Share via

Schnellstart: Erstellen einer Azure Payment HSM-Instanz über die Azure CLI

  • Artikel

Azure Payment HSM ist ein „BareMetal“-Dienst, der mit Thales payShield 10K-Hardwaresicherheitsmodulen (HSMs) für den Zahlungsverkehr bereitgestellt wird und kryptografische Schlüsselvorgänge für kritische Zahlungstransaktionen in Echtzeit in der Azure-Cloud ermöglicht. Azure Payment HSM wurde speziell entwickelt, um einen Dienstanbieter und ein einzelnes Finanzinstitut dabei zu unterstützen, die digitale Transformationsstrategie ihres Zahlungssystems zu beschleunigen und die öffentliche Cloud einzuführen. Weitere Informationen finden Sie unter Azure Payment HSM: Übersicht.

In diesem Schnellstart wird beschrieben, wie Sie eine Azure Payment HSM-Instanz erstellen, aktualisieren und löschen, indem Sie den Azure CLI-Befehl az dedicated-hsm verwenden.

Voraussetzungen

Wichtig

Azure Payment HSM ist ein spezialisierter Dienst. Um sich für das Onboarding und die Nutzung von Azure Payment HSM zu qualifizieren, müssen Kunden über eine*n zugewiesene*n Microsoft-Kundenbetreuer*in verfügen und die finanzielle Anforderung von fünf Millionen USD Azure-Gesamtumsatz pro Jahr oder mehr erfüllen.

Um sich nach dem Dienst zu erkundigen, den Qualifizierungsprozess zu starten und die Voraussetzungen vor dem Onboarding vorzubereiten, bitten Sie Ihre*n Microsoft-Kundenbetreuer*in und CSA, eine Anforderung per E-Mail zu senden.

  • Sie müssen die Ressourcenanbieter „Microsoft.HardwareSecurityModules“ und „Microsoft.Network“ sowie die Azure Payment HSM-Features registrieren. Die Schritte hierzu finden Sie unter Registrieren des Azure Payment HSM-Ressourcenanbieters und der Ressourcenanbieter-Features.

    Warnung

    Sie müssen das Featureflag „FastPathEnabled“ auf jede Abonnement-ID anwenden und jedem virtuellen Netzwerk das Tag „fastpathenabled“ hinzufügen. Weitere Informationen finden Sie unter Fastpathenabled.

    Verwenden Sie den Azure CLI-Befehl az provider show, um schnell festzustellen, ob die Ressourcenanbieter und Features bereits registriert sind. (Die Ausgabe dieses Befehls ist besser lesbar, wenn Sie ihn im Tabellenformat anzeigen.)

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table

    Sie können mit diesem Schnellstart fortfahren, wenn alle vier Befehle „Registriert“ zurückgeben.

  • Sie benötigen ein Azure-Abonnement. Sie können ein kostenloses Konto erstellen, falls Sie noch kein Konto besitzen.

    Wenn Sie über mehr als ein Azure-Abonnement verfügen, können Sie mit dem Azure CLI-Befehl az account set das Abonnement festlegen, das für die Abrechnung genutzt werden soll.

    az account set --subscription <subscription-id>

  • Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter Schnellstart für Bash in Azure Cloud Shell.

  • Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI. Wenn Sie Windows oder macOS ausführen, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.

    • Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Führen Sie die in Ihrem Terminal angezeigten Schritte aus, um den Authentifizierungsprozess abzuschließen. Informationen zu anderen Anmeldeoptionen finden Sie unter Anmelden mit der Azure CLI.

    • Installieren Sie die Azure CLI-Erweiterung beim ersten Einsatz, wenn Sie dazu aufgefordert werden. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

    • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

Erstellen einer Ressourcengruppe

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus zu erstellen.

az group create --name "myResourceGroup" --location "EastUS"

Erstellen eines virtuellen Netzwerks und des Subnetzes

Bevor Sie eine Payment HSM-Instanz erstellen, müssen Sie zunächst ein virtuelles Netzwerk und ein Subnetz erstellen. Verwenden Sie hierzu den Azure CLI-Befehl az network vnet create:

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Verwenden Sie anschließend den Azure CLI-Befehl az network vnet subnet update, um das Subnetz zu aktualisieren und ihm eine Delegierung von WMicrosoft.HardwareSecurityModules/dedicatedHSMs“ zu erteilen:

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Um zu überprüfen, ob das virtuelle Netzwerk und das Subnetz ordnungsgemäß erstellt wurden, verwenden Sie den Azure CLI-Befehl az network vnet show:

az network vnet show -n "myVNet" -g "myResourceGroup"

Notieren Sie sich den Wert, der als id zurückgegeben wird, da er im nächsten Schritt verwendet wird. Das Format der id ist wie folgt:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Erstellen einer Payment HSM-Instanz

Verwenden Sie zum Erstellen einer Payment HSM-Instanz den Befehl az dedicated-hsm create. Im folgenden Beispiel wird eine Payment HSM-Instanz mit dem Namen myPaymentHSM in der Region eastus, in der Ressourcengruppe myResourceGroup und in einem angegebenen Abonnement, virtuellen Netzwerk und Subnetz bereitgestellt:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60"

Abrufen einer Payment HSM-Instanz

Verwenden Sie den Azure CLI-Befehl az dedicated-hsm show, um Ihr Payment HSM-Instanz und die zugehörigen Eigenschaften anzuzeigen.

az dedicated-hsm show --resource-group "myResourceGroup" --name "myPaymentHSM"

Verwenden Sie den Befehl az dedicated-hsm list, um alle Payment HSM-Instanzen aufzulisten. (Die Ausgabe dieses Befehls ist besser lesbar, wenn Sie ihn im Tabellenformat anzeigen.)

az dedicated-hsm list --resource-group "myResourceGroup" -o table

Entfernen einer Payment HSM-Instanz

Verwenden Sie zum Entfernen Ihrer Payment HSM-Instanz den Befehl az dedicated-hsm delete. Im folgenden Beispiel wird die Payment HSM-Instanz mit dem Namen myPaymentHSM aus der Ressourcengruppe myResourceGroup gelöscht:

az dedicated-hsm delete --name "myPaymentHSM" -g "myResourceGroup"

Löschen der Ressourcengruppe

Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen.

Wenn Sie die Ressourcen nicht mehr benötigen, führen Sie den Azure CLI-Befehl az group delete aus, um die Ressourcengruppe und alle dazugehörigen Ressourcen zu löschen:

az group delete --name "myResourceGroup"

Nächste Schritte

In dieser Schnellstartanleitung haben Sie eine Payment HSM-Instanz erstellt, deren Eigenschaften angezeigt und aktualisiert und sie gelöscht. Um weitere Informationen zu Payment HSM und zur Integration in Ihre Anwendungen zu erhalten, fahren Sie mit diesen Artikeln fort.