Como implantar uma máquina virtual com Azure HSM integrado

Aplica-se a: ✔️ Máquinas virtuais do Windows

Azure HSM integrado é um cache HSM (Módulo de Segurança de Hardware) e acelerador de criptografia projetado para aprimorar a segurança e o desempenho das operações criptográficas em uma VM (máquina virtual). Para clientes que dependem muito da criptografia e têm cargas de trabalho com uso intensivo de desempenho, Azure HSM integrado fornece uma maneira segura de armazenar chaves criptográficas para recuperação rápida e segura.

1. Inscreva-se no recurso HSM integrado do Azure para sua assinatura.

1. Entre no portal do Azure.
2. Acesse sua assinatura.
3. No menu à esquerda, selecione Configurações.
4. Em configurações, selecione em recursos de visualização.
5. Pesquise por HSM Integrado do Azure e selecione-o.
6. Selecione registrar-se na parte inferior da página.
7. Aguarde até que o processo de registro seja concluído e receba a notificação de êxito.

Agora você pode prosseguir com a criação de máquinas virtuais do Azure habilitadas para HSM integrado com essa assinatura.

2. Criar um grupo de recursos

Crie um grupo de recursos com o comando az group create. Um grupo de recursos do Azure é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. O exemplo a seguir cria um grupo de recursos denominado myResourceGroup no local eastus2:

az group create --name myResourceGroup --location eastus2

3. Criar VM de uso geral com Azure recurso HSM integrado habilitado

Opção 1 – CLI do Azure

Crie uma VM com o az vm create comando.

O exemplo a seguir cria uma VM nomeada myVM e adiciona uma conta de usuário chamada azureuser. Azure Integrated HSM tem suporte apenas em SKUs de VM específicas; consulte a documentação SKUs compatíveis para saber mais sobre quais SKUs têm suporte.

As VMs devem dar suporte ao TrustedLaunch e à Inicialização Segura para dar suporte a Azure HSM integrado.

az vm create `
    --resource-group myResourceGroup `
    --name myVM `
    --size Standard_D8as_v7 `
    --admin-username azureuser `
    --admin-password <password> `
    --enable-vtpm true `
    --image "MicrosoftWindowsServer:WindowsServer:2025-datacenter-smalldisk-g2:latest" `
    --public-ip-sku Standard `
    --security-type TrustedLaunch `
    --location eastus2 `
    --enable-secure-boot true `
    --tags platformsettings.host_environment.AzureIntegratedHSM=True

A criação da VM e dos recursos de suporte demora alguns minutos. Depois de o usuário ser criado, poderá ver a etiqueta aplicada no portal na seção de etiquetas.

Opção 2 – Modelos do ARM

Crie um grupo de recursos:

az group create --name $resourceGroup --location $region

Crie uma VM com o az deployment group create comando. Insira o nome do grupo de recursos, o nome da implantação e o nome da VM. Use os modelos ARM fornecidos em nosso GitHub para implantar a VM; certifique-se de inserir o nome de usuário e a senha que você deseja usar em sua VM.

az deployment group create `
  -g $resourceGroup `
  -n $deployName `
  -f ./template-azihsm-tvm.json `
  -p ./parameters-azihsm-tvm.json `
  -p vmName=$vmName

Opção 3 – SDK do Azure

Há muitos idiomas diferentes compatíveis com o SDK do Azure. Por exemplo, usaremos o exemplo AziHSM Python SDK para implantar uma VM habilitada para AziHSM.

Navegue até azure_sdk/python e crie um ambiente virtual python e instale o SDK do Azure:

python -m venv .venv
.venv/Scripts/activate # only required if deploying from a Windows machine
pip install -r requirements.txt

Em seguida, execute o script de exemplo fornecido. O script inclui documentação sobre quais recursos são implantados para implantar uma VM:

python ./sample.py

O que vem a seguir

• Instale o driver convidado e o Provedor de Serviços de Chave (Key Service Provider) em sua VM habilitada para HSM integrado no Azure seguindo as instruções em nosso GitHub
• Visão geral do HSM Integrado do Azure