Schnellstart: Bereitstellen von Azure Cloud HSM mithilfe von Azure PowerShell

Azure Cloud HSM ist ein hoch verfügbarer FIPS 140-3 Level 3-validierter Einzelmandantendienst, mit dem Sie Hardwaresicherheitsmodule (HARDWARE Security Modules, HSMs) mithilfe verschiedener Methoden bereitstellen können. Zu diesen Methoden gehören azure CLI, Azure PowerShell, Azure Resource Manager-Vorlagen (ARM-Vorlagen), Terraform oder das Azure-Portal. Diese Schnellstartanleitung führt Sie durch den Bereitstellungsprozess in Azure PowerShell.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie noch kein Konto haben, erstellen Sie ein kostenloses Konto , bevor Sie beginnen.
• Die neueste Version von Azure PowerShell installiert.
• Geeignete Berechtigungen zum Erstellen von Ressourcen in Ihrem Abonnement, einschließlich HSM-Ressourcen.
• Für Produktionsumgebungen, ein vorhandenes virtuelles Netzwerk und subnetz zum Konfigurieren privater Endpunkte.

Erstellen einer Azure Cloud HSM-Instanz

Im folgenden Beispielcode wird eine Ressourcengruppe und eine Cloud HSM-Instanz erstellt. Sie müssen den Abonnement-, Ressourcengruppen-, Standort- und HSM-Namen entsprechend Ihrer Umgebung aktualisieren.

# Define variables for your Cloud HSM deployment
$server = @{
    Location = "<RegionName>"
    Sku = @{"family" = "B"; "Name" = "Standard_B1" }
    ResourceName = "<HSMName>"
    ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
    ResourceGroupName = "<ResourceGroupName>"
    Force = $true
}

# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force

# Create an HSM cluster
New-AzResource @server -AsJob -Verbose

Konfigurieren einer verwalteten Identität (optional)

Für Sicherungs- und Wiederherstellungsvorgänge in Azure Cloud HSM müssen Sie eine vom Benutzer zugewiesene verwaltete Identität erstellen. Diese Identität wird für die Übertragung von Cloud HSM-Sicherungen in Geschäftskontinuitäts- und Notfallwiederherstellungsszenarien auf Ihr festgelegtes Speicherkonto verwendet.

Wenn Sie beabsichtigen, Sicherungs- und Wiederherstellungsfunktionen zu verwenden, können Sie mithilfe der folgenden Azure PowerShell-Befehle eine verwaltete Identität erstellen und konfigurieren:

# Define parameters for the new managed identity
$identity = @{
    Location          = "<RegionName>"                                         
    ResourceName      = "<ManagedIdentityName>"                                         
    ResourceGroupName = "<ResourceGroupName>"
}

# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location

# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id

# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
    Sku = @{
        Family = "B"
        Name = "Standard_B1"
    }
    Location = $server.Location
    Identity = @{
        type = "UserAssigned"
        userAssignedIdentities = @{
            "/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
        }
    }
} | ConvertTo-Json -Depth 4

# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"

# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch

Ausführliche Anweisungen zum Konfigurieren von Sicherungs- und Wiederherstellungsvorgängen finden Sie unter Sichern und Wiederherstellen von Azure Cloud HSM-Ressourcen.

Einrichten von Netzwerken

Für Produktionsumgebungen wird dringend empfohlen, einen privaten Endpunkt für Ihre Cloud HSM-Bereitstellung zu konfigurieren, um eine sichere Kommunikation zu gewährleisten. Sie können die folgenden Azure PowerShell-Befehle verwenden, um einen privaten Endpunkt zu erstellen:

# Define private endpoint parameters
$privateEndpoint = @{
    Name = "<PrivateEndpointName>"
    ResourceGroupName = $server.ResourceGroupName
    Location = $server.Location
    Subnet = $subnet # You need to have $subnet defined with your subnet configuration
    PrivateLinkServiceConnection = @{
        Name = "$($server.ResourceName)-connection"
        PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
        GroupId = "cloudhsmclusters"
    }
}

# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint

Bereitstellen Ihrer Cloud HSM-Ressource

Wenn Sie den New-AzResource-Befehl mit dem -AsJob-Parameter ausführen, wird ein Hintergrundprozess gestartet, um Ihre Cloud HSM-Ressource bereitzustellen. Sie können den Status der Bereitstellung überprüfen, indem Sie Folgendes ausführen:

Get-Job -Id <JobId> | Receive-Job

Im vorherigen Befehl ist die ID, die das System zurückgegeben hat, <JobId> wenn Sie den New-AzResource Befehl ausgeführt haben.

Die Bereitstellung ist abgeschlossen, wenn ein erfolgreiches Ergebnis aus dem Auftrag angezeigt wird oder wenn Sie überprüfen können, ob die Ressource in Ihrem Azure-Abonnement vorhanden ist.

Initialisieren Sie und konfigurieren Sie Ihr HSM

Sie können die Azure Cloud HSM-Aktivierung und -Konfiguration nicht direkt über Azure PowerShell ausführen. Sie benötigen das Azure Cloud HSM SDK und die Clienttools.

Nachdem Sie Ihre Cloud HSM-Ressource über Azure PowerShell bereitgestellt haben, führen Sie die folgenden Schritte aus:

1. Laden Sie das Azure Cloud HSM SDK von GitHub auf einem virtuellen Computer herunter, der eine Netzwerkkonnektivität mit Ihrem HSM aufweist, und installieren Sie es.

2. Initialisieren und konfigurieren Sie Ihr HSM, indem Sie die detaillierten Schritte im Azure Cloud HSM-Onboarding-Handbuch ausführen.

3. Richten Sie die Benutzerverwaltung mit geeigneten Kryptografiebeauftragten und Benutzern ein, wie in der Benutzerverwaltung in Azure Cloud HSM beschrieben.

4. Implementieren Sie geeignete Schlüsselverwaltungsmethoden, um eine optimale Sicherheit und Leistung zu gewährleisten, wie in der Schlüsselverwaltung in Azure Cloud HSM beschrieben.

Bereinigen von Ressourcen

Wenn Sie eine Ressourcengruppe ausschließlich für diese Schnellstartanleitung erstellt haben und diese Ressourcen nicht beibehalten müssen, können Sie die gesamte Ressourcengruppe löschen:

Remove-AzResourceGroup -Name $server.ResourceGroupName -Force

Fehlerbehebung bei häufigen Bereitstellungsproblemen

Wenn während der Bereitstellung Probleme auftreten:

• Ressourcennamenskonflikte: Stellen Sie sicher, dass der HSM-Name in der Region eindeutig ist. Wenn die Bereitstellung aufgrund eines Namenskonflikts fehlschlägt, versuchen Sie, einen anderen Namen zu verwenden.
• Netzwerkkonnektivitätsprobleme: Wenn Sie private Endpunkte verwenden, überprüfen Sie, ob Ihre VM über einen ordnungsgemäßen Netzwerkzugriff auf das HSM verfügt. Bewährte Methoden finden Sie unter Netzwerksicherheit für Azure Cloud HSM.
• Authentifizierungsfehler: Stellen Sie beim Initialisieren des HSM sicher, dass Sie das richtige Format für Anmeldeinformationen verwenden, wie in der Authentifizierung in Azure Cloud HSM beschrieben.
• Probleme mit verwalteter Identität: Wenn Sicherungsvorgänge fehlschlagen, überprüfen Sie, ob die verwaltete Identität ordnungsgemäß zugewiesen wurde und über die erforderlichen Berechtigungen verfügt.

Verwandte Inhalte

• Leitfaden für das Azure Cloud HSM-Onboarding
• Sichern und Wiederherstellen von Azure Cloud HSM-Ressourcen
• Sichern Ihrer Azure Cloud HSM-Bereitstellung
• Netzwerksicherheit für Azure Cloud HSM
• Bereitstellen von Azure Cloud HSM mithilfe des Azure-Portals