Rychlý start: Vytvoření hsm plateb Azure pomocí šablony ARM

HsM pro platby Azure je služba "BareMetal", která se dodává pomocí modulů hardwarového zabezpečení hardwarového zabezpečení (HSM) thales payShield 10K, která poskytuje kryptografické operace s klíči pro klíčové transakce v reálném čase v cloudu Azure. Modul HSM pro platby Azure je navržený speciálně tak, aby pomohl poskytovateli služeb a individuální finanční instituci urychlit strategii digitální transformace platebního systému a přijmout veřejný cloud. Další informace najdete v tématu HsM pro platby Azure: Přehled.

Tento rychlý start popisuje, jak vytvořit HSM plateb s hostitelským portem a portem pro správu ve stejné virtuální síti. Místo toho můžete:

• Vytvoření platebního HSM s hostitelským portem a portem pro správu v jiné virtuální síti pomocí šablony ARM
• Vytvoření prostředku HSM s hostitelským portem a portem pro správu s IP adresami v různých virtuálních sítích pomocí šablony ARM

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.

Požadavky

Důležité

Hsm plateb Azure je specializovaná služba. Pokud chcete získat nárok na onboarding a používání HSM pro platby Azure, musí mít zákazníci přiřazeného správce účtů Microsoftu a mají architekta cloudových služeb (CSA).

Pokud chcete požádat o službu, spusťte proces kvalifikace a připravte požadavky před on-boardingem, požádejte svého správce účtů Microsoft a CSA, aby odeslaly žádost e-mailem.

• Musíte zaregistrovat poskytovatele prostředků Microsoft.HardwareSecurityModules a Microsoft.Network a také funkce HSM pro platby Azure. Postup najdete v registraci poskytovatele prostředků HSM a funkcí poskytovatele prostředků Azure Payment HSM.

  Upozorňující

  Příznak funkce FastPathEnabled musíte použít u každého ID předplatného a přidat značku "fastpathenabled" do každé virtuální sítě. Další informace naleznete v tématu Fastpathenabled.

  Pokud chcete rychle zjistit, jestli už jsou poskytovatelé prostředků a funkce zaregistrovaní, použijte příkaz az provider az provider show v Azure CLI. (Výstup tohoto příkazu je čitelnější, pokud ho zobrazíte ve formátu tabulky.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Pokud všechny čtyři tyto příkazy vrátí "Registrováno", můžete pokračovat v tomto rychlém startu.

• Mít předplatné Azure. Pokud ho nemáte, můžete si vytvořit bezplatný účet .

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Kontrola šablony

Šablona použitá v tomto rychlém startu je azuredeploy.json:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "type": "String",
      "metadata": {
        "description": "Azure Payment HSM resource name"
      }
    },
    "stampId": {
      "type": "string",
      "defaultValue": "stamp1",
      "metadata": {
        "description": "stamp id"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "payShield10K_LMK1_CPS60",
      "metadata": {
        "description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
      }
    },
    "vnetName": {
      "type": "string",
      "metadata": {
        "description": "Virtual network name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Virtual network address prefix"
      }
    },
    "hsmSubnetName": {
      "type": "String",
      "metadata": {
        "description": "Subnet name"
      }
    },
    "hsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Subnet prefix"
      }
    }
  },
  "variables": {},
  "resources": [
   {
     "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
     "apiVersion": "2021-11-30",
     "name": "[parameters('resourceName')]",
	   "location": "[parameters('location')]",
     "dependsOn": [
      "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
     ],
     "sku": {
       "name": "[parameters('skuName')]"
     },
     "properties": {
       "networkProfile": {
         "subnet": {
           "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
         }
        },
		"managementNetworkProfile": {
          "subnet": {
            "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
          }
        },
        "stampId": "[parameters('stampId')]"
     }
   },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('hsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('hsmSubnetPrefix')]",
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('hsmSubnetPrefix')]",
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    }
  ]
}

Prostředek Azure definovaný v šabloně je:

• Microsoft.HardwareSecurityModules.dedicatedHSMs: Vytvořte hsm plateb Azure.

Odpovídající azuredeploy.parameters.json soubor je:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "value": "myhsm1"
    },
    "stampId": {
      "value": "stamp1"
    },
    "skuName": {
      "value": "payShield10K_LMK1_CPS60"
    },
    "vnetName": {
      "value": "myHsmVnet"
    },
    "vnetAddressPrefix": {
      "value": "10.0.0.0/16"
    },
    "hsmSubnetName": {
      "value": "myHsmSubnet"
    },
    "hsmSubnetPrefix": {
      "value": "10.0.0.0/24"
    }
  }
}

Nasazení šablony

Azure CLI

V tomto příkladu pomocí Azure CLI nasadíte šablonu ARM k vytvoření modulu HSM plateb Azure.

