Creación de un HSM de pago con host y puerto de administración con direcciones IP en diferentes redes virtuales mediante una plantilla de ARM

Azure Payment HSM es un servicio "BareMetal" entregado mediante los módulos de seguridad de hardware de pago de Thales payShield 10K (HSM) para proporcionar operaciones de clave criptográfica para transacciones de pago críticas en tiempo real en la nube de Azure. Azure Payment HSM está diseñado específicamente para ayudar a un proveedor de servicios y a una entidad financiera individual a acelerar la estrategia de transformación digital de su sistema de pago y adoptar la nube pública. Para más información, consulte Azure Payment HSM: Overview.

En este tutorial se describe cómo usar una plantilla de Azure Resource Manager (plantilla de ARM) para crear un HSM de pago de Azure con el puerto de administración y host con direcciones IP en diferentes redes virtuales. En su lugar, puede:

• Creación de un HSM de pago con el host y el puerto de administración en la misma red virtual mediante la CLI de Azure o PowerShell
• Creación de un HSM de pago con el host y el puerto de administración en la misma red virtual mediante una plantilla de ARM
• Creación de un HSM de pago con el host y el puerto de administración en diferentes redes virtuales mediante la CLI de Azure o PowerShell
• Creación de un HSM de pago con el host y el puerto de administración en diferentes redes virtuales mediante una plantilla de ARM

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define la infraestructura y la configuración del proyecto. La plantilla usa sintaxis declarativa. Describes tu implementación deseada sin escribir la secuencia de comandos de programación para crearla.

Prerrequisitos

Importante

Azure Payment HSM es un servicio especializado. Para calificar para la incorporación y el uso de Azure Payment HSM, los clientes deben tener asignado un administrador de cuentas de Microsoft y tener un arquitecto de servicios en la nube (CSA).

Para consultar el servicio, inicie el proceso de calificación y prepare los requisitos previos antes de incorporarse, pida a su administrador de cuentas de Microsoft y CSA que envíe una solicitud por correo electrónico.

• Debe registrar los proveedores de recursos "Microsoft.HardwareSecurityModules" y "Microsoft.Network", así como las características de Azure Payment HSM. Los pasos para hacerlo se encuentran en Registro del proveedor de recursos de Azure Payment HSM y las características del proveedor de recursos.

  Para determinar rápidamente si los proveedores de recursos y las características ya están registrados, use el comando az provider show de la CLI de Azure. (La salida de este comando resultará más legible si la muestra en formato de tabla).

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Puede continuar con este inicio rápido si los cuatro comandos devuelven "Registrado".

• Debes tener una suscripción a Azure. Puede crear una cuenta gratuita si no tiene una.

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Introducción a Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si estás utilizando Windows o macOS, considera ejecutar Azure CLI en un contenedor Docker. Para más información, consulte Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login . Para finalizar el proceso de autenticación, siga los pasos que se muestran en el terminal. Para ver otras opciones de inicio de sesión, consulte Autenticación en Azure mediante la CLI de Azure.

  • Cuando se le solicite, instale la extensión de la CLI de Azure en el primer uso. Para más información sobre las extensiones, consulte Uso y administración de extensiones con la CLI de Azure.

  • Ejecute az version para buscar la versión y las bibliotecas dependientes que están instaladas. Para actualizar a la versión más reciente, ejecute az upgrade.

