Sdílet prostřednictvím


Rychlý start: Vytvoření hsm plateb Azure pomocí šablony ARM

HsM pro platby Azure je služba "BareMetal", která se dodává pomocí modulů hardwarového zabezpečení hardwarového zabezpečení (HSM) thales payShield 10K, která poskytuje kryptografické operace s klíči pro klíčové transakce v reálném čase v cloudu Azure. Modul HSM pro platby Azure je navržený speciálně tak, aby pomohl poskytovateli služeb a individuální finanční instituci urychlit strategii digitální transformace platebního systému a přijmout veřejný cloud. Další informace najdete v tématu HsM pro platby Azure: Přehled.

Tento rychlý start popisuje, jak vytvořit HSM plateb s hostitelským portem a portem pro správu ve stejné virtuální síti. Místo toho můžete:

Šablona Azure Resource Manageru je soubor JSON (JavaScript Object Notation), který definuje infrastrukturu a konfiguraci projektu. Tato šablona používá deklarativní syntaxi. Popíšete zamýšlené nasazení, aniž byste museli psát posloupnost programovacích příkazů pro vytvoření nasazení.

Požadavky

Důležité

Hsm plateb Azure je specializovaná služba. Pokud chcete získat nárok na onboarding a používání HSM pro platby Azure, musí mít zákazníci přiřazeného správce účtů Microsoftu a mají architekta cloudových služeb (CSA).

Pokud chcete požádat o službu, spusťte proces kvalifikace a připravte požadavky před on-boardingem, požádejte svého správce účtů Microsoft a CSA, aby odeslaly žádost e-mailem.

  • Musíte zaregistrovat poskytovatele prostředků Microsoft.HardwareSecurityModules a Microsoft.Network a také funkce HSM pro platby Azure. Postup najdete v registraci poskytovatele prostředků HSM a funkcí poskytovatele prostředků Azure Payment HSM.

    Upozorňující

    Příznak funkce FastPathEnabled musíte použít u každého ID předplatného a přidat značku "fastpathenabled" do každé virtuální sítě. Další informace naleznete v tématu Fastpathenabled.

    Pokud chcete rychle zjistit, jestli už jsou poskytovatelé prostředků a funkce zaregistrovaní, použijte příkaz az provider az provider show v Azure CLI. (Výstup tohoto příkazu je čitelnější, pokud ho zobrazíte ve formátu tabulky.)

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
    
    az provider show --namespace "Microsoft.Network" -o table
    
    az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
    
    az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
    

    Pokud všechny čtyři tyto příkazy vrátí "Registrováno", můžete pokračovat v tomto rychlém startu.

  • Mít předplatné Azure. Pokud ho nemáte, můžete si vytvořit bezplatný účet .

Kontrola šablony

Šablona použitá v tomto rychlém startu je azuredeploy.json:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "type": "String",
      "metadata": {
        "description": "Azure Payment HSM resource name"
      }
    },
    "stampId": {
      "type": "string",
      "defaultValue": "stamp1",
      "metadata": {
        "description": "stamp id"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "payShield10K_LMK1_CPS60",
      "metadata": {
        "description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
      }
    },
    "vnetName": {
      "type": "string",
      "metadata": {
        "description": "Virtual network name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Virtual network address prefix"
      }
    },
    "hsmSubnetName": {
      "type": "String",
      "metadata": {
        "description": "Subnet name"
      }
    },
    "hsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Subnet prefix"
      }
    }
  },
  "variables": {},
  "resources": [
   {
     "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
     "apiVersion": "2021-11-30",
     "name": "[parameters('resourceName')]",
	   "location": "[parameters('location')]",
     "dependsOn": [
      "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
     ],
     "sku": {
       "name": "[parameters('skuName')]"
     },
     "properties": {
       "networkProfile": {
         "subnet": {
           "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
         }
        },
		"managementNetworkProfile": {
          "subnet": {
            "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
          }
        },
        "stampId": "[parameters('stampId')]"
     }
   },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('hsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('hsmSubnetPrefix')]",
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('hsmSubnetPrefix')]",
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    }
  ]
}

Prostředek Azure definovaný v šabloně je:

  • Microsoft.HardwareSecurityModules.dedicatedHSMs: Vytvořte hsm plateb Azure.

Odpovídající azuredeploy.parameters.json soubor je:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "value": "myhsm1"
    },
    "stampId": {
      "value": "stamp1"
    },
    "skuName": {
      "value": "payShield10K_LMK1_CPS60"
    },
    "vnetName": {
      "value": "myHsmVnet"
    },
    "vnetAddressPrefix": {
      "value": "10.0.0.0/16"
    },
    "hsmSubnetName": {
      "value": "myHsmSubnet"
    },
    "hsmSubnetPrefix": {
      "value": "10.0.0.0/24"
    }
  }
}

Nasazení šablony

V tomto příkladu pomocí Azure CLI nasadíte šablonu ARM k vytvoření modulu HSM plateb Azure.

Nejprve uložte soubory "azuredeploy.json" a "azuredeploy.parameters.json" místně, abyste je mohli použít v dalším kroku. Obsah těchto souborů najdete v části Kontrola šablony .

Poznámka:

Následující postup předpokládá, že soubor "azuredeploy.json" a "azuredeploy.parameters.json" jsou v adresáři, ze kterého spouštíte příkazy. Pokud jsou soubory v jiném adresáři, musíte odpovídajícím způsobem upravit cesty k souborům.

Dále vytvořte skupinu prostředků Azure.

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu az group create vytvořte skupinu prostředků myResourceGroup v umístění eastus.

az group create --name "myResourceGroup" --location "EastUS"

Nakonec pomocí příkazu az deployment group create v Azure CLI nasaďte šablonu ARM.

az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"

Po zobrazení výzvy zadejte následující hodnoty parametrů:

  • resourceName: myPaymentHSM
  • vnetName: myVNet
  • vnetAddressPrefix: 10.0.0.0/16
  • hsmSubnetName: mySubnet
  • hsmSubnetPrefix: 10.0.0.0/24

Ověření nasazení

Pomocí příkazu Azure CLI az dedicated-hsm list můžete ověřit, že se vytvořil platební HSM. Výstup se snadněji čte, pokud výsledky naformátujete jako tabulku:

az dedicated-hsm list -o table

Měl by se zobrazit název nově vytvořeného platebního HSM.

Vyčištění prostředků

Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete v Azure CLI:

az group delete --name "myResourceGroup"

Další kroky

V tomto rychlém startu jste nasadili šablonu Azure Resource Manageru pro vytvoření platebního HSM, ověření nasazení a odstranění platebního HSM. Další informace o HSM pro platby Azure a o tom, jak ho integrovat s vašimi aplikacemi, najdete v následujících článcích.