Szybki start: wdrażanie modułu HSM w chmurze platformy Azure przy użyciu programu Azure PowerShell

Moduł HSM w chmurze platformy Azure to wysoce dostępna usługa FIPS 140-3 poziom 3, która umożliwia wdrażanie sprzętowych modułów zabezpieczeń (HSM) przy użyciu różnych metod. Te metody obejmują interfejs wiersza polecenia platformy Azure, program Azure PowerShell, szablony usługi Azure Resource Manager (szablony usługi ARM), program Terraform lub witrynę Azure Portal. Ten przewodnik Szybki start przeprowadzi Cię przez proces wdrażania w programie Azure PowerShell.

Wymagania wstępne

• Konto Azure z aktywną subskrypcją. Jeśli go nie masz, przed rozpoczęciem utwórz bezpłatne konto .
• Zainstalowano najnowszą wersję programu Azure PowerShell .
• Odpowiednie uprawnienia do tworzenia zasobów w ramach subskrypcji, w tym zasobów modułu HSM.
• W przypadku środowisk produkcyjnych istniejąca sieć wirtualna i podsieć do konfigurowania prywatnych punktów końcowych.

Utwórz wystąpienie modułu HSM w chmurze Azure

Poniższy przykładowy kod tworzy grupę zasobów i wystąpienie modułu HSM w chmurze. Musisz zaktualizować subskrypcję, grupę zasobów, lokalizację i nazwę modułu HSM, aby pasować do danego środowiska.

# Define variables for your Cloud HSM deployment
$server = @{
    Location = "<RegionName>"
    Sku = @{"family" = "B"; "Name" = "Standard_B1" }
    ResourceName = "<HSMName>"
    ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
    ResourceGroupName = "<ResourceGroupName>"
    Force = $true
}

# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force

# Create an HSM cluster
New-AzResource @server -AsJob -Verbose

Konfigurowanie tożsamości zarządzanej (opcjonalnie)

W przypadku operacji tworzenia kopii zapasowych i przywracania w module HSM w chmurze platformy Azure należy utworzyć tożsamość zarządzaną przypisaną przez użytkownika. Ta tożsamość jest używana do przenoszenia kopii zapasowych Cloud HSM do przeznaczonego konta przechowywania w scenariuszach dotyczących ciągłości działania i odzyskiwania po awarii (BCDR).

Jeśli planujesz używać funkcji tworzenia i przywracania kopii zapasowych, możesz utworzyć i skonfigurować tożsamość zarządzaną przy użyciu następujących poleceń programu Azure PowerShell:

# Define parameters for the new managed identity
$identity = @{
    Location          = "<RegionName>"                                         
    ResourceName      = "<ManagedIdentityName>"                                         
    ResourceGroupName = "<ResourceGroupName>"
}

# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location

# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id

# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
    Sku = @{
        Family = "B"
        Name = "Standard_B1"
    }
    Location = $server.Location
    Identity = @{
        type = "UserAssigned"
        userAssignedIdentities = @{
            "/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
        }
    }
} | ConvertTo-Json -Depth 4

# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"

# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch

Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania operacji tworzenia kopii zapasowych i przywracania, zobacz Tworzenie kopii zapasowych i przywracanie zasobów modułu HSM w chmurze platformy Azure.

Skonfiguruj sieć

W środowiskach produkcyjnych zdecydowanie zalecamy skonfigurowanie prywatnego punktu końcowego dla wdrożenia modułu HSM w chmurze, aby zapewnić bezpieczną komunikację. Do utworzenia prywatnego punktu końcowego można użyć następujących poleceń programu Azure PowerShell:

# Define private endpoint parameters
$privateEndpoint = @{
    Name = "<PrivateEndpointName>"
    ResourceGroupName = $server.ResourceGroupName
    Location = $server.Location
    Subnet = $subnet # You need to have $subnet defined with your subnet configuration
    PrivateLinkServiceConnection = @{
        Name = "$($server.ResourceName)-connection"
        PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
        GroupId = "cloudhsmclusters"
    }
}

# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint

Wdrażanie zasobu modułu HSM w chmurze

Po uruchomieniu polecenia New-AzResource z parametrem -AsJob tworzone jest zadanie w tle, aby wdrożyć zasób HSM w chmurze. Stan wdrożenia można sprawdzić, uruchamiając:

Get-Job -Id <JobId> | Receive-Job

W poprzednim poleceniu <JobId> to identyfikator, który system zwrócił po uruchomieniu polecenia New-AzResource.