Revisión de la plantilla

La plantilla que se usa en este inicio rápido es azuredeploy.json:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "type": "string",
      "metadata": {
        "description": "Azure Payment HSM resource name"
      }
    },
    "stampId": {
      "type": "string",
      "defaultValue": "stamp1",
      "metadata": {
        "description": "stamp id"
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "payShield10K_LMK1_CPS60",
      "metadata": {
        "description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
      }
    },
    "vnetName": {
      "type": "string",
      "metadata": {
        "description": "Host port virtual network name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Host port virtual network address prefix"
      }
    },
    "hsmSubnetName": {
      "type": "string",
      "metadata": {
        "description": "Host port subnet name"
      }
    },
    "hsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Host port subnet prefix"
      }
    },
    "hostPrivateIpAddress": {
      "type": "string"
    },
    "managementVnetName": {
      "type": "string",
      "metadata": {
        "description": "Management port virtual network name"
      }
    },
    "managementVnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Management port virtual network address prefix"
      }
    },
    "managementHsmSubnetName": {
      "type": "string",
      "metadata": {
        "description": "Management port subnet name"
      }
    },
    "managementHsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Management port subnet prefix"
      }
    },
    "managementPrivateIpAddress": {
      "type": "string"
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
      "apiVersion": "2021-11-30",
      "name": "[parameters('resourceName')]",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]",
        "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('managementVnetName'), parameters('managementHsmSubnetName'))]"
      ],
      "sku": {
        "name": "[parameters('skuName')]"
      },
      "properties": {
        "networkProfile": {
          "subnet": {
            "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
          },
          "NetworkInterfaces": [{
              "privateIpaddress": "[parameters('hostPrivateIpAddress')]"
            }
          ]
        },
        "managementNetworkProfile": {
          "subnet": {
            "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('managementVnetName'), parameters('managementHsmSubnetName'))]"
          },
          "NetworkInterfaces": [{
              "privateIpaddress": "[parameters('managementPrivateIpAddress')]"
            }
          ]
        },
        "stampId": "[parameters('stampId')]"
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('vnetName')]",
      "location": "[resourceGroup().location]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('hsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('hsmSubnetPrefix')]",
              "serviceEndpoints": [],
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "virtualNetworkPeerings": [],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('managementVnetName')]",
      "location": "[resourceGroup().location]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('managementVnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('managementHsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('managementHsmSubnetPrefix')]",
              "serviceEndpoints": [],
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "virtualNetworkPeerings": [],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('hsmSubnetPrefix')]",
        "serviceEndpoints": [],
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('managementVnetName'), '/', parameters('managementHsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('managementVnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('managementHsmSubnetPrefix')]",
        "serviceEndpoints": [],
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    }
  ]
}

El recurso de Azure definido en esta plantilla es:

• Microsoft.HardwareSecurityModules.dedicatedHSMs: cree un HSM de pago de Azure.

El archivo azuredeploy.parameters.json correspondiente es:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "value": "myhsm1"
    },
    "stampId": {
      "value": "stamp1"
    },
    "skuName": {
      "value": "payShield10K_LMK1_CPS60"
    },
    "vnetName": {
      "value": "hsmHostVnet"
    },
    "vnetAddressPrefix": {
      "value": "10.0.0.0/16"
    },
    "hsmSubnetName": {
      "value": "hostSubnet"
    },
    "hsmSubnetPrefix": {
      "value": "10.0.0.0/24"
    },    
    "hostPrivateIpAddress": {
      "value": "10.0.0.5"
    },
    "managementVnetName": {
      "value": "hsmMgmtVNet"
    },
    "managementVnetAddressPrefix": {
      "value": "10.1.0.0/16"
    },
    "managementHsmSubnetName": {
      "value": "mgmtSubnet"
    },
    "managementHsmSubnetPrefix": {
      "value": "10.1.0.0/24"
    },    
    "managementPrivateIpAddress": {
      "value": "10.1.0.6"
    }
  }
}

Implementación de la plantilla

Azure CLI

En este ejemplo, usará la CLI de Azure para implementar una plantilla de ARM para crear una instancia de Azure Payment HSM.

En primer lugar, guarde localmente los archivos "azuredeploy.json" y "azuredeploy.parameters.json" para usarlos en el paso siguiente. El contenido de estos archivos se puede encontrar en la sección Revisar la plantilla .

Nota:

En los pasos siguientes se asume que los archivos "azuredeploy.json" y "azuredeploy.parameters.json" están en el directorio desde el que se ejecutan los comandos. Si los archivos están en otro directorio, debe ajustar las rutas de acceso de archivo según corresponda.

