Compartilhar via

Início Rápido: Implantar o HSM da Nuvem do Azure usando o Azure PowerShell

O Azure Cloud HSM é um serviço de locatário único validado fips 140-3 nível 3 altamente disponível que permite implantar HSMs (módulos de segurança de hardware) usando vários métodos. Esses métodos incluem a CLI do Azure, o Azure PowerShell, os modelos do ARM (modelos do Azure Resource Manager), o Terraform ou o portal do Azure. Este guia de início rápido orienta você pelo processo de implantação no Azure PowerShell.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta gratuita antes de começar.
  • A versão mais recente do Azure PowerShell instalada.
  • Permissões apropriadas para criar recursos em sua assinatura, incluindo recursos do HSM.
  • Para ambientes de produção, uma rede virtual e uma sub-rede existentes para a configuração de pontos de extremidade privados.

Criar uma instância do Azure Cloud HSM

O código de exemplo a seguir cria um grupo de recursos e uma instância de HSM na nuvem. Você precisa atualizar a assinatura, o grupo de recursos, o local e o nome do HSM para corresponder ao seu ambiente.

Importante

O nome do HSM deve ser exclusivo. Se você especificar um nome HSM que já existe na região escolhida, sua implantação falhará.

# Define variables for your Cloud HSM deployment
$server = @{
    Location = "<RegionName>"
    Sku = @{"family" = "B"; "Name" = "Standard_B1" }
    ResourceName = "<HSMName>"
    ResourceType = "microsoft.hardwaresecuritymodules/cloudHsmClusters"
    ResourceGroupName = "<ResourceGroupName>"
    Force = $true
}

# Create an HSM cluster resource group
New-AzResourceGroup -Name $server.ResourceGroupName -Location $server.Location -Force

# Create an HSM cluster
New-AzResource @server -AsJob -Verbose

Observação

Recomendamos que você implante seus recursos de HSM na nuvem em um grupo de recursos separado dos recursos da VM (rede virtual) do cliente relacionado. O uso de um grupo de recursos separado fornece melhor gerenciamento e isolamento de segurança.

Configurar uma identidade gerenciada (opcional)

Para operações de backup e restauração no HSM de Nuvem do Azure, você precisa criar uma identidade gerenciada atribuída pelo usuário. Essa identidade é usada para transferir backups de HSM de nuvem para sua conta de armazenamento designada em cenários de BCDR (continuidade de negócios e recuperação de desastre).

Se você planeja usar a funcionalidade de backup e restauração, pode criar e configurar uma identidade gerenciada usando os seguintes comandos do Azure PowerShell:

# Define parameters for the new managed identity
$identity = @{
    Location          = "<RegionName>"                                         
    ResourceName      = "<ManagedIdentityName>"                                         
    ResourceGroupName = "<ResourceGroupName>"
}

# Create a new user-assigned managed identity
New-AzUserAssignedIdentity -Name $identity.ResourceName -ResourceGroupName $identity.ResourceGroupName -Location $identity.Location

# Get the subscription ID
$subscriptionId = (Get-AzContext).Subscription.Id

# Define the Cloud HSM managed identity's patch payload
$chsmMSIPatch = @{
    Sku = @{
        Family = "B"
        Name = "Standard_B1"
    }
    Location = $server.Location
    Identity = @{
        type = "UserAssigned"
        userAssignedIdentities = @{
            "/subscriptions/$subscriptionId/resourcegroups/$($identity.ResourceGroupName)/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$($identity.ResourceName)" = @{}
        }
    }
} | ConvertTo-Json -Depth 4

# Construct the URI for the Cloud HSM resource
$resourceURI = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)?api-version=2025-03-31"

# Update the Cloud HSM resource with the managed identity
Invoke-AzRestMethod -Path $resourceURI -Method Put -Payload $chsmMSIPatch

Para obter instruções detalhadas sobre como configurar operações de backup e restauração, consulte Fazer backup e restaurar recursos do HSM na Nuvem do Azure.

