Démarrage rapide : Déployer Azure Cloud HSM à l’aide d’Azure PowerShell

Azure Cloud HSM est un service à locataire unique validé FIPS 140-3 de niveau 3 hautement disponible qui vous permet de déployer des modules de sécurité matériels (HSM) à l’aide de différentes méthodes. Ces méthodes incluent Azure CLI, Azure PowerShell, les modèles Azure Resource Manager (modèles ARM), Terraform ou le portail Azure. Ce guide de démarrage rapide vous guide tout au long du processus de déploiement dans Azure PowerShell.

Conditions préalables

• Un compte Azure avec un abonnement actif. Si vous n’en avez pas, créez un compte gratuit avant de commencer.
• Dernière version d’Azure PowerShell installée.
• Autorisations appropriées pour créer des ressources dans votre abonnement, y compris les ressources HSM.
• Pour les environnements de production, un réseau virtuel et un sous-réseau existants pour la configuration des points de terminaison privés.

Créer une instance Azure Cloud HSM

L’exemple de code suivant crée un groupe de ressources et une instance HSM cloud. Vous devez mettre à jour l’abonnement, le groupe de ressources, l’emplacement et le nom HSM pour qu’il corresponde à votre environnement.

# Define variables for your Cloud HSM deployment
$server = @{
    Location = "<RegionName>"
    Sku = @{"family" = "B"; "Name" = "Standard_B1" }
    ResourceName = "<HSMName>"
    ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
    ResourceGroupName = "<ResourceGroupName>"
    Force = $true
}

# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force

# Create an HSM cluster
New-AzResource @server -AsJob -Verbose

Configurer une identité managée (facultatif)

Pour les opérations de sauvegarde et de restauration dans Azure Cloud HSM, vous devez créer une identité managée affectée par l’utilisateur. Cette identité est utilisée pour transférer des sauvegardes HSM cloud vers votre compte de stockage désigné dans les scénarios de continuité d’activité et de récupération d’urgence (BCDR).

Si vous envisagez d’utiliser la fonctionnalité de sauvegarde et de restauration, vous pouvez créer et configurer une identité managée à l’aide des commandes Azure PowerShell suivantes :

# Define parameters for the new managed identity
$identity = @{
    Location          = "<RegionName>"                                         
    ResourceName      = "<ManagedIdentityName>"                                         
    ResourceGroupName = "<ResourceGroupName>"
}

# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location

# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id

# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
    Sku = @{
        Family = "B"
        Name = "Standard_B1"
    }
    Location = $server.Location
    Identity = @{
        type = "UserAssigned"
        userAssignedIdentities = @{
            "/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
        }
    }
} | ConvertTo-Json -Depth 4

# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"

# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch

Pour obtenir des instructions détaillées sur la configuration des opérations de sauvegarde et de restauration, consultez Sauvegarde et restauration des ressources HSM Cloud Azure.

Configurer la mise en réseau

Pour les environnements de production, nous vous recommandons vivement de configurer un point de terminaison privé pour votre déploiement HSM cloud afin de garantir une communication sécurisée. Vous pouvez utiliser les commandes Azure PowerShell suivantes pour créer un point de terminaison privé :

# Define private endpoint parameters
$privateEndpoint = @{
    Name = "<PrivateEndpointName>"
    ResourceGroupName = $server.ResourceGroupName
    Location = $server.Location
    Subnet = $subnet # You need to have $subnet defined with your subnet configuration
    PrivateLinkServiceConnection = @{
        Name = "$($server.ResourceName)-connection"
        PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
        GroupId = "cloudhsmclusters"
    }
}

# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint

Déployer votre ressource HSM cloud

Lorsque vous exécutez la New-AzResource commande avec le -AsJob paramètre, elle crée un travail en arrière-plan pour déployer votre ressource HSM cloud. Vous pouvez vérifier l’état du déploiement en exécutant :

Get-Job -Id <JobId> | Receive-Job

Dans la commande précédente, <JobId> est l’ID retourné par le système lorsque vous avez exécuté la New-AzResource commande.

Le déploiement est terminé lorsque vous voyez un résultat réussi du travail ou lorsque vous pouvez vérifier que la ressource existe dans votre abonnement Azure.

Initialiser et configurer votre HSM

Vous ne pouvez pas effectuer directement l’activation et la configuration du HSM Azure Cloud via Azure PowerShell. Vous avez besoin du Kit de développement logiciel (SDK) Azure Cloud HSM et des outils clients.

Après avoir déployé votre ressource HSM cloud via Azure PowerShell, procédez comme suit :

1. Téléchargez et installez le SDK Azure Cloud HSM à partir de GitHub sur une machine virtuelle qui dispose d’une connectivité réseau à votre HSM.

2. Initialisez et configurez votre HSM en suivant les étapes détaillées du guide d’intégration du HSM Cloud Azure.

3. Établissez la gestion des utilisateurs avec les agents de chiffrement et les utilisateurs appropriés, comme décrit dans gestion des utilisateurs dans Azure Cloud HSM.

4. Implémentez des pratiques de gestion de clés appropriées pour garantir une sécurité et des performances optimales, comme indiqué dans la gestion des clés dans azure Cloud HSM.

Nettoyer les ressources

Si vous avez créé un groupe de ressources uniquement pour ce guide de démarrage rapide et que vous n’avez pas besoin de conserver ces ressources, vous pouvez supprimer l’ensemble du groupe de ressources :

Remove-AzResourceGroup -Name $server.ResourceGroupName -Force

Résoudre les problèmes de déploiement courants

Si vous rencontrez des problèmes pendant le déploiement :

• Conflits de nom de ressource : vérifiez que votre nom HSM est unique dans la région. Si le déploiement échoue à cause d'un conflit de nommage, utilisez un autre nom.
• Problèmes de connectivité réseau : si vous utilisez des points de terminaison privés, vérifiez que votre machine virtuelle dispose d’un accès réseau approprié au HSM. Pour obtenir les meilleures pratiques, consultez Sécurité réseau pour azure Cloud HSM.
• Échecs d’authentification : lorsque vous initialisez le HSM, veillez à utiliser le format approprié pour les informations d’identification, comme détaillé dans l’authentification dans Azure Cloud HSM.
• Problèmes d’identité managée : si les opérations de sauvegarde échouent, vérifiez que l’identité managée a été correctement affectée et dispose des autorisations nécessaires.

Contenu connexe

• Guide d’intégration du HSM cloud Azure
• Sauvegarder et restaurer des ressources HSM Cloud Azure
• Sécuriser votre déploiement HSM Cloud Azure
• Sécurité réseau pour azure Cloud HSM
• Déployer azure Cloud HSM à l’aide du portail Azure