifica .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myec256key -KeyType EC-HSM -CurveName P-256 -KeyOps sign,verify -Tag @{usage='signing'; appname='myapp'}
Creare una chiave simmetrica a 256 bit
Questo esempio illustra come creare una chiave simmetrica a 256 bit per le operazioni di crittografia e decrittografia .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myaeskey -KeyType oct-HSM -Size 256 -KeyOps encrypt,decrypt -Tag @{usage='encryption'; appname='myapp'}
Nel portale Azure, vai alla risorsa del Managed HSM.
Nel menu a sinistra, in Impostazioni, selezionare Chiavi.
Selezionare la chiave da visualizzare. Il portale visualizza gli attributi, le versioni e i tag della chiave.
Usare il az keyvault key show comando per visualizzare attributi, versioni e tag per una chiave.
az keyvault key show --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Usare il Get-AzKeyVaultKey cmdlet per visualizzare attributi, versioni e tag per una chiave.
Get-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Elenco delle chiavi
Nel portale Azure, vai alla risorsa del Managed HSM.
Nel menu a sinistra, in Impostazioni, selezionare Chiavi. Il portale elenca tutte le chiavi nel modulo di protezione hardware gestito (HSM).
Usare il az keyvault key list comando per elencare tutte le chiavi all'interno di un modulo di protezione hardware gestito.
az keyvault key list --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list --id https://<hsm-name>.managedhsm.azure.net/
Usare il Get-AzKeyVaultKey cmdlet per elencare tutte le chiavi in un HSM gestito.
Get-AzKeyVaultKey -HsmName <hsm-name>
Eliminare una chiave
Nel portale Azure, vai alla risorsa del Managed HSM.
Nel menu a sinistra, in Impostazioni, selezionare Chiavi.
Selezionare la chiave da eliminare.
Seleziona Elimina, quindi conferma.
Usare il az keyvault key delete comando per eliminare una chiave da un modulo di protezione hardware gestito. L’eliminazione temporanea è sempre attiva. Pertanto, una chiave eliminata rimane nello stato eliminato ed è possibile recuperarla fino al superamento del numero di giorni di conservazione. Successivamente, la chiave viene eliminata (eliminata definitivamente) senza alcun recupero possibile.
az keyvault key delete --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Usare il Remove-AzKeyVaultKey cmdlet per eliminare una chiave. L'eliminazione temporanea è sempre attiva, quindi una chiave eliminata rimane recuperabile fino alla scadenza del periodo di conservazione.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Elencare le chiavi eliminate
Nel portale Azure, vai alla risorsa del Managed HSM.
Nel menu a sinistra, in Impostazioni, selezionare Chiavi.
Selezionare Gestisci chiavi eliminate per visualizzare le chiavi nello stato eliminato temporaneo.
Usare il comando az keyvault key list-deleted per elencare tutte le chiavi nello stato eliminato presenti in un HSM gestito.
az keyvault key list-deleted --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list-deleted --id https://<hsm-name>.managedhsm.azure.net/
Usare il Get-AzKeyVaultKey cmdlet con il -InRemovedState parametro per elencare le chiavi eliminate.
Get-AzKeyVaultKey -HsmName <hsm-name> -InRemovedState
Ripristinare una chiave eliminata annullandone l'eliminazione
Nel portale Azure, vai alla risorsa del Managed HSM.
Nel menu a sinistra, in Impostazioni selezionare Chiavi, quindi selezionare Gestisci chiavi eliminate.
Selezionare la chiave eliminata da ripristinare.
Selezionare Ripristina.
Usare il comando az keyvault key list-deleted per elencare tutte le chiavi in stato di eliminazione nel modulo di sicurezza hardware gestito. Per ripristinare (annullare l'eliminazione) di una chiave, usare il --id parametro . È necessario annotare il recoveryId valore della chiave eliminata ottenuta dal az keyvault key list-deleted comando .
az keyvault key recover --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Usare il Undo-AzKeyVaultKeyRemoval cmdlet per recuperare una chiave eliminata.