Nejprve uložte soubory "azuredeploy.json" a "azuredeploy.parameters.json" místně, abyste je mohli použít v dalším kroku. Obsah těchto souborů najdete v části Kontrola šablony .

Poznámka:

Následující postup předpokládá, že soubor "azuredeploy.json" a "azuredeploy.parameters.json" jsou v adresáři, ze kterého spouštíte příkazy. Pokud jsou soubory v jiném adresáři, musíte odpovídajícím způsobem upravit cesty k souborům.

Dále vytvořte skupinu prostředků Azure.

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu az group create vytvořte skupinu prostředků myResourceGroup v umístění eastus.

az group create --name "myResourceGroup" --location "EastUS"

Nakonec pomocí příkazu az deployment group create v Azure CLI nasaďte šablonu ARM.

az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"

Po zobrazení výzvy zadejte následující hodnoty parametrů:

• resourceName: myPaymentHSM
• vnetName: myVNet
• vnetAddressPrefix: 10.0.0.0/16
• hsmSubnetName: mySubnet
• hsmSubnetPrefix: 10.0.0.0/24

Azure PowerShell

V tomto příkladu pomocí Azure PowerShellu nasadíte šablonu ARM k vytvoření modulu HSM plateb Azure.

Nejprve uložte soubory "azuredeploy.json" a "azuredeploy.parameters.json" místně, abyste je mohli použít v dalším kroku. Obsah těchto souborů najdete v části Kontrola šablony .

Poznámka:

Následující postup předpokládá, že soubor "azuredeploy.json" a "azuredeploy.parameters.json" jsou v adresáři, ze kterého spouštíte příkazy. Pokud jsou soubory v jiném adresáři, musíte odpovídajícím způsobem upravit cesty k souborům.

Dále vytvořte skupinu prostředků Azure.

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí rutiny Azure PowerShell New-AzResourceGroup vytvořte skupinu prostředků myResourceGroup v umístění eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Teď nastavte následující proměnné pro použití v kroku nasazení:

$deploymentName = "myPHSMDeployment"
$resourceGroupName = "myResourceGroup"
$templateFilePath = "azuredeploy.json" 
$templateParametersPath = "azuredeploy.parameters.json" 
$resourceName = "myPaymentHSM"
$vnetName = "myVNet" 
$vnetAddressPrefix = "10.0.0.0/16" 
$subnetName = "mySubnet" 
$subnetPrefix = "10.0.0.0/24" 

Nakonec pomocí rutiny Azure PowerShell New-AzResourceGroupDeployment nasaďte šablonu ARM.

New-AzResourceGroupDeployment -Name $deploymentName -ResourceGroupName $resourceGroupName -TemplateFile $templateFilePath -TemplateParameterFile $templateParametersPath -resourceName $resourceName -vnetName $vnetName -vnetAddressPrefix $vnetAddressPrefix -hsmSubnetName $subnetName -hsmSubnetPrefix $subnetPrefix

Ověření nasazení

Azure CLI

Pomocí příkazu Azure CLI az dedicated-hsm list můžete ověřit, že se vytvořil platební HSM. Výstup se snadněji čte, pokud výsledky naformátujete jako tabulku:

az dedicated-hsm list -o table

Azure PowerShell

Pomocí rutiny Azure PowerShell Get-AzDedicatedHsm můžete ověřit, že se vytvořil platební HSM .

Get-AzDedicatedHsm

Měl by se zobrazit název nově vytvořeného platebního HSM.

Vyčištění prostředků

Azure CLI

Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete v Azure CLI:

az group delete --name "myResourceGroup"

Azure PowerShell

Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít rutinu Remove-AzResourceGroup Azure PowerShellu.

Remove-AzResourceGroup -Name "myResourceGroup"

Další kroky

V tomto rychlém startu jste nasadili šablonu Azure Resource Manageru pro vytvoření platebního HSM, ověření nasazení a odstranění platebního HSM. Další informace o HSM pro platby Azure a o tom, jak ho integrovat s vašimi aplikacemi, najdete v následujících článcích.

• Přečtěte si přehled platebního HSM.
• Zjistěte, jak začít s modulem HSM pro platby Azure
• Podívejte se na některé běžné scénáře nasazení.
• Informace o certifikaci a dodržování předpisů
• Přečtěte si nejčastější dotazy