Kurz: Vytvoření platebního HSM

HsM pro platby Azure je služba "BareMetal", která se dodává pomocí modulů hardwarového zabezpečení hardwarového zabezpečení (HSM) thales payShield 10K, která poskytuje kryptografické operace s klíči pro klíčové transakce v reálném čase v cloudu Azure. Modul HSM pro platby Azure je navržený speciálně tak, aby pomohl poskytovateli služeb a individuální finanční instituci urychlit strategii digitální transformace platebního systému a přijmout veřejný cloud. Další informace najdete v tématu HsM pro platby Azure: Přehled.

Tento kurz popisuje, jak vytvořit HSM pro platby Azure s hostitelským portem a portem pro správu ve stejné virtuální síti. Místo toho můžete:

• Vytvoření platebního HSM s hostitelským portem a portem pro správu ve stejné virtuální síti pomocí šablony ARM
• Vytvoření platebního HSM s hostitelským portem a portem pro správu v různých virtuálních sítích pomocí Azure CLI nebo PowerShellu
• Vytvoření platebního HSM s hostitelským portem a portem pro správu v různých virtuálních sítích pomocí šablony ARM
• Vytvoření prostředku HSM s hostitelským portem a portem pro správu s IP adresami v různých virtuálních sítích pomocí šablony ARM

Poznámka:

Pokud chcete znovu použít existující virtuální síť, ověřte, že jste splnili všechny požadavky, a pak si přečtěte, jak znovu použít existující virtuální síť.

Požadavky

Důležité

Hsm plateb Azure je specializovaná služba. Pokud chcete získat nárok na onboarding a používání HSM pro platby Azure, musí mít zákazníci přiřazeného správce účtů Microsoftu a mají architekta cloudových služeb (CSA).

Pokud chcete požádat o službu, spusťte proces kvalifikace a připravte požadavky před on-boardingem, požádejte svého správce účtů Microsoft a CSA, aby odeslaly žádost e-mailem.

Azure CLI

• Musíte zaregistrovat poskytovatele prostředků Microsoft.HardwareSecurityModules a Microsoft.Network a také funkce HSM pro platby Azure. Postup najdete v registraci poskytovatele prostředků HSM a funkcí poskytovatele prostředků Azure Payment HSM.

  Upozorňující

  Příznak funkce FastPathEnabled musíte použít u každého ID předplatného a přidat značku "fastpathenabled" do každé virtuální sítě. Další informace naleznete v tématu Fastpathenabled.

  Pokud chcete rychle zjistit, jestli už jsou poskytovatelé prostředků a funkce zaregistrovaní, použijte příkaz az provider az provider show v Azure CLI. (Výstup tohoto příkazu je čitelnější při zobrazení ve formátu tabulky.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Pokud všechny čtyři tyto příkazy vrátí "Registrováno", můžete pokračovat v tomto rychlém startu.

• Mít předplatné Azure. Pokud ho nemáte, můžete si vytvořit bezplatný účet .

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Azure PowerShell

• Musíte zaregistrovat poskytovatele prostředků Microsoft.HardwareSecurityModules a Microsoft.Network a také funkce HSM pro platby Azure. Postup najdete v registraci poskytovatele prostředků HSM a funkcí poskytovatele prostředků Azure Payment HSM.

  Upozorňující

  Příznak funkce FastPathEnabled musíte použít u každého ID předplatného a přidat značku "fastpathenabled" do každé virtuální sítě. Další informace naleznete v tématu Fastpathenabled.

  Pokud chcete rychle zjistit, jestli jsou poskytovatelé prostředků a funkce už zaregistrovaní, použijte rutinu Azure PowerShell Get-AzProviderFeature :

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

V tomto rychlém startu můžete pokračovat, pokud "RegistrationState" obou příkazů vrátí "Registered".

• Mít předplatné Azure. Pokud ho nemáte, můžete si vytvořit bezplatný účet .

* Pokud se rozhodnete používat Azure PowerShell místně: * Nainstalujte nejnovější verzi modulu Az PowerShell. * Připojte se ke svému účtu Azure pomocí rutiny Connect-AzAccount . * Pokud se rozhodnete použít Azure Cloud Shell: * Další informace najdete v přehledu služby Azure Cloud Shell .\

• Musíte nainstalovat modul Az.DedicatedHsm PowerShell:

  Install-Module -Name Az.DedicatedHsm
  

Vytvoření skupiny zdrojů

Azure CLI

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu az group create vytvořte skupinu prostředků myResourceGroup v umístění eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí rutiny Azure PowerShell New-AzResourceGroup vytvořte skupinu prostředků myResourceGroup v umístění eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Vytvoření virtuální sítě a podsítě

Azure CLI

Před vytvořením platebního modulu HSM musíte nejprve vytvořit virtuální síť a podsíť. Provedete to pomocí příkazu Azure CLI az network vnet create :

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Potom pomocí příkazu azure CLI az network vnet subnet update aktualizujte podsíť a dejte mu delegování Microsoft.HardwareSecurityModules/dedicatedHSMs:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

K ověření správného vytvoření virtuální sítě a podsítě použijte příkaz Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Poznamenejte si ID podsítě, protože ho potřebujete pro další krok. ID podsítě končí názvem podsítě:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

Před vytvořením platebního modulu HSM musíte nejprve vytvořit virtuální síť a podsíť.