A continuación, cree un grupo de recursos de Azure.

Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Use el comando az group create para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus .

az group create --name "myResourceGroup" --location "EastUS"

Por último, use el comando az deployment group create de la CLI de Azure para implementar la plantilla de ARM.

az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"

Cuando se le solicite, proporcione los siguientes valores para los parámetros:

• resourceName: myPaymentHSM
• vnetName: myVNet
• vnetAddressPrefix: 10.0.0.0/16
• hsmSubnetName: mySubnet
• hsmSubnetPrefix: 10.0.0.0/24
• hostPrivateIpAddress: 10.0.0.5
• managementVnetName: MGMTVNet
• managementVnetAddressPrefix: 10.1.0.0/16
• managementHsmSubnetName: MGMTSubnet
• managementHsmSubnetPrefix: 10.1.0.0/24
• managementPrivateIpAddress: 10.1.0.6

Azure PowerShell

En este ejemplo, usará Azure PowerShell para implementar una plantilla de ARM para crear una instancia de Azure Payment HSM.

En primer lugar, guarde localmente los archivos "azuredeploy.json" y "azuredeploy.parameters.json" para usarlos en el paso siguiente. El contenido de estos archivos se puede encontrar en la sección Revisar la plantilla .

Nota:

En los pasos siguientes se asume que los archivos "azuredeploy.json" y "azuredeploy.parameters.json" están en el directorio desde el que se ejecutan los comandos. Si los archivos están en otro directorio, debe ajustar las rutas de acceso de archivo según corresponda.

A continuación, cree un grupo de recursos de Azure.

Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Use el cmdlet New-AzResourceGroup de Azure PowerShell para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Ahora, establezca las siguientes variables para usarlas en el paso de implementación:

$deploymentName = "myPHSMDeployment"
$resourceGroupName = "myResourceGroup"
$templateFilePath = "azuredeploy.json" 
$templateParametersPath = "azuredeploy.parameters.json" 
$resourceName = "myPaymentHSM" 
$skuName = "payShield10K_LMK1_CPS250" 
$stampId = "stamp1" 
$hostVnetName = "myVNet" 
$hostVnetAddressPrefix = "10.0.0.0/16" 
$hostSubnetName = "mySubnet" 
$hostSubnetPrefix = "10.0.0.0/24"
$hostPrivateIpAddress = "10.0.0.5" 
$mgmtVnetName = "MGMTVNet" 
$mgmtVnetAddressPrefix = "10.1.0.0/16" 
$mgmtSubnetName = "MGMTSubnet" 
$mgmtSubnetPrefix = "10.1.0.0/24"
$mgmtPrivateIpAddress = "10.1.0.6"  

Por último, use el cmdlet New-AzResourceGroupDeployment de Azure PowerShell para implementar la plantilla de ARM.

New-AzResourceGroupDeployment -Name $deploymentName -ResourceGroupName $resourceGroupName -TemplateFile $templateFilePath -TemplateParameterFile $templateParametersPath -resourceName $resourceName -skuName $skuName -stampId $stampId -vnetName $hostVnetName -vnetAddressPrefix $hostVnetAddressPrefix -hsmSubnetName $hostSubnetName -hsmSubnetPrefix $hostSubnetPrefix -hostPrivateIpAddress $hostPrivateIpAddress -managementVnetName $mgmtVnetName -managementVnetAddressPrefix $mgmtVnetAddressPrefix -managementHsmSubnetName $mgmtSubnetName -managementHsmSubnetPrefix $mgmtSubnetPrefix -managementPrivateIpAddress $mgmtPrivateIpAddress

Pasos siguientes

Pase al siguiente artículo, donde aprenderá a ver su HSM de pago.

Visualiza tus HSMs de pago

Más recursos:

• Lea la Introducción a Payment HSM
• Obtenga información sobre cómo empezar a trabajar con HSM de pago de Azure
• Consulte algunos escenarios de implementación comunes.
• Más información sobre la certificación y el cumplimiento
• Lea las preguntas más frecuentes.