Undo-AzKeyVaultKeyRemoval -HsmName <hsm-name> -Name myrsakey
Rimuovere (eliminare definitivamente) una chiave
Annotazioni
Se l'HSM gestito ha la protezione contro l'eliminazione abilitata, l'operazione di eliminazione non è consentita. La chiave viene rimossa automaticamente al termine del periodo di conservazione.
Nel portale Azure, passare alla risorsa HSM gestito.
Nel menu a sinistra, in Impostazioni selezionare Chiavi, quindi selezionare Gestisci chiavi eliminate.
Selezionare la chiave eliminata da eliminare.
Selezionare Svuota, quindi confermare.
Avvertimento
Questa operazione elimina definitivamente la chiave.
Usare il az keyvault key purge comando per eliminare definitivamente una chiave.
az keyvault key purge --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Usare il Remove-AzKeyVaultKey cmdlet con il -InRemovedState parametro per eliminare una chiave eliminata.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -InRemovedState
Avvertimento
Questa operazione elimina definitivamente la chiave.
Creare il backup di una singola chiave
Il backup delle chiavi non è attualmente disponibile nel portale di Azure. Usare il interfaccia della riga di comando di Azure o il Azure PowerShell.
Usare il comando az keyvault key backup per creare il backup di una singola chiave. Il file di backup è un BLOB crittografato associato al dominio di sicurezza del modulo di protezione hardware di origine. È possibile ripristinarlo solo nei moduli di protezione hardware che condividono lo stesso dominio di sicurezza. Per altre informazioni, vedere Dominio di sicurezza.
az keyvault key backup --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Usare il Backup-AzKeyVaultKey cmdlet per creare un backup della chiave. Il file di backup è un BLOB crittografato associato al dominio di sicurezza del modulo di protezione hardware di origine.
Backup-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -OutputFile myrsakey.backup
Ripristinare una singola chiave dal backup
Nel portale Azure, vai alla risorsa del Managed HSM.
Nel menu a sinistra, in Impostazioni, selezionare Chiavi.
Selezionare Genera/Importa/Ripristina backup e scegliere Ripristina chiave dal backup.
Passare a e selezionare il file di backup, quindi selezionare Ripristina.
Usare il comando az keyvault key restore per ripristinare una singola chiave. Il modulo di protezione hardware di origine in cui è stato creato il backup deve condividere lo stesso dominio di sicurezza del modulo di protezione hardware di destinazione in cui si sta ripristinando la chiave.
Annotazioni
L'operazione di ripristino non riesce se esiste una chiave con lo stesso nome in stato attivo o eliminato.
az keyvault key restore --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Usare il Restore-AzKeyVaultKey cmdlet per ripristinare una singola chiave. Il modulo di protezione hardware di origine in cui è stato creato il backup deve condividere lo stesso dominio di sicurezza del modulo di protezione hardware di destinazione.
Annotazioni
L'operazione di ripristino non riesce se esiste una chiave con lo stesso nome in stato attivo o eliminato.
Restore-AzKeyVaultKey -HsmName <hsm-name> -InputFile myrsakey.backup
Importare una chiave da un file
L'importazione delle chiavi non è attualmente disponibile nel portale di Azure. Usare il interfaccia della riga di comando di Azure o il Azure PowerShell.
Usare il az keyvault key import comando per importare una chiave (solo RSA ed EC) da un file. Il file di certificato deve avere una chiave privata e deve usare la codifica PEM (come definito nelle RFC 1421, 1422, 1423, 1424).
az keyvault key import --hsm-name <hsm-name> --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (<key-name>) in the URI
az keyvault key import --id https://<hsm-name>.managedhsm.azure.net/keys/<key-name> --pem-file mycert.key --password 'mypassword'
Usare il Add-AzKeyVaultKey cmdlet con il -KeyFilePath parametro per importare una chiave da un file PEM.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyFilePath ./mycert.key -KeyFilePassword (ConvertTo-SecureString -String 'mypassword' -AsPlainText -Force) -KeyType RSA-HSM
Per importare una chiave dal tuo HSM locale al HSM gestito, vedere Importare chiavi protette da HSM su HSM gestito (BYOK).
Passaggi successivi