Självstudie: Skapa en HSM-betalning

Azure Payment HSM är en "BareMetal"-tjänst som levereras med thales payShield 10K-maskinvarusäkerhetsmoduler (HSM) för att tillhandahålla kryptografiska nyckelåtgärder för realtidskritiska betalningstransaktioner i Azure-molnet. Azure Payment HSM är särskilt utformat för att hjälpa en tjänsteleverantör och ett enskilt finansinstitut att påskynda betalningssystemets strategi för digital omvandling och anta det offentliga molnet. Mer information finns i Azure Payment HSM: Översikt.

I den här självstudien beskrivs hur du skapar en Azure Payment HSM med värden och hanteringsporten i samma virtuella nätverk. Du kan i stället:

• Skapa en HSM-betalning med värden och hanteringsporten i samma virtuella nätverk med hjälp av en ARM-mall
• Skapa en HSM-betalning med värden och hanteringsporten i olika virtuella nätverk med hjälp av Azure CLI eller PowerShell
• Skapa en HSM-betalning med värden och hanteringsporten i olika virtuella nätverk med hjälp av en ARM-mall
• Skapa HSM-resurs med värd- och hanteringsport med IP-adresser i olika virtuella nätverk med hjälp av ARM-mall

Kommentar

Om du vill återanvända ett befintligt virtuellt nätverk kontrollerar du att du har uppfyllt alla förutsättningar och läser sedan Så här återanvänder du ett befintligt virtuellt nätverk.

Förutsättningar

Viktigt!

Azure Payment HSM är en specialiserad tjänst. För att kvalificera sig för registrering och användning av Azure Payment HSM måste kunderna ha en tilldelad Microsoft Account Manager och ha en Molntjänstarkitekt (CSA).

Om du vill fråga om tjänsten startar du kvalificeringsprocessen och förbereder förutsättningarna före ombordstigningen genom att be din Microsoft-kontoansvarige och CSA att skicka en begäran via e-post.

Azure CLI

• Du måste registrera resursprovidrar för Microsoft.HardwareSecurityModules och Microsoft.Network samt HSM-funktionerna för Azure Payment. Steg för att göra det finns i Registrera funktionerna för Azure Payment HSM-resursprovidern och resursprovidern.

  Varning

  Du måste använda funktionsflaggan "FastPathEnabled" på varje prenumerations-ID och lägga till taggen "fastpathenabled" i varje virtuellt nätverk. Mer information finns i Fastpathenabled.

  Om du snabbt vill ta reda på om resursprovidrar och funktioner redan är registrerade använder du kommandot Azure CLI az provider show . (Utdata från det här kommandot är mer läsbara när de visas i tabellformat.)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  Du kan fortsätta med den här snabbstarten om alla fyra av dessa kommandon returnerar "Registrerad".

• Du måste ha en Azure-prenumeration. Du kan skapa ett kostnadsfritt konto om du inte har något.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

Azure PowerShell

• Du måste registrera resursprovidrar för Microsoft.HardwareSecurityModules och Microsoft.Network samt HSM-funktionerna för Azure Payment. Steg för att göra det finns i Registrera funktionerna för Azure Payment HSM-resursprovidern och resursprovidern.

  Varning

  Du måste använda funktionsflaggan "FastPathEnabled" på varje prenumerations-ID och lägga till taggen "fastpathenabled" i varje virtuellt nätverk. Mer information finns i Fastpathenabled.

  Om du snabbt vill ta reda på om resursprovidrar och funktioner redan är registrerade använder du cmdleten Azure PowerShell Get-AzProviderFeature :

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Du kan fortsätta med den här snabbstarten om "RegistrationState" för båda kommandona returnerar "Registered".

• Du måste ha en Azure-prenumeration. Du kan skapa ett kostnadsfritt konto om du inte har något.

* Om du väljer att använda Azure PowerShell lokalt: * Installera den senaste versionen av Az PowerShell-modulen. * Anslut till ditt Azure-konto med cmdleten Anslut-AzAccount. * Om du väljer att använda Azure Cloud Shell: * Mer information finns i Översikt över Azure Cloud Shell .\

• Du måste installera PowerShell-modulen Az.DedicatedHsm:

  Install-Module -Name Az.DedicatedHsm
  

Skapa en resursgrupp

Azure CLI

En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Använd kommandot az group create för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus.

az group create --name "myResourceGroup" --location "EastUS"

Azure PowerShell

En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Använd cmdleten Azure PowerShell New-AzResourceGroup för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Skapa ett virtuellt nätverk och ett undernät

Azure CLI

Innan du skapar en HSM-betalning måste du först skapa ett virtuellt nätverk och ett undernät. Det gör du genom att använda kommandot Azure CLI az network vnet create :

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

Därefter använder du kommandot Azure CLI az network vnet subnet update för att uppdatera undernätet och ge det en delegering av "Microsoft.HardwareSecurityModules/dedicatedHSMs":

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Om du vill kontrollera att det virtuella nätverket och undernätet har skapats korrekt använder du kommandot Azure CLI az network vnet subnet show :

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

Anteckna undernätets ID eftersom du behöver det i nästa steg. ID:t för undernätet slutar med namnet på undernätet:

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Azure PowerShell

Innan du skapar en HSM-betalning måste du först skapa ett virtuellt nätverk och ett undernät.

