Início Rápido: Provisionar e ativar um HSM Gerenciado usando o PowerShell

Neste início rápido, você criará e ativará um HSM Gerenciado Azure Key Vault (Módulo de Segurança de Hardware) usando o PowerShell. O HSM Gerenciado é um serviço de nuvem de gerenciamento completo, altamente disponível, de locatário único e compatível com padrões que permite proteger chaves criptográficas para seus aplicativos de nuvem, com HSMs validados pelo FIPS 140-3 Nível 3. Para obter mais informações sobre hsm gerenciado, examine a visão geral.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Se você optar por usar Azure PowerShell localmente:
  • Instale a versão mais recente do módulo do Az PowerShell.
  • Conecte-se à sua conta Azure usando o cmdlet Connect-AzAccount.
• Se você optar por usar Azure Cloud Shell:
  • Consulte Overview do Azure Cloud Shell para obter mais informações.

Criar um grupo de recursos

Um grupo de recursos é um contêiner lógico no qual Azure recursos são implantados e gerenciados. Use o cmdlet Azure PowerShell New-AzResourceGroup para criar um grupo de recursos chamado myResourceGroup na localização eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Obter a ID da entidade de segurança

Para criar um HSM Gerenciado, você precisa do ID do principal do Microsoft Entra. Para obter sua ID, use o cmdlet Azure PowerShell Get-AzADUser e passe o endereço de email para o parâmetro UserPrincipalName:

Get-AzADUser -UserPrincipalName "<user-principal-name>"

Sua ID principal será retornada no formato "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx".

Criar um HSM Gerenciado

A criação de um HSM Gerenciado é um processo de duas etapas:

1. Provisionar um recurso de HSM gerenciado.
2. Ative o HSM Gerenciado baixando um artefato chamado domínio de segurança.

Provisionar um HSM Gerenciado

Utilize o cmdlet New-AzKeyVaultManagedHsm do Azure PowerShell para criar um novo HSM Gerenciado. Forneça as seguintes informações:

• Nome do HSM gerenciado: uma cadeia de caracteres de 3 a 24 caracteres que pode conter apenas números (0-9), letras (a-z, A-Z) e hifens (-).

  Importante

  Cada HSM Gerenciado precisa ter um nome exclusivo. Substitua <hsm-name> por seu próprio nome HSM gerenciado exclusivo nos exemplos a seguir.

• Nome do grupo de recursos: myResourceGroup.

• Local: EastUS (ou seu local selecionado).

• Seu ID principal: passe o ID principal do Microsoft Entra obtido na última seção para o parâmetro "Administrador".

New-AzKeyVaultManagedHsm -Name "<hsm-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Administrator "<principal-id>" -SoftDeleteRetentionInDays "<retention-days>"

A saída desse cmdlet mostra as propriedades do HSM Gerenciado recém-criado. Anote estas duas propriedades:

• Nome: o nome que você forneceu para o HSM Gerenciado.
• HsmUri: o URI do HSM (por exemplo, https://<hsm-name>.managedhsm.azure.net/). Aplicativos que usam seu cofre via API REST devem usar esse URI.

Neste ponto, sua conta Azure é a única autorizada a executar quaisquer operações neste novo HSM.

Ativar o HSM Gerenciado

Todos os comandos do plano de dados são desabilitados até que você ative o HSM. Você não pode criar chaves ou atribuir funções. Somente os administradores designados que você atribui durante o comando create podem ativar o HSM. Para ativar o HSM, você deve baixar o Domínio de Segurança.

Para ativar o HSM, você precisa:

• Um mínimo de três pares de chaves RSA (máximo de 10)
• O número mínimo de chaves necessárias para descriptografar o domínio de segurança (chamado quorum)

Você envia pelo menos três (no máximo 10) chaves públicas RSA para o HSM. O HSM criptografa o domínio de segurança com essas chaves e o envia de volta. Depois que o download do domínio de segurança for concluído com êxito, o HSM estará pronto para uso. Você também precisa especificar o quorum, que é o número mínimo de chaves privadas necessárias para descriptografar o domínio de segurança.

O exemplo a seguir mostra como usar openssl para gerar três certificados autoassinados:

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

A data de validade do certificado não afeta as operações de domínio de segurança— mesmo um certificado "expirado" ainda pode ser usado para restaurar o domínio de segurança.

Use o comando Azure PowerShell Export-AzKeyVaultSecurityDomain para baixar o domínio de segurança e ativar seu HSM Gerenciado. O exemplo a seguir usa três pares de chaves RSA (somente chaves públicas são necessárias para este comando) e define o quórum como duas.

Export-AzKeyVaultSecurityDomain -Name "<hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "<hsm-name>-SD.json" -Quorum 2

Armazene o arquivo de domínio de segurança e os pares de chaves RSA com segurança. Você precisa deles para recuperação de desastre ou para criar outro HSM gerenciado que compartilhe o mesmo domínio de segurança para que os dois possam compartilhar chaves.

Depois de baixar com êxito o domínio de segurança, o HSM está em um estado ativo e pronto para uso.

Limpar os recursos

Outros guias de início rápido e tutoriais desta coleção se baseiam neste guia de início rápido. Se você planeja continuar a trabalhar com outros tutoriais e inícios rápidos, deixe esses recursos onde estão.

Quando não for mais necessário, você poderá usar o cmdlet Azure PowerShell Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos relacionados.

Remove-AzResourceGroup -Name "myResourceGroup"

Próximas etapas

Nesse início rápido, você criou e ativou um HSM Gerenciado. Para saber mais sobre o HSM Gerenciado e como integrá-lo aos seus aplicativos, prossiga para examinar os seguintes artigos:

• Examine secure sua implantação do Azure Managed HSM.
• Leia uma Visão Geral do Azure Managed HSM.
• Consulte a referência para os cmdlets Azure PowerShell Key Vault.