Rövid útmutató: Azure-beli fizetési HSM létrehozása ARM-sablonnal
Az Azure Payment HSM egy "BareMetal" szolgáltatás, amely a Thales payShield 10K fizetési hardveres biztonsági moduljaival (HSM) érhető el, hogy titkosítási kulcsműveleteket biztosítson valós idejű, kritikus fontosságú fizetési tranzakciókhoz az Azure-felhőben. Az Azure Payment HSM-et kifejezetten arra tervezték, hogy segítsen egy szolgáltatónak és egy egyéni pénzügyi intézménynek felgyorsítani a fizetési rendszer digitális átalakítási stratégiáját, és bevezetni a nyilvános felhőt. További információ: Azure Payment HSM: Áttekintés.
Ez a rövid útmutató bemutatja, hogyan hozhat létre fizetési HSM-et ugyanazon a virtuális hálózaton található gazdagép- és felügyeleti porttal. Ehelyett a következőt teheti:
- Fizetési HSM létrehozása gazdagéppel és felügyeleti porttal különböző virtuális hálózaton ARM-sablon használatával
- HSM-erőforrás létrehozása gazdagép- és felügyeleti porttal, ip-címekkel a különböző virtuális hálózatokban ARM-sablon használatával
Az Azure Resource Manager-sablon egy JavaScript Object Notation (JSON) fájl, amely meghatározza a projekt infrastruktúráját és konfigurációját. A sablon deklaratív szintaxist használ. Az üzembe helyezés létrehozásához szükséges programozási parancsok sorozatának megírása nélkül írhatja le a tervezett üzembe helyezést.
Előfeltételek
Fontos
Az Azure Payment HSM egy speciális szolgáltatás. Az Azure Payment HSM előkészítésére és használatára való jogosultsághoz az ügyfeleknek rendelkezniük kell egy hozzárendelt Microsoft Account Managerrel, és rendelkezniük kell egy Felhőszolgáltatás-tervezővel (CSA).
Ha érdeklődni szeretne a szolgáltatásról, indítsa el a minősítési folyamatot, és készítse elő az előfeltételeket a beszállás előtt, kérje meg a Microsoft-fiókkezelőt és a CSA-t, hogy küldjön egy kérést e-mailben.
Regisztrálnia kell a "Microsoft.HardwareSecurityModules" és a "Microsoft.Network" erőforrás-szolgáltatókat, valamint az Azure Payment HSM funkcióit. Ennek lépései az Azure Payment HSM erőforrás-szolgáltatójának és erőforrás-szolgáltatói funkcióinak regisztrálása.
Figyelmeztetés
A "FastPathEnabled" funkciójelzőt minden előfizetés-azonosítóra alkalmaznia kell, és hozzá kell adnia a "fastpathenabled" címkét minden virtuális hálózathoz. További információ: Fastpathenabled.
Ha gyorsan meg szeretné állapítani, hogy az erőforrás-szolgáltatók és szolgáltatások már regisztrálva vannak-e, használja az Azure CLI az provider show parancsot. (A parancs kimenete olvashatóbb, ha táblaformátumban jeleníti meg.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o tableFolytathatja ezt a gyorsindítást, ha mind a négy parancs "Regisztrált" értéket ad vissza.
Rendelkeznie kell egy Azure-előfizetéssel. Ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.
Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.
Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.
Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.
A sablon áttekintése
A rövid útmutatóban használt sablon azuredeploy.json:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"resourceName": {
"type": "String",
"metadata": {
"description": "Azure Payment HSM resource name"
}
},
"stampId": {
"type": "string",
"defaultValue": "stamp1",
"metadata": {
"description": "stamp id"
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
},
"skuName": {
"type": "string",
"defaultValue": "payShield10K_LMK1_CPS60",
"metadata": {
"description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
}
},
"vnetName": {
"type": "string",
"metadata": {
"description": "Virtual network name"
}
},
"vnetAddressPrefix": {
"type": "string",
"metadata": {
"description": "Virtual network address prefix"
}
},
"hsmSubnetName": {
"type": "String",
"metadata": {
"description": "Subnet name"
}
},
"hsmSubnetPrefix": {
"type": "string",
"metadata": {
"description": "Subnet prefix"
}
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
"apiVersion": "2021-11-30",
"name": "[parameters('resourceName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
],
"sku": {
"name": "[parameters('skuName')]"
},
"properties": {
"networkProfile": {
"subnet": {
"id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
}
},
"managementNetworkProfile": {
"subnet": {
"id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
}
},
"stampId": "[parameters('stampId')]"
}
},
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2020-11-01",
"name": "[parameters('vnetName')]",
"location": "[parameters('location')]",
"tags": {
"fastpathenabled": "true"
},
"properties": {
"addressSpace": {
"addressPrefixes": [
"[parameters('vnetAddressPrefix')]"
]
},
"subnets": [
{
"name": "[parameters('hsmSubnetName')]",
"properties": {
"addressPrefix": "[parameters('hsmSubnetPrefix')]",
"delegations": [
{
"name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
"properties": {
"serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
}
],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
],
"enableDdosProtection": false
}
},
{
"type": "Microsoft.Network/virtualNetworks/subnets",
"apiVersion": "2020-11-01",
"name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
],
"properties": {
"addressPrefix": "[parameters('hsmSubnetPrefix')]",
"delegations": [
{
"name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
"properties": {
"serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
}
],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
]
}
A sablonban definiált Azure-erőforrás a következő:
- Microsoft.HardwareSecurityModules.dedicatedHSMs: Azure-beli fizetési HSM létrehozása.
