Inicio rápido: Aprovisionamiento y activación de un HSM administrado mediante CLI de Azure

En este inicio rápido, usará CLI de Azure para crear y activar un HSM administrado de Azure Key Vault (módulo de seguridad de hardware). Managed HSM es un servicio en la nube totalmente administrado, de alta disponibilidad, de un solo inquilino y compatible con estándares que permite proteger las claves criptográficas para las aplicaciones en la nube, mediante HSM validados por FIPS 140-3 de nivel 3 . Para más información sobre HSM administrado, consulte La información general.

Requisitos previos

Se requiere una suscripción Azure. Si no tienes una, crea una cuenta gratuita antes de empezar.

También necesita lo siguiente:

• CLI de Azure versión 2.25.0 o posterior. Ejecute az --version para encontrar la versión. Si necesita instalar o actualizar, consulte Instalar el CLI de Azure.

Azure Cloud Shell

Azure hospeda Azure Cloud Shell, un entorno de shell interactivo que puede usar a través del explorador. Puede usar Bash o PowerShell con Cloud Shell para trabajar con servicios de Azure. Puede usar los comandos Cloud Shell preinstalados para ejecutar el código de este artículo, sin tener que instalar nada en el entorno local.

Para iniciar Azure Cloud Shell:

Opción	Ejemplo o vínculo
Seleccione Pruébelo en la esquina superior derecha de un bloque de código o de comandos. Al seleccionar Try It no se copia automáticamente el código ni el comando en Cloud Shell.
Vaya a https://shell.azure.com o seleccione el botón Launch Cloud Shell para abrir Cloud Shell en el explorador.
Seleccione el botón Cloud Shell en la barra de menús de la parte superior derecha del portal Azure.

Para usar Azure Cloud Shell:

1. Inicie Cloud Shell.

2. Seleccione el botón Copiar en un bloque de código (o bloque de comandos) para copiar el código o comando.

3. Pegue el código o comando en la sesión de Cloud Shell seleccionando Ctrl+Shift+V en Windows y Linux, o seleccionando Cmd+Shift+V en macOS.

4. Seleccione Enter para ejecutar el código o comando.

Iniciar sesión en Azure

Para iniciar sesión en Azure mediante la CLI, escriba:

az login

Para obtener más información sobre las opciones de autenticación a través de la CLI, consulte Sign in with CLI de Azure.

Crear un grupo de recursos

Un grupo de recursos es un contenedor lógico en el que los recursos de Azure se despliegan y administran. Utilice el comando az group create para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus.

az group create --name "myResourceGroup" --location "EastUS"

Creación de un HSM administrado

La creación de un HSM administrado es un proceso que se compone de dos pasos:

1. Aprovisionar un recurso HSM gestionado.
2. Activar el HSM administrado mediante la descarga de un artefacto denominado el dominio de seguridad.

Aprovisionar un HSM administrado

Use el comando az keyvault create para crear un HSM administrado. Este script tiene tres parámetros obligatorios: un nombre de grupo de recursos, un nombre de HSM y la ubicación geográfica.

Para crear un recurso HSM administrado, proporcione las siguientes entradas:

• Nombre de HSM administrado: una cadena de 3 a 24 caracteres que solo puede contener números (0-9), letras (a-z, A-Z) y guiones (-).

  Importante

  Cada HSM administrado debe tener un nombre único. Reemplace <hsm-name> por su propio nombre único de HSM administrado en los ejemplos siguientes.

• Nombre del grupo de recursos: myResourceGroup.

• Ubicación: EastUS.

• Una lista de administradores iniciales.

En el ejemplo siguiente se crea un HSM denominado <hsm-name> en el grupo de recursos myResourceGroup, que reside en la ubicación EastUS , con el usuario que ha iniciado sesión actual como el único administrador y un período de retención de 7 días para la eliminación temporal. Seguirá pagando por el HSM administrado hasta que se purgue en un ciclo de eliminación temporal. Para más información, consulte Protección contra purga y eliminación temporal de HSM administrados y lea más sobre Eliminación temporal de HSM administrados.

oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7

La salida de este comando muestra las propiedades del HSM administrado que creó. Las dos propiedades más importantes son:

• name: nombre que especificó. Tú usas este nombre para otros comandos.
• hsmUri: el URI del HSM (por ejemplo, https://<hsm-name>.managedhsm.azure.net). Las aplicaciones que utilizan el HSM a través de su API REST deben usar este identificador URI.

La cuenta de Azure ahora está autorizada para realizar cualquier operación en este HSM administrado. Hasta ahora, nadie más está autorizado.

Activación de un HSM administrado

Todos los comandos del plano de datos se deshabilitan hasta que se activa el HSM. No se pueden crear claves ni asignar roles. Solo los administradores designados que asigne durante el comando create pueden activar el HSM. Para activar el HSM, debe descargar el dominio de seguridad.

Para activar el HSM necesita:

• Un mínimo de tres pares de claves RSA (máximo 10)
• Número mínimo de claves necesarias para descifrar el dominio de seguridad (denominado cuórum)

Envíe al menos tres (máximo 10) claves públicas RSA al HSM. El HSM cifra el dominio de seguridad con estas claves y lo devuelve. Una vez que la descarga del dominio de seguridad se complete correctamente, el HSM estará listo para usarse. También debe especificar el cuórum, que es el número mínimo de claves privadas necesarias para descifrar el dominio de seguridad.

En el ejemplo siguiente se muestra cómo usar openssl para generar tres certificados autofirmados:

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

La fecha de expiración del certificado no afecta a las operaciones de dominio de seguridad, incluso se puede usar un certificado "expirado" para restaurar el dominio de seguridad.

Use el comando az keyvault security-domain download para descargar el dominio de seguridad y activar el HSM administrado. En el ejemplo siguiente, se usan tres pares de claves de RSA (para este comando solo se necesitan claves públicas) y se establece el cuórum en dos.

az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json

Almacene el archivo de dominio de seguridad y los pares de claves RSA de forma segura. Los necesita para la recuperación ante desastres o para crear otro HSM administrado que comparta el mismo dominio de seguridad para que los dos puedan compartir claves.

Después de descargar correctamente el dominio de seguridad, el HSM está en un estado activo y listo para su uso.

Limpieza de recursos

Otras guías de inicio rápido y tutoriales de esta colección se basan en este inicio rápido. Si tiene pensado seguir trabajando en otras guías de inicio rápido y tutoriales, considere la posibilidad de dejar estos recursos activos.

Cuando ya no sea necesario, puede usar el comando CLI de Azure az group delete para quitar el grupo de recursos y todos los recursos relacionados:

az group delete --name "myResourceGroup"

Pasos siguientes

En este artículo de inicio rápido, ha aprovisionado un HSM administrado y lo ha activado. Para obtener más información sobre un HSM administrado y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes.

• Lea una introducción a Managed HSM
• Obtenga información sobre la administración de claves en un HSM administrado
• Aprenda sobre la Administración de roles de un HSM administrado.
• Revise Secure la implementación de HSM gestionado de Azure