チュートリアル: 決済用 HSM を作成する

Azure Payment HSM は、Thales payShield 10K 支払いハードウェア セキュリティ モジュール (HSM) を使って提供される「ベアメタル」サービスであり、Azure クラウドでのリアルタイムの重要な支払いトランザクションに暗号化キー操作を提供します。 Azure Payment HSM は、サービス プロバイダーと個々の金融機関が、支払いシステムのデジタル トランスフォーメーション戦略を促進し、パブリック クラウドを採用するのに特に役立つように設計されています。 詳細については、Azure Payment HSM の概要に関する記事を参照してください。

このチュートリアルでは、同じ仮想ネットワーク内でホストと管理ポートを使用して Azure Payment HSM を作成する方法について説明します。 代わりに、以下を行うことができます。

• ARM テンプレートを使って、同じ仮想ネットワーク内のホストと管理ポートで決済用 HSM を作成する
• Azure CLI または PowerShell を使って、異なる仮想ネットワーク内のホストと管理ポートで決済用 HSM を作成する
• ARM テンプレートを使って、異なる仮想ネットワーク内のホストと管理ポートで決済用 HSM を作成する
• ARM テンプレートを使って、異なる仮想ネットワーク内の IP アドレスを持つホストと管理ポートで HSM リソースを作成する

注意

既存の VNet を再利用する場合は、すべての前提条件を満たしていることを確認し、「既存の仮想ネットワークを再利用する方法」を参照してください。

前提条件

重要

Azure Payment HSM は、専門化されたサービスです。 Azure Payment HSM のオンボードと使用の資格を得るには、Microsoft アカウント マネージャーが割り当てられており、クラウド サービス アーキテクト (CSA) が存在している必要があります。

サービスについて問い合わせるには、認定プロセスを開始し、オンボード前に前提条件を準備するには、Microsoft アカウント マネージャーと CSA にメールで要求を送信するように依頼してください。

Azure CLI

• "Microsoft.HardwareSecurityModules" と "Microsoft.Network" リソース プロバイダー、および Azure Payment HSM 機能を登録する必要があります。 これを行う手順については、「Azure Payment HSM リソース プロバイダーとリソース プロバイダーの機能を登録する」を参照してください。

  警告

  すべてのサブスクリプション ID に "FastPathEnabled" 機能フラグを適用し、すべての仮想ネットワークに "fastpathenabled" タグを追加する必要があります。 詳細については、Fastpathenabled に関するページを参照してください。

  リソース プロバイダーと機能が既に登録されているかどうかを迅速に確認するには、Azure CLI の az provider show コマンドを使います。 (このコマンドの出力は、表形式で表示すると読みやすくなります。)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  これらの 4 つのコマンドすべてが "Registered" を返す場合は、このクイック スタートを続行できます。

• Azure サブスクリプションが必要です。 アカウントがない場合は、無料アカウントを作成することができます。

• Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

  • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

  • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

Azure PowerShell

• "Microsoft.HardwareSecurityModules" と "Microsoft.Network" リソース プロバイダー、および Azure Payment HSM 機能を登録する必要があります。 これを行う手順については、「Azure Payment HSM リソース プロバイダーとリソース プロバイダーの機能を登録する」を参照してください。

  警告

  すべてのサブスクリプション ID に "FastPathEnabled" 機能フラグを適用し、すべての仮想ネットワークに "fastpathenabled" タグを追加する必要があります。 詳細については、Fastpathenabled に関するページを参照してください。

  リソース プロバイダーと機能が既に登録されているかどうかを迅速に確認するには、Azure PowerShell の Get-AzProviderFeature コマンドレットを使用します。

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

両方のコマンドの "RegistrationState" が "Registered" を返す場合は、このクイック スタートを続行できます。

• Azure サブスクリプションが必要です。 アカウントがない場合は、無料アカウントを作成することができます。

* Azure PowerShell をローカルで使う場合: * 最新バージョンの Az PowerShell モジュールをインストールします。 * Connect-AzAccount コマンドレットを使用して、Azure アカウントに接続します。 * Azure Cloud Shell を使用する場合: * 詳細については「Azure Cloud Shell の概要」を参照してください。

• Az.DedicatedHsm PowerShell モジュールをインストールする必要があります。

  Install-Module -Name Az.DedicatedHsm
  

リソース グループを作成する

Azure CLI

リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。 az group create コマンドを使用して、myResourceGroup という名前のリソース グループを eastus に作成します。

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。 Azure PowerShell の New-AzResourceGroup コマンドレットを使用して、myResourceGroup という名前のリソース グループを eastus に作成します。

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

仮想ネットワークとサブネットの作成

Azure CLI

決済用 HSM を作成する前に、まず仮想ネットワークとサブネットを作成する必要があります。 これを行うには、Azure CLI の az network vnet create コマンドを使用します。

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

その後、Azure CLI の az network vnet subnet update コマンドを使用してサブネットを更新し、"Microsoft.HardwareSecurityModules/dedicatedHSMs" の委任を付与します。

