Para obter uma visão geral do HSM gerenciado, consulte O que é o HSM gerenciado?
Pré-requisitos
É necessária uma subscrição do Azure. Se você não tiver uma, crie uma conta gratuita antes de começar.
Você também precisa:
Observação
Todos os comandos seguintes mostram dois métodos de utilização para a CLI. Um método usa os --hsm-name parâmetros e --name (para nome chave). O outro método usa o --id parâmetro, onde podes especificar o URL inteiro, incluindo o nome da chave, quando apropriado. Este último método é útil quando o chamador (um usuário ou um aplicativo) não tem acesso de leitura no plano de controle e apenas acesso restrito no plano de dados.
Algumas interações com material-chave exigem permissões de RBAC específicas locais do HSM Gerido. Para uma lista completa de funções e permissões locais RBAC pré-definidas do HSM Gerido, consulte as funções pré-definidas de RBAC local do HSM Gerido. Para atribuir estas permissões a um utilizador, consulte Acesso Seguro aos seus HSMs geridos.
Criar uma chave HSM
Observação
Não é possível exportar uma chave que tenha sido gerada ou importada para o HSM Gerido. A única exceção à regra de não exportação é quando você cria uma chave com uma política específica de liberação de chave. Esta política permite que a chave seja exportada apenas para ambientes de computação confidenciais confiáveis (enclaves seguros) definidos explicitamente. Esta capacidade limitada de exportação é concebida para cenários específicos de computação segura e não é o mesmo que uma exportação de chaves de uso geral. Para as melhores práticas recomendadas para portabilidade e durabilidade essenciais, consulte o artigo relacionado.
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu à esquerda, em Definições, selecione Teclas.
Selecione Gerar/Importar no menu suspenso Gerar/Importar/Restaurar Cópia de Segurança.
Escolha o tipo de chave (RSA-HSM, EC-HSM ou oct-HSM), defina o tamanho ou curva da chave, nome e operações permitidas, e depois selecione Criar.
Usa o az keyvault key create comando para criar uma chave.
Criar uma chave RSA
Este exemplo mostra como criar uma chave RSA de 3072 bits que é usada apenas para operações de wrapKey e unwrapKey (--ops).
az keyvault key create --hsm-name <hsm-name> --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
A get operação apenas devolve a chave pública e os atributos da chave. Não devolve a chave privada (se for uma chave assimétrica) nem o material da chave (se for uma chave simétrica).
Criar uma chave EC
O exemplo seguinte mostra como criar uma chave EC com a curva P-256. A chave é apenas para operações de sinalização e verificação (--ops) e tem duas etiquetas, uso e nome da aplicação. Use etiquetas para adicionar metadados extra à chave para rastreamento e gestão.
az keyvault key create --hsm-name <hsm-name> --name myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
Criar uma chave simétrica de 256 bits
Este exemplo mostra como criar uma chave simétrica de 256 bits que serve apenas para operações de encriptação e desencriptação (--ops).
az keyvault key create --hsm-name <hsm-name> --name myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
Usa o Add-AzKeyVaultKey cmdlet para criar uma chave.
Criar uma chave RSA
Este exemplo mostra como criar uma chave RSA de 3072 bits que é usada apenas para operações de wrapKey e unwrapKey.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyType RSA-HSM -Size 3072 -KeyOps wrapKey,unwrapKey
Criar uma chave EC
Este exemplo mostra como criar uma chave EC com a curva P-256 para operações de sinalização e verificação .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myec256key -KeyType EC-HSM -CurveName P-256 -KeyOps sign,verify -Tag @{usage='signing'; appname='myapp'}
Criar uma chave simétrica de 256 bits
Este exemplo mostra como criar uma chave simétrica de 256 bits para operações de encriptação e desencriptação .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myaeskey -KeyType oct-HSM -Size 256 -KeyOps encrypt,decrypt -Tag @{usage='encryption'; appname='myapp'}
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu à esquerda, em Definições, selecione Teclas.
Selecione a chave que quer ver. O portal mostra os atributos, versões e etiquetas da chave.
Use o az keyvault key show comando para visualizar atributos, versões e etiquetas de uma chave.
az keyvault key show --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Use o Get-AzKeyVaultKey cmdlet para visualizar atributos, versões e etiquetas para uma chave.
Get-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Listar chaves
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu à esquerda, em Definições, selecione Teclas. O portal lista todas as chaves no Managed HSM.
Use o az keyvault key list comando para listar todas as chaves dentro de um HSM gerido.
az keyvault key list --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list --id https://<hsm-name>.managedhsm.azure.net/
Use o Get-AzKeyVaultKey cmdlet para listar todas as chaves num HSM Gerido.
Get-AzKeyVaultKey -HsmName <hsm-name>
Eliminar uma chave
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu à esquerda, em Definições, selecione Teclas.
Seleciona a chave que queres apagar.
Selecione Eliminar e, em seguida, confirme.
Use o az keyvault key delete comando para eliminar uma chave de um HSM gerido. A exclusão suave está sempre ativada. Assim, uma chave eliminada permanece no estado eliminado e pode recuperá-la até passar o número de dias de retenção. Depois disso, a chave é eliminada (eliminada permanentemente) sem possibilidade de recuperação.
az keyvault key delete --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Usa o Remove-AzKeyVaultKey cmdlet para eliminar uma chave. A eliminação suave está sempre ativada, pelo que uma chave eliminada permanece recuperável até ao fim do período de retenção.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Listar chaves excluídas
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu à esquerda, em Definições, selecione Teclas.