Wdrożenie zostanie ukończone po wyświetleniu pomyślnego wyniku zadania lub sprawdzeniu, czy zasób istnieje w ramach subskrypcji platformy Azure.

Inicjowanie i konfigurowanie modułu HSM

Nie można wykonać aktywacji i konfiguracji modułu HSM w chmurze platformy Azure bezpośrednio za pomocą programu Azure PowerShell. Potrzebujesz zestawu SDK modułu HSM w chmurze platformy Azure i narzędzi klienckich.

Po wdrożeniu zasobu modułu HSM w chmurze za pomocą programu Azure PowerShell wykonaj następujące kroki:

1. Pobierz i zainstaluj zestaw SDK modułu HSM w chmurze platformy Azure z usługi GitHub na maszynie wirtualnej, która ma łączność sieciową z modułem HSM.

2. Zainicjuj i skonfiguruj moduł HSM, wykonując szczegółowe kroki opisane w przewodniku dołączania modułu HSM w chmurze platformy Azure.

3. Ustanów zarządzanie użytkownikami z odpowiednimi oficerami kryptografii i użytkownikami, zgodnie z opisem w Zarządzanie użytkownikami w module HSM w chmurze Azure.

4. Zaimplementuj odpowiednie rozwiązania w zakresie zarządzania kluczami, aby zapewnić optymalne zabezpieczenia i wydajność zgodnie z opisem w temacie Zarządzanie kluczami w module HSM w chmurze platformy Azure.

Uprzątnij zasoby

Jeśli utworzono grupę zasobów wyłącznie na potrzeby tego przewodnika Szybki start i nie musisz przechowywać tych zasobów, możesz usunąć całą grupę zasobów:

Remove-AzResourceGroup -Name $server.ResourceGroupName -Force

Rozwiązywanie typowych problemów z wdrażaniem

Jeśli podczas wdrażania wystąpią problemy:

• Konflikty nazw zasobów: upewnij się, że nazwa modułu HSM jest unikatowa w regionie. Jeśli wdrożenie zakończy się niepowodzeniem z powodu konfliktu nazewnictwa, spróbuj użyć innej nazwy.
• Problemy z łącznością sieciową: jeśli używasz prywatnych punktów końcowych, sprawdź, czy maszyna wirtualna ma odpowiedni dostęp sieciowy do modułu HSM. Aby uzyskać najlepsze rozwiązania, zobacz Zabezpieczenia sieci dla modułu HSM w chmurze platformy Azure.
• Błędy uwierzytelniania: podczas inicjowania modułu HSM upewnij się, że używasz poprawnego formatu dla poświadczeń, zgodnie z opisem w temacie Authentication in Azure Cloud HSM (Uwierzytelnianie w module HSM w chmurze platformy Azure).
• Problemy z tożsamością zarządzaną: jeśli operacje tworzenia kopii zapasowej kończą się niepowodzeniem, sprawdź, czy tożsamość zarządzana została prawidłowo przypisana i ma niezbędne uprawnienia.

Treści powiązane

• Przewodnik dołączania modułu HSM w chmurze platformy Azure
• Tworzenie kopii zapasowych i przywracanie zasobów modułu HSM w chmurze platformy Azure
• Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure
• Zabezpieczenia sieci dla modułu HSM w chmurze platformy Azure
• Wdrażanie modułu HSM w chmurze platformy Azure przy użyciu witryny Azure Portal