Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Cloud HSM es un servicio de un solo inquilino validado por FIPS 140-3 de alta disponibilidad que permite implementar módulos de seguridad de hardware (HSM) mediante varios métodos. Estos métodos incluyen la CLI de Azure, Azure PowerShell, plantillas de Azure Resource Manager (plantillas de ARM), Terraform o Azure Portal. Este inicio rápido le guía por el proceso de implementación en Azure PowerShell.
Prerrequisitos
- Una cuenta de Azure con una suscripción activa. Si no tienes una, crea una cuenta gratuita antes de empezar.
- La versión más reciente de Azure PowerShell instalada.
- Permisos adecuados para crear recursos en la suscripción, incluidos los recursos de HSM.
- En entornos de producción, una red virtual y una subred existentes para configurar puntos de conexión privados.
Creación de una instancia de Azure Cloud HSM
El código de ejemplo siguiente crea un grupo de recursos y una instancia de HSM en la nube. Debe actualizar la suscripción, el grupo de recursos, la ubicación y el nombre de HSM para que coincidan con el entorno.
Importante
El nombre del HSM debe ser único. Si especifica un nombre de HSM que ya existe en la región elegida, se producirá un error en la implementación.
# Define variables for your Cloud HSM deployment
$server = @{
Location = "<RegionName>"
Sku = @{"family" = "B"; "Name" = "Standard_B1" }
ResourceName = "<HSMName>"
ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
ResourceGroupName = "<ResourceGroupName>"
Force = $true
}
# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force
# Create an HSM cluster
New-AzResource @server -AsJob -Verbose
Nota:
Se recomienda implementar los recursos de HSM en la nube en un grupo de recursos independiente de la red virtual de cliente relacionada y los recursos de máquina virtual (VM). El uso de un grupo de recursos independiente proporciona una mejor administración y aislamiento de seguridad.
Configuración de una identidad administrada (opcional)
Para las operaciones de copia de seguridad y restauración en Azure Cloud HSM, debe crear una identidad administrada asignada por el usuario. Esta identidad se usa para transferir copias de seguridad de HSM en la nube a la cuenta de almacenamiento designada en escenarios de continuidad empresarial y recuperación ante desastres (BCDR).
Si tiene previsto usar la funcionalidad de copia de seguridad y restauración, puede crear y configurar una identidad administrada mediante los siguientes comandos de Azure PowerShell:
# Define parameters for the new managed identity
$identity = @{
Location = "<RegionName>"
ResourceName = "<ManagedIdentityName>"
ResourceGroupName = "<ResourceGroupName>"
}
# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location
# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id
# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
Sku = @{
Family = "B"
Name = "Standard_B1"
}
Location = $server.Location
Identity = @{
type = "UserAssigned"
userAssignedIdentities = @{
"/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
}
}
} | ConvertTo-Json -Depth 4
# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"
# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch
Para obtener instrucciones detalladas sobre cómo configurar las operaciones de copia de seguridad y restauración, consulte Copia de seguridad y restauración de los recursos de Azure Cloud HSM.
Configuración de las redes
Para entornos de producción, se recomienda encarecidamente configurar un punto de conexión privado para la implementación de HSM en la nube para ayudar a garantizar la comunicación segura. Puede usar los siguientes comandos de Azure PowerShell para crear un punto de conexión privado:
# Define private endpoint parameters
$privateEndpoint = @{
Name = "<PrivateEndpointName>"
ResourceGroupName = $server.ResourceGroupName
Location = $server.Location
Subnet = $subnet # You need to have $subnet defined with your subnet configuration
PrivateLinkServiceConnection = @{
Name = "$($server.ResourceName)-connection"
PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
GroupId = "cloudhsmclusters"
}
}
# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint
Sugerencia
Los puntos de conexión privados son cruciales para la seguridad. Habilitan conexiones seguras a la instancia de Azure Cloud HSM a través de un vínculo privado. Estas conexiones garantizan que el tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft. Esta configuración elimina la exposición a la red pública de Internet, como se describe en Seguridad de red para Azure Cloud HSM.
Implementación del recurso HSM en la nube
Al ejecutar el New-AzResource comando con el -AsJob parámetro , crea un trabajo en segundo plano para implementar el recurso HSM en la nube. Para comprobar el estado de la implementación, ejecute lo siguiente:
Get-Job -Id <JobId> | Receive-Job
En el comando anterior, <JobId> es el identificador que devolvió el sistema cuando ejecutó el New-AzResource comando.
La implementación se completa cuando ve un resultado correcto del trabajo o cuando puede comprobar que el recurso existe en la suscripción de Azure.
Inicialización y configuración del HSM
No puede realizar la activación y configuración de Azure Cloud HSM directamente a través de Azure PowerShell. Necesita el SDK y las herramientas de cliente de Azure Cloud HSM.
Después de implementar el recurso HSM en la nube mediante Azure PowerShell, siga estos pasos:
Descargue e instale el SDK de Azure Cloud HSM desde GitHub en una máquina virtual que tenga conectividad de red con el HSM.
Inicialice y configure el HSM siguiendo los pasos detallados de la guía de incorporación de HSM en la nube de Azure.
Establezca la administración de usuarios con los oficiales de criptografía y los usuarios adecuados, tal como se describe en Administración de usuarios en Azure Cloud HSM.
Implemente procedimientos de administración de claves adecuados para ayudar a garantizar una seguridad y un rendimiento óptimos, como se describe en Administración de claves en Azure Cloud HSM.
Limpieza de recursos
Si ha creado un grupo de recursos únicamente para esta guía de inicio rápido y no necesita mantener estos recursos, puede eliminar todo el grupo de recursos:
Remove-AzResourceGroup -Name $server.ResourceGroupName -Force
Solución de problemas comunes de implementación
Si tiene problemas durante la implementación:
- Conflictos de nombres de recursos: asegúrese de que el nombre del HSM sea único en la región. Si se produce un error en la implementación con un conflicto de nomenclatura, pruebe con otro nombre.
- Problemas de conectividad de red: si usa puntos de conexión privados, compruebe que la máquina virtual tiene acceso de red adecuado al HSM. Para conocer los procedimientos recomendados, consulte Seguridad de red para Azure Cloud HSM.
- Errores de autenticación: al inicializar el HSM, asegúrese de usar el formato correcto para las credenciales, tal como se detalla en Autenticación en Azure Cloud HSM.
- Problemas de identidad administrada: si se produce un error en las operaciones de copia de seguridad, compruebe que la identidad administrada se asignó correctamente y que tiene los permisos necesarios.