A megfelelő azuredeploy.parameters.json fájl a következő:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"resourceName": {
"value": "myhsm1"
},
"stampId": {
"value": "stamp1"
},
"skuName": {
"value": "payShield10K_LMK1_CPS60"
},
"vnetName": {
"value": "myHsmVnet"
},
"vnetAddressPrefix": {
"value": "10.0.0.0/16"
},
"hsmSubnetName": {
"value": "myHsmSubnet"
},
"hsmSubnetPrefix": {
"value": "10.0.0.0/24"
}
}
}
A sablon üzembe helyezése
Ebben a példában az Azure CLI használatával üzembe helyez egy ARM-sablont egy Azure-beli fizetési HSM létrehozásához.
Először mentse a "azuredeploy.json" és a "azuredeploy.parameters.json" fájlokat helyileg a következő lépésben való használatra. Ezeknek a fájloknak a tartalma a Sablon áttekintése szakaszban található.
Feljegyzés
Az alábbi lépések feltételezik, hogy a "azuredeploy.json" és a "azuredeploy.parameters.json" fájl abban a könyvtárban található, ahonnan a parancsokat futtatja. Ha a fájlok egy másik könyvtárban találhatók, a fájl elérési útját ennek megfelelően kell módosítania.
Ezután hozzon létre egy Azure-erőforráscsoportot.
Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az az group create paranccsal hozzon létre egy myResourceGroup nevű erőforráscsoportot az eastus helyen.
az group create --name "myResourceGroup" --location "EastUS"
Végül használja az Azure CLI az deployment group create parancsot az ARM-sablon üzembe helyezéséhez.
az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"
Amikor a rendszer kéri, adja meg a következő értékeket a paraméterekhez:
- resourceName: myPaymentHSM
- vnetName: myVNet
- vnetAddressPrefix: 10.0.0.0/16
- hsmSubnetName: mySubnet
- hsmSubnetPrefix: 10.0.0.0/24
Az üzembe helyezés ellenőrzése
Ellenőrizheti, hogy a fizetési HSM az Azure CLI az dedicated-hsm list paranccsal lett-e létrehozva. A kimenet könnyebben olvasható, ha táblázatként formázza az eredményeket:
az dedicated-hsm list -o table
Látnia kell az újonnan létrehozott fizetési HSM nevét.
Az erőforrások eltávolítása
A gyűjtemény részét képező többi rövid útmutató és oktatóanyag erre a rövid útmutatóra épül. Ha azt tervezi, hogy az ezt követő rövid útmutatókkal és oktatóanyagokkal dolgozik tovább, ne törölje ezeket az erőforrásokat.
Ha már nincs rá szükség, az Azure CLI az group delete parancsával eltávolíthatja az erőforráscsoportot és az összes kapcsolódó erőforrást:
az group delete --name "myResourceGroup"
Következő lépések
Ebben a rövid útmutatóban üzembe helyezett egy Azure Resource Manager-sablont egy fizetési HSM létrehozásához, az üzembe helyezés ellenőrzéséhez és a fizetési HSM törléséhez. Az Azure Payment HSM-ről és az alkalmazásokkal való integrálásáról az alábbi cikkekben olvashat bővebben.
- A fizetési HSM áttekintése
- Az Azure Payment HSM használatának első lépései
- Néhány gyakori üzembehelyezési forgatókönyv megtekintése
- Tudnivalók a minősítésről és a megfelelőségről
- Olvassa el a gyakori kérdéseket