자습서: ARM 템플릿을 사용하여 서로 다른 가상 네트워크에서 호스트 및 관리 포트로 결제 HSM 만들기

Azure Payment HSM은 Thales payShield 10K 결제 HSM(하드웨어 보안 모듈)을 사용하여 Azure 클라우드에서 중요한 실시간 결제 트랜잭션을 위한 암호화 키 작업을 제공하는 "BareMetal" 서비스입니다. Azure 결제 HSM은 서비스 공급자와 개별 금융 기관이 결제 시스템의 디지털 변환 전략을 가속화하고 퍼블릭 클라우드를 채택할 수 있도록 특별히 설계되었습니다. 자세한 내용은 Azure 결제 HSM: 개요를 참조하세요.

이 자습서에서는 Azure CLI 또는 Azure PowerShell을 사용하여 다른 가상 네트워크의 호스트 및 관리 포트를 사용하여 지불결제용 HSM을 만드는 방법을 설명합니다. 대신 다음을 수행할 수 있습니다.

• Azure CLI 또는 PowerShell을 사용하여 동일한 가상 네트워크에 호스트 및 관리 포트가 있는 지불결제용 HSM 만들기
• ARM 템플릿을 사용하여 동일한 가상 네트워크에 호스트 및 관리 포트가 있는 지불결제용 HSM 만들기
• ARM 템플릿을 사용하여 서로 다른 가상 네트워크에 호스트 및 관리 포트가 있는 지불결제용 HSM 만들기
• ARM 템플릿을 사용하여 서로 다른 가상 네트워크에서 IP 주소가 있는 호스트 및 관리 포트로 HSM 리소스 만들기

Azure Resource Manager 템플릿은 프로젝트의 인프라 및 구성을 정의하는 JSON(JavaScript Object Notation) 파일입니다. 이 템플릿은 선언적 구문을 사용합니다. 배포를 만들기 위한 프로그래밍 명령 시퀀스를 작성하지 않고 의도한 배포를 설명합니다.

필수 조건

Important

Azure Payment HSM은 특화된 서비스입니다. Azure Payment HSM에 온보딩하고 사용할 자격을 갖추려면 고객에게 Microsoft 계정 관리자가 할당되어야 하며 CSA(클라우드 서비스 설계자)가 있어야 합니다.

서비스에 대해 문의하고 검증 프로세스를 시작하고 온보딩 전에 필수 조건을 준비하려면 Microsoft 영업 담당자와 CSA에게 이메일을 통해 요청을 보내도록 요청합니다.

• Azure Payment HSM 기능뿐만 아니라 “Microsoft.HardwareSecurityModules” 및 “Microsoft.Network” 리소스 공급자를 등록해야 합니다. 이를 위한 단계는 Azure Payment HSM 리소스 공급자 및 리소스 공급자 기능 등록에 있습니다.

  리소스 공급자 및 기능이 이미 등록되어 있는지 빠르게 확인하려면 Azure CLI az provider show 명령을 사용합니다. (이 명령의 출력은 테이블 형식으로 표시될 때 읽기가 더 편리합니다.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  이 네 가지 명령이 모두 “Registered”를 반환하면 이 빠른 시작을 계속할 수 있습니다.

• Azure 구독이 있어야 합니다. 계정이 없는 경우 체험 계정을 만들 수 있습니다.

• Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.

  

• CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.

  • 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

---

리소스 그룹 만들기

Azure CLI

리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. az group create 명령을 사용하여 eastus 위치에 myResourceGroup이라는 리소스 그룹을 만듭니다.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. Azure PowerShell New-AzResourceGroup cmdlet을 사용하여 eastus 위치에 myResourceGroup이라는 리소스 그룹을 만듭니다.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

가상 네트워크 및 서브넷 만들기

지불결제용 HSM을 만들기 전에 먼저 호스트에 대한 가상 네트워크/서브넷과 관리 포트에 대한 다른 가상 네트워크/서브넷을 만들어야 합니다.

Azure CLI

먼저 Azure CLI az network vnet create 명령을 사용하여 호스트에 대한 가상 네트워크를 만듭니다.

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

그런 다음, Azure CLI az network vnet subnet update 명령을 사용하여 서브넷을 업데이트하고 “Microsoft.HardwareSecurityModules/dedicatedHSMs”의 위임을 제공합니다.

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

VNet 및 서브넷이 올바르게 만들어졌는지 확인하려면 Azure CLI az network vnet subnet show 명령을 사용합니다.

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

지불결제용 HSM을 만들 때 사용되는 호스트의 서브넷 ID를 기록해 둡니다. 서브넷의 ID는 서브넷 이름으로 끝납니다.

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

이제 관리 포트에 대한 다른 가상 네트워크 및 서브넷을 만듭니다.

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

다시 말하자면 Azure CLI az network vnet subnet update 명령을 사용하여 서브넷을 업데이트하고 “Microsoft.HardwareSecurityModules/dedicatedHSMs”의 위임을 제공합니다.

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

관리 VNet 및 서브넷이 올바르게 만들어졌는지 확인하려면 Azure CLI az network vnet subnet show 명령을 사용합니다.

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

또한 지불결제용 HSM을 만들 때 관리의 서브넷 ID가 필요합니다.

Azure PowerShell

먼저 호스트 VNet/서브넷을 만드는 데 사용할 다음과 같은 몇 가지 변수를 설정합니다.

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Azure PowerShell New-AzDelegation cmdlet을 사용하여 호스트 서브넷에 추가할 서비스 위임을 만들고 출력을 $myDelegation 변수에 저장합니다.

