Azure 雲端 HSM 是高可用性的 FIPS 140-3 層級 3 驗證的單一租使用者服務,可讓您使用各種方法部署硬體安全性模組 (HSM)。 這些方法包括 Azure CLI、Azure PowerShell、Azure Resource Manager 範本(ARM 範本)、Terraform 或 Azure 入口網站。 本快速入門會引導您在 Azure 入口網站中完成部署程式。
先決條件
- 具有有效訂閱的 Azure 帳戶。 如果您沒有帳戶,請在開始之前建立 免費帳戶 。
- 在訂用帳戶中建立資源的適當權限,包括建立 HSM 資源和受控識別的能力。
- 針對生產環境,現有的虛擬網路和子網可用於設定 私人端點。
備註
如果您尚未準備好虛擬網路和子網,您仍然可以先建立 HSM,稍後再新增網路連線。 強烈建議您將私人端點用於生產環境,如 Azure 雲端 HSM 的網路安全性中所述。
建立 Azure 雲端 HSM 資源
若要透過 Azure 入口網站建立 Azure 雲端 HSM 資源:
登入 Azure 入口網站。
搜尋並選取 [Azure 雲端 HSM]。
選取 ,創建。
設定基本設定
在 [基本資訊] 索引標籤上:
選取您的 Azure 訂用帳戶。
選擇現有的資源群組或建立新群組。
我們建議您將雲端 HSM 資源部署在與相關用戶端虛擬網路和虛擬機 (VM) 資源不同的資源群組中。 此區隔可提供更佳的管理和安全性隔離。
指定 HSM 名稱、 區域和 Sku (產品層) 值。
HSM 名稱必須是唯一的。 如果您指定已存在於所選取區域中的 HSM 資源名稱,您的部署將會失敗。
保留預設網域名稱重複使用設定為租戶重複使用。 此設定有助於防止惡意的子域名接管,並確保完整網域名稱(FQDN)僅能在您的租用戶中重複使用。
設定受控識別 (選擇性)
在 [ 受控識別 ] 索引標籤上,考慮下列選項:
無身分識別:如果您不打算使用備份和還原作業,請選取此選項。
根據預設,Azure Cloud HSM 會設定為 [無身分識別 ],因為它主要使用密碼型驗證,而使用者管理會直接在 HSM 上處理。 不過,針對備份和還原作業,您需要受控識別。
![[識別設定] 索引標籤的螢幕快照,其中顯示針對 Cloud HSM 選取的預設 [無身分識別] 選項。](media/cloud-hsm-portal-3.png)
User-Assigned 身分識別:建議您針對商務持續性和災害復原 (BCDR) 選取此選項。 每個雲端 HSM 叢集只能有一個受控識別,但您可以針對多個 HSM 使用相同的受控識別,或指派不同的受控識別。
![識別組態索引標籤的螢幕快照,其中顯示針對雲端 HSM 備份和還原作業選取的 [User-Assigned 身分識別] 選項。](media/cloud-hsm-portal-4.png)
![[識別設定] 索引標籤的螢幕快照,其中顯示針對 Cloud HSM 選取的預設 [無身分識別] 選項。](media/cloud-hsm-portal-3.png#lightbox)
![識別組態索引標籤的螢幕快照,其中顯示針對雲端 HSM 備份和還原作業選取的 [User-Assigned 身分識別] 選項。](media/cloud-hsm-portal-4.png#lightbox)
如需設定使用者指派的身分識別以進行備份和還原作業的詳細指示,請參閱 套用受控識別並建立記憶體帳戶。
設定網路
若要安全連線,請建立 Azure Cloud HSM 的私人端點。 這項工作需要現有的虛擬網路。
在 [網路功能] 索引標籤上:
選取包含您虛擬網路的訂用帳戶。
選取您的虛擬網路和子網。
視需要設定網域名稱系統(DNS)整合設定。
小提示
私人端點對於安全性至關重要。 它們可透過私人連結安全地連線到 Azure Cloud HSM。 這些連線可確保虛擬網路與服務之間的流量會周遊Microsoft骨幹網路。 此設定可排除公開因特網的風險,如 Azure 雲端 HSM 的網路安全性中所述。
新增標籤 (選用)
標籤是名稱/值組,可協助您整理及分類資源以進行管理和報告。 在 [標籤] 索引標籤頁上,您可以輸入詳細資料以建立標籤。 此步驟是選擇性的,但建議用於資源組織,特別是在企業環境中。
部署雲端 HSM 資源
在 [ 檢閱 + 提交 ] 索引標籤上:
檢閱所有 HSM 詳細數據,包括受控識別和網路設定。
選取 [建立] 以開始布建 Azure 雲端 HSM 資源。
![Azure 入口網站的螢幕快照,其中顯示用於檢閱資源詳細數據的索引標籤,以及 [建立] 按鈕。](media/cloud-hsm-portal-7.png#lightbox)
入口網站會在建立資源時顯示 部署正在進行 中。 當部署完成時,入口網站會顯示 您的部署已完成。
初始化及設定您的 HSM
您無法透過入口網站啟用或設定 Azure Cloud HSM。 您必須使用 Azure 雲端 HSM SDK 和用戶端工具。
部署雲端 HSM 資源之後,請遵循下列步驟:
在具有 HSM 網路連線的 VM 上,從 GitHub 下載並安裝 Azure Cloud HSM SDK。
遵循 Azure 雲端 HSM 上線指南中的詳細步驟,初始化和設定 HSM。
使用適當的密碼編譯官員和使用者建立使用者管理,如 Azure Cloud HSM 中的使用者管理中所述。
實作適當的密鑰管理做法,以協助確保最佳安全性和效能,如 Azure 雲端 HSM 中的密鑰管理中所述。
清理資源
如果您只針對本快速入門建立了資源群組,而且不需要保留這些資源,您可以刪除整個資源群組:
在 Azure 入口網站中,移至包含雲端 HSM 資源的資源群組。
選取 [刪除資源群組]。
輸入資源組名以確認刪除,然後選取 [ 刪除]。
針對常見的部署問題進行疑難解答
如果您在部署期間遇到問題:
- 資源名稱衝突:確定您的 HSM 名稱在區域中是唯一的。 如果部署因命名衝突而失敗,請嘗試不同的名稱。
- 網路連線問題:確定您的 VM 有適當的 HSM 網路存取權。 如需最佳做法,請檢閱 Azure 雲端 HSM 的網路安全性。
- 驗證失敗:確認您使用正確的認證格式,如 Azure 雲端 HSM 中的驗證中所述。
- 用戶端連線錯誤:檢查 Azure 雲端 HSM 用戶端是否正在執行並正確設定。 如需 Azure 雲端 HSM 的常見客戶端連線問題解決方法,請參閱 疑難排解指南。