Ange först några variabler som ska användas i följande åtgärder:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Använd cmdleten Azure PowerShell New-AzDelegation för att skapa en tjänstdelegering som ska läggas till i undernätet och spara utdata i variabeln $myDelegation :

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Använd cmdleten Azure PowerShell New-AzVirtualNetworkSubnetConfig för att skapa en virtuell nätverksundernätskonfiguration och spara utdata i variabeln $myPHSMSubnet :

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Kommentar

Cmdleten New-AzVirtualNetworkSubnetConfig genererar en varning som du kan ignorera på ett säkert sätt.

Om du vill skapa ett virtuellt Azure-nätverk använder du cmdleten Azure PowerShell New-AzVirtualNetwork :

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Om du vill kontrollera att det virtuella nätverket har skapats korrekt använder du cmdleten Azure PowerShell Get-AzVirtualNetwork :

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Anteckna undernätets ID, som används i nästa steg. ID:t för undernätet slutar med namnet på undernätet:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Skapa en HSM-betalning

Viktigt!

Om du skapar två HSM:er för betalning i samma region måste du allokera en till "stamp1" och den andra till "stamp2". Mer information finns i Distributionsscenarier: Distribution med hög tillgänglighet.

Skapa med dynamiska värdar

Azure CLI

Om du vill skapa en HSM-betalning med dynamiska värdar använder du kommandot az dedicated-hsm create . I följande exempel skapas en HSM-betalning med namnet myPaymentHSM i eastus regionen, myResourceGroup resursgruppen och den angivna prenumerationen, det virtuella nätverket och undernätet:

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic list och tillhandahåller resursgruppen:

az network nic list -g myResourceGroup -o table

I utdata visas värd 1 och värd 2 samt ett hanteringsgränssnitt:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Om du vill se information om ett nyligen skapat nätverksgränssnitt använder du kommandot az network nic show och anger resursgruppen och namnet på nätverksgränssnittet:

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Utdata innehåller den här raden:

  "privateIPAllocationMethod": "Dynamic",

Azure PowerShell

Om du vill skapa en HSM-betalning med dynamiska värdar använder du cmdleten New-AzDedicatedHsm och VNet-ID:t från föregående steg:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

Utdata från HSM-betalningen ser ut så här:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Om du vill se de nyligen skapade nätverksgränssnitten använder du cmdleten Get-AzNetworkInterface och tillhandahåller resursgruppen:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

I utdata visas värd 1 och värd 2, samt hanteringsgränssnittet:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

I Azure-portalen är "Privat IP-allokeringsmetod" "Dynamisk":

Skapa med statiska värdar

Azure CLI

Om du vill skapa en HSM-betalning med statiska värdar använder du kommandot az dedicated-hsm create . I följande exempel skapas en HSM-betalning med namnet myPaymentHSM i eastus regionen, myResourceGroup resursgruppen och den angivna prenumerationen, det virtuella nätverket och undernätet:

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

Om du även vill ange en statisk IP-adress för hanteringsvärden kan du lägga till:

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

Om du vill se de nyligen skapade nätverksgränssnitten använder du kommandot az network nic list och tillhandahåller resursgruppen:

az network nic list -g myResourceGroup -o table

I utdata visas värd 1 och värd 2, samt hanteringsgränssnittet:

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

Om du vill visa egenskaperna för ett nätverksgränssnitt använder du kommandot az network nic show och anger resursgruppen och namnet på nätverksgränssnittet:

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

Utdata innehåller den här raden:

  "privateIPAllocationMethod": "Static",

Azure PowerShell

Om du vill skapa en HSM-betalning med statiska värdar använder du cmdleten New-AzDedicatedHsm och VNet-ID:t från föregående steg:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

Om du även vill ange en statisk IP-adress för hanteringsvärden kan du lägga till:

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

Utdata från HSM-betalningen ser ut så här:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Om du vill se de nyligen skapade nätverksgränssnitten använder du cmdleten Get-AzNetworkInterface och tillhandahåller resursgruppen:

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

I utdata visas värd 1 och värd 2, samt hanteringsgränssnittet:

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure-portalen visar "Privat IP-allokeringsmetod" som "Dynamisk":

Nästa steg

Gå vidare till nästa artikel för att lära dig hur du visar din HSM-betalning.

Visa dina HSM:er för betalning

Ytterligare information:

• Läs en översikt över HSM för betalning
• Ta reda på hur du kommer igång med Azure Payment HSM
• Se några vanliga distributionsscenarier
• Läs mer om certifiering och efterlevnad
• Läs vanliga frågor och svar