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Azure PowerShell New-AzVirtualNetworkSubnetConfig cmdlet을 사용하여 가상 네트워크 서브넷 구성을 만들고 출력을 $myPHSMSubnet 변수에 저장합니다.

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

참고 항목

New-AzVirtualNetworkSubnetConfig cmdlet은 무시해도 안전한 경고를 생성합니다.

Azure Virtual Network를 만들려면 Azure PowerShell new-AzVirtualNetwork cmdlet을 사용합니다.

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

VNet이 올바르게 만들어졌는지 확인하려면 Azure PowerShell Get-AzVirtualNetwork cmdlet을 사용합니다.

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

다음 단계에서 사용되므로 서브넷의 ID를 기록해 둡니다. 서브넷의 ID는 서브넷 이름으로 끝납니다.

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

이제 관리 포트에 대한 다른 가상 네트워크 및 서브넷을 만듭니다. 먼저 다음과 같이 새 변수를 설정합니다.

$ManagementVNetAddressPrefix = @("10.1.0.0/16")
$ManagementSubnetAddressPrefix = "10.1.0.0/24"
$myManagementSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myManagementSubnet" -AddressPrefix $ManagementSubnetAddressPrefix -Delegation $myDelegation

Azure PowerShell New-AzVirtualNetwork cmdlet을 사용하여 관리 가상 네트워크 및 서브넷을 만듭니다.

New-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $ManagementVNetAddressPrefix -Subnet $myManagementSubnetConfig

VNet이 올바르게 만들어졌는지 확인하려면 Azure PowerShell Get-AzVirtualNetwork cmdlet을 사용합니다.

Get-AzVirtualNetwork -Name "myManagementVNet" -ResourceGroupName "myResourceGroup"

또한 지불결제용 HSM을 만들 때 관리의 서브넷 ID가 필요합니다.

Payment HSM 만들기

동적 호스트를 사용하여 만들기

Azure CLI

동적 호스트를 사용하는 지불결제용 HSM을 만들려면 az dedicated-hsm create 명령을 사용합니다. 다음 예제에서는 myPaymentHSM이라는 Payment HSM을 eastus 지역, myResourceGroup 리소스 그룹 및 지정된 구독, 가상 네트워크 및 서브넷에 만듭니다.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

새로 만든 네트워크 인터페이스를 보려면 az network nic list 명령을 사용하고 리소스 그룹을 제공합니다.

az network nic list -g myResourceGroup -o table

출력에서 호스트 1 및 호스트 2가 관리 인터페이스와 함께 나열됩니다.

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

새로 만든 네트워크 인터페이스를 보려면 az network nic show 명령을 사용하고 리소스 그룹 및 네트워크 인터페이스의 이름을 제공합니다.

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

출력에는 다음 줄이 포함됩니다.

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

동적 호스트를 사용하는 지불결제용 HSM을 만들려면 New-AzDedicatedHsm cmdlet 및 이전 단계의 VNet ID를 사용합니다.

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -ManagementSubnetId "<ManagementSubnetId>"

지불결제용 HSM 만들기의 출력은 다음과 같습니다.

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

새로 만든 네트워크 인터페이스를 보려면 Get-AzNetworkInterface cmdlet을 사용하고 리소스 그룹을 제공합니다.

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

출력에서 호스트 1 및 호스트 2가 관리 인터페이스와 함께 나열됩니다.

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure Portal은 "개인 IP 할당 방법"을 "동적"으로 표시합니다.

정적 호스트를 사용하여 만들기

Azure CLI

정적 호스트를 사용하는 지불결제용 HSM을 만들려면 az dedicated-hsm create 명령을 사용합니다. 다음 예제에서는 myPaymentHSM이라는 Payment HSM을 eastus 지역, myResourceGroup 리소스 그룹 및 지정된 구독, 가상 네트워크 및 서브넷에 만듭니다.

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

관리 호스트에 대해서도 고정 IP를 지정하려는 경우 다음을 추가할 수 있습니다.

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

새로 만든 네트워크 인터페이스를 보려면 az network nic list 명령을 사용하고 리소스 그룹을 제공합니다.

az network nic list -g myResourceGroup -o table

출력에서 호스트 1 및 호스트 2가 관리 인터페이스와 함께 나열됩니다.

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

네트워크 인터페이스의 속성을 보려면 az network nic show 명령을 사용하고 리소스 그룹 및 네트워크 인터페이스의 이름을 제공합니다.

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

출력에는 다음 줄이 포함됩니다.

  "privateIPAllocationMethod": "Static",

Azure PowerShell

정적 호스트를 사용하는 지불결제용 HSM을 만들려면 New-AzDedicatedHsm cmdlet 및 이전 단계의 VNet ID를 사용합니다.

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<host-subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'}) -ManagementNetworkInterface @{PrivateIPAddress = '10.1.0.5'} -ManagementSubnetId "<management-subnet-id>"

지불결제용 HSM 만들기의 출력은 다음과 같습니다.

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

새로 만든 네트워크 인터페이스를 보려면 Get-AzNetworkInterface cmdlet을 사용하고 리소스 그룹을 제공합니다.

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

출력에서 호스트 1 및 호스트 2가 관리 인터페이스와 함께 나열됩니다.

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure Portal은 "개인 IP 할당 방법"을 "정적"으로 표시합니다.

다음 단계

다음 문서로 이동하여 지불결제용 HSM을 만드는 방법을 알아봅니다.

지불결제용 HSM 보기

추가 정보:

• 결제 HSM 개요 읽기
• Azure Payment HSM 시작 방법 알아보기
• 몇 가지 일반적인 배포 시나리오를 참조하세요.
• 인증 및 규정 준수에 대해 알아보기
• 질문과 대답을 읽어보세요.