Configurar a rede

Para ambientes de produção, é altamente recomendável configurar um ponto de extremidade privado para sua implantação de HSM na nuvem para ajudar a garantir a comunicação segura. Você pode usar os seguintes comandos do Azure PowerShell para criar um ponto de extremidade privado:

# Define private endpoint parameters
$privateEndpoint = @{
    Name = "<PrivateEndpointName>"
    ResourceGroupName = $server.ResourceGroupName
    Location = $server.Location
    Subnet = $subnet # You need to have $subnet defined with your subnet configuration
    PrivateLinkServiceConnection = @{
        Name = "$($server.ResourceName)-connection"
        PrivateLinkServiceId = "/subscriptions/$subscriptionId/resourceGroups/$($server.ResourceGroupName)/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/$($server.ResourceName)"
        GroupId = "cloudhsmclusters"
    }
}

# Create the private endpoint
New-AzPrivateEndpoint @privateEndpoint

Dica

Pontos de extremidade privados são cruciais para a segurança. Eles habilitam conexões seguras para sua instância do HSM de Nuvem do Azure por meio de um link privado. Essas conexões garantem que o tráfego entre sua rede virtual e o serviço percorra a rede de backbone da Microsoft. Essa configuração elimina a exposição à Internet pública, conforme descrito na segurança de rede do Azure Cloud HSM.

Implantar seu recurso de HSM na nuvem

Quando você executa o New-AzResource comando com o -AsJob parâmetro, ele cria um trabalho em segundo plano para implantar seu recurso de HSM na nuvem. Você pode verificar o status da implantação executando:

Get-Job -Id <JobId> | Receive-Job

No comando anterior, <JobId> está a ID que o sistema retornou quando você executou o New-AzResource comando.

A implantação é concluída quando você vê um resultado bem-sucedido do trabalho ou quando pode verificar se o recurso existe em sua assinatura do Azure.

Inicializar e configurar seu HSM

Você não pode realizar a ativação e a configuração do Azure Cloud HSM diretamente por meio do Azure PowerShell. Você precisa do SDK do HSM na Nuvem do Azure e das ferramentas de cliente.

Depois de implantar seu recurso de HSM na Nuvem por meio do Azure PowerShell, siga estas etapas:

  1. Baixe e instale o SDK do HSM do Azure Cloud do GitHub em uma VM que tenha conectividade de rede com seu HSM.

  2. Inicialize e configure seu HSM seguindo as etapas detalhadas no guia de integração do Azure Cloud HSM.

  3. Estabeleça o gerenciamento de usuários com os oficiais e usuários de criptografia apropriados, conforme descrito no gerenciamento de usuários no Azure Cloud HSM.

  4. Implemente as práticas de gerenciamento de chaves adequadas para ajudar a garantir a segurança e o desempenho ideais, conforme descrito no gerenciamento de chaves no HSM de Nuvem do Azure.

Limpar os recursos

Se você criou um grupo de recursos exclusivamente para este início rápido e não precisa manter esses recursos, poderá excluir todo o grupo de recursos:

Remove-AzResourceGroup -Name $server.ResourceGroupName -Force

Solucionar problemas comuns de implantação

Se você encontrar problemas durante a implantação:

  • Conflitos de nome de recurso: verifique se o nome do HSM é exclusivo na região. Se a implantação falhar com um conflito de nomenclatura, tente um nome diferente.
  • Problemas de conectividade de rede: se você estiver usando pontos de extremidade privados, verifique se sua VM tem acesso de rede adequado ao HSM. Para consultar as práticas recomendadas, veja Segurança de rede para o HSM de Nuvem do Azure.
  • Falhas de autenticação: ao inicializar o HSM, certifique-se de usar o formato correto para credenciais, conforme detalhado na Autenticação no HSM da Nuvem do Azure.
  • Problemas de identidade gerenciada: se as operações de backup falharem, verifique se a identidade gerenciada foi atribuída corretamente e se tem as permissões necessárias.

Conteúdo relacionado

  • Last updated on