Selecione Gerir chaves eliminadas para visualizar as chaves no estado de eliminação suave.
Utiliza o comando az keyvault key list-deleted para listar todas as chaves no estado de eliminação no seu HSM gerido.
az keyvault key list-deleted --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list-deleted --id https://<hsm-name>.managedhsm.azure.net/
Use o Get-AzKeyVaultKey cmdlet com o -InRemovedState parâmetro para listar as chaves eliminadas.
Get-AzKeyVaultKey -HsmName <hsm-name> -InRemovedState
Recuperar (restaurar) uma chave eliminada
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu esquerdo, em Definições, selecione Teclas e depois selecione Gerir teclas eliminadas.
Seleciona a chave eliminada que queres recuperar.
Selecione Recuperar.
Usa o az keyvault key list-deleted comando para listar todas as chaves em estado eliminado no teu HSM gerido. Para recuperar (desapagar) uma chave, use o --id parâmetro. Deve registar o recoveryId valor da chave eliminada obtida a partir do az keyvault key list-deleted comando.
az keyvault key recover --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Usa o Undo-AzKeyVaultKeyRemoval cmdlet para recuperar uma chave eliminada.
Undo-AzKeyVaultKeyRemoval -HsmName <hsm-name> -Name myrsakey
Limpar (excluir permanentemente) uma chave
Observação
Se o HSM gerido tiver a proteção contra purgas ativada, a operação de purga não é permitida. A chave é automaticamente eliminada quando o período de retenção termina.
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu esquerdo, em Definições, selecione Teclas e depois selecione Gerir teclas eliminadas.
Seleciona a chave eliminada que queres eliminar.
Seleciona Purgar e depois confirma.
Warning
Esta operação elimina permanentemente a sua chave.
Usa o az keyvault key purge comando para purgar (eliminar permanentemente) uma chave.
az keyvault key purge --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Use o Remove-AzKeyVaultKey cmdlet com o -InRemovedState parâmetro para eliminar uma chave eliminada.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -InRemovedState
Warning
Esta operação elimina permanentemente a sua chave.
Criar um backup de chave única
O backup de chaves não está atualmente disponível no portal Azure. Use o CLI do Azure ou o Azure PowerShell.
Use az keyvault key backup para criar um backup de chave. O arquivo de backup é um blob criptografado criptograficamente vinculado ao domínio de segurança do HSM de origem. Só pode restaurá-lo em HSMs que partilham o mesmo domínio de segurança. Leia mais sobre Domínio de Segurança.
az keyvault key backup --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Use o Backup-AzKeyVaultKey cmdlet para criar uma cópia de segurança de chaves. O arquivo de backup é um blob criptografado criptograficamente vinculado ao domínio de segurança do HSM de origem.
Backup-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -OutputFile myrsakey.backup
Restaurar uma única chave a partir do backup
No portal Azure, navegue até ao seu recurso de HSM Gerido.
No menu à esquerda, em Definições, selecione Teclas.
Selecione Gerar/Importar/Restaurar Backup e escolha Restaurar chave a partir do backup.
Navegue e selecione o ficheiro de backup, depois selecione Restaurar.
Use az keyvault key restore para restaurar uma única chave. O HSM de origem onde criaste a cópia de segurança deve partilhar o mesmo domínio de segurança do HSM alvo onde estás a restaurar a chave.
Observação
A operação de restauro falha se uma chave com o mesmo nome existir em estado ativo ou eliminado.
az keyvault key restore --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Usa o Restore-AzKeyVaultKey cmdlet para restaurar uma única chave. O HSM de origem onde criaste o backup deve partilhar o mesmo domínio de segurança que o HSM alvo.
Observação
A operação de restauro falha se uma chave com o mesmo nome existir em estado ativo ou eliminado.
Restore-AzKeyVaultKey -HsmName <hsm-name> -InputFile myrsakey.backup
Importar uma chave de um ficheiro
A importação de chaves não está atualmente disponível no portal do Azure. Use o CLI do Azure ou o Azure PowerShell.
Use o az keyvault key import comando para importar uma chave (apenas RSA e EC) a partir de um ficheiro. O ficheiro de certificado deve ter uma chave privada e deve usar codificação PEM (conforme definido nos RFCs 1421, 1422, 1423, 1424).
az keyvault key import --hsm-name <hsm-name> --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (<key-name>) in the URI
az keyvault key import --id https://<hsm-name>.managedhsm.azure.net/keys/<key-name> --pem-file mycert.key --password 'mypassword'
Use o Add-AzKeyVaultKey cmdlet com o -KeyFilePath parâmetro para importar uma chave de um ficheiro PEM.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyFilePath ./mycert.key -KeyFilePassword (ConvertTo-SecureString -String 'mypassword' -AsPlainText -Force) -KeyType RSA-HSM
Para importar uma chave do seu HSM local para HSM gerido, consulte Importar chaves protegidas HSM para HSM gerido (BYOK).
Próximos passos