Guida introduttiva: Creare un modulo HSM di pagamento di Azure con Azure PowerShell
Il modulo di protezione hardware di pagamento di Azure è un servizio "BareMetal" fornito tramite moduli di protezione hardware di pagamento Thales payShield 10K (HSM) per fornire operazioni di chiave crittografica per transazioni di pagamento critiche in tempo reale nel cloud di Azure. Il modulo di protezione hardware di pagamento di Azure è progettato specificamente per aiutare un provider di servizi e un singolo istituto finanziario ad accelerare la strategia di trasformazione digitale del sistema di pagamento e adottare il cloud pubblico. Per altre informazioni, vedere Modulo di protezione hardware di pagamento di Azure: Panoramica.
Questa guida introduttiva descrive come creare un modulo HSM di pagamento di Azure usando il modulo Az.DedicatedHsm di PowerShell.
Prerequisiti
Importante
Il modulo di protezione hardware di pagamento di Azure è un servizio specializzato. Per qualificarsi per l'onboarding e l'uso del modulo di protezione hardware di pagamento di Azure, i clienti devono avere un Account Manager designato da Microsoft assegnato e un Cloud Service Architect (CSA).
Per richiedere informazioni sul servizio, avviare il processo di qualificazione e preparare i prerequisiti prima dell'onboarding, chiedere all’Account Manager designato da Microsoft e al CSA di inviare una richiesta tramite posta elettronica.
È necessario registrare i provider di risorse "Microsoft.HardwareSecurityModules" e "Microsoft.Network", nonché le funzionalità del modulo di protezione hardware di pagamento di Azure. Per eseguire questa operazione, vedere Registrare il provider di risorse del modulo di protezione hardware di Pagamento di Azure e le funzionalità del provider di risorse.
Avviso
È necessario applicare il flag di funzionalità "FastPathEnabled" a ogni ID sottoscrizione e aggiungere il tag "fastpathenabled" a ogni rete virtuale. Per altre informazioni, vedere Fastpathenabled.
Per verificare rapidamente se i provider di risorse e le funzionalità sono già registrati, usare il cmdlet Get-AzProviderFeaturedi Azure PowerShell:
Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules
Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network
È possibile continuare con questa guida introduttiva se "RegistrationState" di entrambi i comandi restituisce "Registered".
È necessaria una sottoscrizione di Azure. Se non si ha un account, è possibile crearne uno gratuito.
Se si hanno più sottoscrizioni di Azure, impostare quella da usare per la fatturazione con il cmdlet Set-AzContext di Azure PowerShell.
Set-AzContext -Subscription "<subscription-id>"
- Se si sceglie di usare Azure PowerShell in locale:
- Installare la versione più recente del modulo Az di PowerShell.
- Connettersi all'account Azure con il cmdlet Connect-AzAccount.
- Se si sceglie di usare Azure Cloud Shell:
- Vedere Panoramica di Azure Cloud Shell per altre informazioni.
È necessario installare il modulo PowerShell Az.DedicatedHsm:
Install-Module -Name Az.DedicatedHsm
Creare un gruppo di risorse
Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il cmdlet New-AzResourceGroup di Azure PowerShell per creare un gruppo di risorse denominato myResourceGroup nella posizione eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Creare una rete virtuale e una subnet
Prima di creare un modulo di protezione hardware di pagamento, è necessario creare una rete virtuale e una sottorete.
Prima di tutto, impostare alcune variabili da usare nelle operazioni successive:
$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}
Usare il cmdlet New-AzDelegation di Azure PowerShell per creare una delega del servizio da aggiungere alla sottorete e salvare l'output nella variabile $myDelegation:
$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Usare il cmdlet New-AzVirtualNetworkSubnetConfig di Azure PowerShell per creare una configurazione della sottorete di rete virtuale e salvare l'output nella variabile $myPHSMSubnet:
$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation
Nota
Il cmdlet New-AzVirtualNetworkSubnetConfig genererà un avviso, che è possibile ignorare in modo sicuro.
Per creare una rete virtuale di Azure, usare il cmdlet New-AzVirtualNetworkdi Azure PowerShell:
New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig
Per verificare che la rete virtuale sia stata creata correttamente, usare il cmdlet Get-AzVirtualNetwork di Azure PowerShell:
Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"
Prendere nota del valore restituito come Id, come viene usato nel passaggio successivo. Id è nel formato:
"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Creare un modulo di protezione hardware di pagamento
Per creare un modulo di protezione hardware di pagamento, usare il cmdlet New-AzDedicatedHsm e l'ID rete virtuale del passaggio precedente:
New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"
L'output della creazione del modulo di protezione hardware di pagamento è simile al seguente:
Name Provisioning State SKU Location
---- ------------------ --- --------
myHSM Succeeded payShield10K_LMK1_CPS60 East US
Ottenere un modulo di protezione hardware di pagamento
Per visualizzare il modulo di protezione hardware di pagamento e le relative proprietà, usare il cmdlet Get-AzDedicatedHsm di Azure PowerShell.
Get-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroup "myResourceGroup"
Per elencare tutti i moduli di protezione hardware di pagamento, usare il cmdlet Get-AzDedicatedHsm senza parametri.
Per ottenere altre informazioni sul modulo di protezione hardware di pagamento, è possibile usare il cmdlet Get-AzResource, specificando il gruppo di risorse e "Microsoft.HardwareSecurityModules/dedicatedHSMs" come tipo di risorsa:
Get-AzResource -ResourceGroupName "myResourceGroup" -ResourceType "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Rimuovere un modulo di protezione hardware di pagamento
Per rimuovere il modulo di protezione hardware di pagamento, usare il cmdlet Remove-AzDedicatedHsm di Azure PowerShell. L'esempio seguente elimina il modulo HSM di pagamento myPaymentHSM dal gruppo di risorse myResourceGroup:
Remove-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup"
Eliminare il gruppo di risorse
Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare altre guide introduttive ed esercitazioni, è consigliabile non cancellare le risorse create.
Quando non servono più, è possibile usare il cmdlet Remove-AzResourceGroup di Azure PowerShell per rimuovere il gruppo di risorse e tutte le risorse correlate.
Remove-AzResourceGroup -Name "myResourceGroup"
Passaggi successivi
In questa guida rapida è stato creato un modulo di protezione hardware di pagamento, sono state visualizzate e aggiornate le relative proprietà ed è stato eliminato. Per altre informazioni sui moduli di protezione hardware di pagamento e su come integrarli nelle applicazioni, continuare con questi articoli.
- Leggere una Panoramica del modulo di protezione hardware di pagamento
- Informazioni su come iniziare a usare l’HSM di pagamento di Azure
- Vedere alcuni scenari di distribuzione comuni
- Informazioni su Certificazione e conformità
- Leggere le Domande Frequenti