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

VNet とサブネットが正しく作成されたことを確認するには、Azure CLI の az network vnet show コマンドを使用します。

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

次の手順で必要になるため、サブネットの ID をメモしておきます。 サブネットの ID は、末尾がサブネットの名前で終わります。

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

決済用 HSM を作成する前に、まず仮想ネットワークとサブネットを作成する必要があります。

最初に、後続の操作で使用する変数をいくつか設定します。

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Azure PowerShell の New-AzDelegation コマンドレットを使用して、サブネットに追加するサービス委任を作成し、出力を $myDelegation 変数に保存します。

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Azure PowerShell の New-AzVirtualNetworkSubnetConfig コマンドレットを使用して仮想ネットワーク サブネット構成を作成し、出力を $myPHSMSubnet 変数に保存します。

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

注意

New-AzVirtualNetworkSubnetConfig コマンドレットによって警告が生成されますが、無視しても問題ありません。

Azure Virtual Network を作成するには、Azure PowerShell の New-AzVirtualNetwork コマンドレットを使用します。

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

VNet が正しく作成されたことを確認するには、Azure PowerShell の Get-AzVirtualNetwork コマンドレットを使用します。

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

サブネットの ID をメモします。これは次の手順で使用します。 サブネットの ID は、末尾がサブネットの名前で終わります。

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

決済用 HSM を作成する

重要

同じリージョンに 2 つの決済用 HSM を作成する場合は、一方を "stamp1" に割り当て、もう一方を "stamp2" に割り当てる必要があります。 詳細については、デプロイメント シナリオ: 高可用性デプロイメントに関するページを参照してください。

動的ホストを使用して作成する

Azure CLI

動的ホストを使用して決済用 HSM を作成するには、az dedicated-hsm create コマンドを使用します。 次の例では、eastus リージョン、myResourceGroup リソース グループ、指定のサブスクリプション、仮想ネットワーク、およびサブネットで、myPaymentHSM という名前の決済用 HSM を作成します。

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

新しく作成されたネットワーク インターフェイスを表示するには、az network nic list コマンドを使用してリソース グループを指定します。

az network nic list -g myResourceGroup -o table

出力には、管理 インターフェイスとともに、ホスト 1 とホスト 2 が一覧表示されます。

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

新しく作成されたネットワーク インターフェイスの詳細を表示するには、az network nic show コマンドを使用して、ネットワーク インターフェイスのリソース グループと名前を指定します。

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

出力には次の行が含まれます。

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

動的ホストを使用して決済用 HSM を作成するには、New-AzDedicatedHsm コマンドレットと前の手順の VNet ID を使用します。

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

決済用 HSM の作成の出力は次のようになります。

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

新しく作成されたネットワーク インターフェイスを表示するには、Get-AzNetworkInterface コマンドレットを使用して、リソース グループを指定します。

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

出力には、管理 インターフェイスとともに、ホスト 1 とホスト 2 が一覧表示されます。

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure portal では、"プライベート IP 割り当て方法" が "動的" です。

静的ホストを使用して作成する

Azure CLI

静的ホストを使用して決済用 HSM を作成するには、az dedicated-hsm create コマンドを使用します。 次の例では、eastus リージョン、myResourceGroup リソース グループ、指定のサブスクリプション、仮想ネットワーク、およびサブネットで、myPaymentHSM という名前の決済用 HSM を作成します。

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

管理ホストの静的 IP も指定したい場合は、次のように追加できます。

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

新しく作成されたネットワーク インターフェイスを表示するには、az network nic list コマンドを使用してリソース グループを指定します。

az network nic list -g myResourceGroup -o table

出力には、管理 インターフェイスとともに、ホスト 1 とホスト 2 が一覧表示されます。

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

ネットワーク インターフェイスのプロパティを表示するには、az network nic show コマンドを使用して、ネットワーク インターフェイスのリソース グループと名前を指定します。

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

出力には次の行が含まれます。

  "privateIPAllocationMethod": "Static",

Azure PowerShell

静的ホストを使用して決済用 HSM を作成するには、New-AzDedicatedHsm コマンドレットと前の手順の VNet ID を使用します。

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

管理ホストの静的 IP も指定したい場合は、次のように追加できます。

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

決済用 HSM の作成の出力は次のようになります。

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

新しく作成されたネットワーク インターフェイスを表示するには、Get-AzNetworkInterface コマンドレットを使用して、リソース グループを指定します。

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

出力には、管理 インターフェイスとともに、ホスト 1 とホスト 2 が一覧表示されます。

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure portal では、"プライベート IP 割り当て方法" が "動的" と表示されます。

次のステップ

次の記事に進み、決済用 HSM の表示方法を確認します。

決済用 HSM を表示する

追加情報:

• Payment HSM の概要を読む
• Azure Payment HSM の使用を開始する方法を確認する
• いくつかの一般的なデプロイ シナリオを確認する
• 認定とコンプライアンスの詳細について学習する
• よく寄せられる質問を参照する