Nejprve nastavte některé proměnné pro použití v následných operacích:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Pomocí rutiny Azure PowerShell New-AzDelegation vytvořte delegování služby, které se přidá do vaší podsítě, a uložte výstup do $myDelegation proměnné:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Pomocí rutiny Azure PowerShell New-AzVirtualNetworkSubnetConfig vytvořte konfiguraci podsítě virtuální sítě a uložte výstup do $myPHSMSubnet proměnné:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Poznámka:

Rutina New-AzVirtualNetworkSubnetConfig vygeneruje upozornění, které můžete bezpečně ignorovat.

K vytvoření virtuální sítě Azure použijte rutinu Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

K ověření správného vytvoření virtuální sítě použijte rutinu Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Poznamenejte si ID podsítě, které se používá v dalším kroku. ID podsítě končí názvem podsítě:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Vytvoření platebního HSM

Důležité

Pokud ve stejné oblasti vytvoříte dva platební moduly HSM, musíte jeden přidělit kolku1 a druhý k kolku2. Další informace najdete v tématu Scénáře nasazení: Nasazení s vysokou dostupností.

Vytváření pomocí dynamických hostitelů

Azure CLI

Pokud chcete vytvořit platební HSM s dynamickými hostiteli, použijte příkaz az dedicated-hsm create . Následující příklad vytvoří hsM plateb pojmenovaný myPaymentHSM v eastus oblasti, myResourceGroup skupině prostředků a zadaném předplatném, virtuální síti a podsíti:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic list a zadejte skupinu prostředků:

az network nic list -g myResourceGroup -o table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pokud chcete zobrazit podrobnosti o nově vytvořeném síťovém rozhraní, použijte příkaz az network nic show a zadejte skupinu prostředků a název síťového rozhraní:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Výstup obsahuje tento řádek:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Pokud chcete vytvořit platební HSM s dynamickými hostiteli, použijte rutinu New-AzDedicatedHsm a ID virtuální sítě z předchozího kroku:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

Výstup vytvoření platebního HSM vypadá takto:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte rutinu Get-AzNetworkInterface a zadejte skupinu prostředků:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Na webu Azure Portal je metoda přidělování privátníCH IP adres dynamická:

Vytvoření se statickými hostiteli

Azure CLI

Pokud chcete vytvořit platební HSM se statickými hostiteli, použijte příkaz az dedicated-hsm create . Následující příklad vytvoří hsM plateb pojmenovaný myPaymentHSM v eastus oblasti, myResourceGroup skupině prostředků a zadaném předplatném, virtuální síti a podsíti:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Pokud chcete také zadat statickou IP adresu hostitele pro správu, můžete přidat:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte příkaz az network nic list a zadejte skupinu prostředků:

az network nic list -g myResourceGroup -o table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Pokud chcete zobrazit vlastnosti síťového rozhraní, použijte příkaz az network nic show a zadejte skupinu prostředků a název síťového rozhraní:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Výstup obsahuje tento řádek:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Pokud chcete vytvořit platební HSM se statickými hostiteli, použijte rutinu New-AzDedicatedHsm a ID virtuální sítě z předchozího kroku:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Pokud chcete také zadat statickou IP adresu hostitele pro správu, můžete přidat:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

Výstup vytvoření platebního HSM vypadá takto:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Pokud chcete zobrazit nově vytvořená síťová rozhraní, použijte rutinu Get-AzNetworkInterface a zadejte skupinu prostředků:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

Ve výstupu se zobrazí hostitel 1 a hostitel 2 a také rozhraní pro správu:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Na webu Azure Portal se zobrazuje metoda přidělování privátníCH IP adres jako Dynamická:

Další kroky

V dalším článku se dozvíte, jak zobrazit platební HSM.

Zobrazení platebních modulů HSM

Další informace:

• Přečtěte si přehled platebního HSM.
• Zjistěte, jak začít s modulem HSM pro platby Azure
• Podívejte se na některé běžné scénáře nasazení.
• Informace o certifikaci a dodržování předpisů
• Přečtěte si nejčastější dotazy