Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa guida introduttiva illustra come usare un modello di Azure Resource Manager (ARM template) per creare un HSM gestito di Azure Key Vault. Il modulo di protezione hardware gestito è un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud, usando moduli di protezione hardware convalidati FIPS 140-3 di livello 3 . Per ulteriori informazioni sull'HSM gestito, consultare la Panoramica.
Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.
Se l'ambiente soddisfa i prerequisiti e si ha familiarità con l'uso dei modelli di Resource Manager, selezionare il pulsante Distribuisci in Azure. Il modello viene aperto nel portale di Azure.
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Utilizzare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Introduzione ad Azure Cloud Shell.
Se si preferisce, per eseguire localmente i comandi di riferimento CLI, installare l'interfaccia della riga di comando di Azure per eseguire i relativi comandi di riferimento. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l’interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Eseguire l'autenticazione ad Azure con l'interfaccia della riga di comando di Azure.
Quando richiesto, installare l'estensione dell'interfaccia della riga di comando di Azure al primo utilizzo. Per altre informazioni sulle estensioni, vedere Usare e gestire le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
Rivedere il modello
Questa guida introduttiva usa un modello di Modelli di avvio rapido di Azure:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.5.6.12127",
"templateHash": "9933229425431379390"
}
},
"parameters": {
"managedHSMName": {
"type": "string",
"metadata": {
"description": "String specifying the name of the managed HSM."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "String specifying the Azure location where the managed HSM should be created."
}
},
"initialAdminObjectIds": {
"type": "array",
"metadata": {
"description": "Array specifying the objectIDs associated with a list of initial administrators."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
}
},
"softRetentionInDays": {
"type": "int",
"defaultValue": 7,
"maxValue": 90,
"minValue": 7,
"metadata": {
"description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/managedHSMs",
"apiVersion": "2021-04-01-preview",
"name": "[parameters('managedHSMName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Standard_B1",
"family": "B"
},
"properties": {
"enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
"softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
"enablePurgeProtection": false,
"tenantId": "[parameters('tenantId')]",
"initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
"publicNetworkAccess": "Enabled",
"networkAcls": {
"bypass": "None",
"defaultAction": "Allow"
}
}
}
]
}
Il modello definisce la risorsa di Azure seguente:
- Microsoft.KeyVault/managedHSMs: creare un HSM gestito di Azure Key Vault.
Distribuire il modello
Il modello richiede l'ID oggetto associato all'account. Per trovarlo, usare il comando az ad user show dell'interfaccia della riga di comando di Azure, passando il proprio indirizzo di posta elettronica al parametro --id. È possibile limitare l'output all'ID oggetto solo usando il --query parametro .
az ad user show --id <user-email> --query "id"
Potrebbe anche essere necessario il tuo tenant ID. Per trovarlo, usare il comando az ad user show dell'interfaccia della riga di comando di Azure. È possibile limitare l'output all'ID tenant solo usando il --query parametro .
az account show --query "tenantId"
È ora possibile distribuire il modello ARM:
Selezionare l'immagine seguente per accedere ad Azure e aprire un modello. Il modello crea un HSM gestito.
Selezionare o immettere i valori seguenti. Se non è specificato, usare il valore predefinito per creare l'HSM gestito.
- Sottoscrizione: selezionare una sottoscrizione di Azure.
- Gruppo di risorse: selezionare Crea nuovo, immettere un nome per il gruppo di risorse e quindi selezionare OK.
- Posizione: selezionare una posizione. Ad esempio Stati Uniti orientali.
- managedHSMName: immettere un nome per l'HSM gestito.
- ID tenant: la funzione modello recupera automaticamente l'ID tenant; non modificare il valore predefinito. Se non è presente alcun valore, immettere l'ID tenant recuperato in precedenza.
- initialAdminObjectIds: immettere l'ID oggetto recuperato in precedenza.
Selezionare Acquisto. Dopo aver distribuito correttamente il modulo di protezione hardware gestito, viene visualizzata una notifica:
Avviso
Le istanze HSM gestite sono sempre utilizzate. Se si abilita la protezione dall'eliminazione usando il --enable-purge-protection flag , si paga per l'intero periodo di conservazione.
Per distribuire il modello, si usa il portale di Azure. Oltre al portale di Azure, è anche possibile usare Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST. Per informazioni su altri metodi di distribuzione, vedere Distribuire modelli.
Convalidare la distribuzione
È possibile verificare che il modulo di protezione hardware gestito sia stato creato usando il comando az keyvault list dell'interfaccia della riga di comando di Azure. Formattare i risultati come tabella per semplificare la lettura dell'output:
az keyvault list -o table
Vedi il nome del tuo HSM gestito appena creato.
Pulire le risorse
Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.
Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete dell'interfaccia della riga di comando di Azure:
az group delete --name "myResourceGroup"
Avviso
L'eliminazione del gruppo di risorse attiva lo stato di eliminazione temporanea per il modulo di protezione hardware gestito. L'HSM gestito continua a essere fatturato fino a quando non viene eliminato definitivamente. Vedere Eliminazione temporanea e protezione dall'eliminazione dell'HSM gestito
Passaggi successivi
In questa guida introduttiva si è creato un HSM gestito. Questo modulo di protezione hardware gestito non è completamente funzionante finché non viene attivato. Per informazioni su come attivare il modulo di protezione hardware, vedere Attivare il modulo di protezione hardware gestito.
- Leggi una panoramica di un HSM gestito.
- Informazioni sulla gestione delle chiavi in un modulo di protezione hardware gestito.
- Esamina Proteggi la distribuzione di Azure Managed HSM.