教學課程:建立付款 HSM
Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) 提供的「BareMetal」服務,可為 Azure 雲端中的即時重大付款交易提供密碼編譯密鑰作業。 Azure 付款 HSM 專為協助服務提供者和個別金融機構加速其付款系統的數字轉型策略,並採用公用雲端而設計。 如需詳細資訊,請參閱 Azure 付款 HSM:概觀。
本教學課程說明如何在相同的虛擬網路中建立具有主機和管理埠的 Azure 付款 HSM。 您可以改為:
- 使用ARM範本,在相同虛擬網路中建立具有主機和管理埠的付款 HSM
- 使用 Azure CLI 或 PowerShell 在不同的虛擬網路中建立具有主機和管理埠的付款 HSM
- 使用ARM範本,在不同的虛擬網路中建立具有主機和管理埠的付款 HSM
- 使用 ARM 範本,使用不同虛擬網路中的 IP 位址建立具有主機和管理埠的 HSM 資源
注意
如果您想要重複使用現有的 VNet,請確認您已符合所有 必要條件 ,然後閱讀 如何重複使用現有的虛擬網路。
必要條件
重要
Azure 付款 HSM 是特製化服務。 若要符合 Azure 付款 HSM 的上線和使用資格,客戶必須擁有指派的 Microsoft 帳戶管理員,並擁有雲端服務架構師(CSA)。
若要詢問服務、啟動資格程式,並在上架前準備必要條件,請要求您的 Microsoft 帳戶管理員和 CSA 透過電子郵件傳送要求。
您必須註冊 「Microsoft.HardwareSecurityModules」 和 「Microsoft.Network」 資源提供者,以及 Azure 付款 HSM 功能。 執行此動作的步驟位於 註冊 Azure 付款 HSM 資源提供者和資源提供者功能。
警告
您必須將 「FastPathEnabled」 功能旗標套用至 每個 訂用帳戶標識碼,並將 「fastpathenabled」 標籤新增至 每個 虛擬網路。 如需詳細資訊,請參閱 Fastpathenabled。
若要快速確定是否已註冊資源提供者和功能,請使用 Azure CLI az provider show 命令。 (當以表格格式顯示時,此命令的輸出更容易閱讀。
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table如果上述四個命令都傳回 「Registered」,您可以繼續進行此快速入門。
您必須擁有 Azure 訂用帳戶。 如果您沒有免費帳戶,您可以 建立免費帳戶 。
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
建立資源群組
資源群組是在其中部署與管理 Azure 資源的邏輯容器。 使用 az group create 命令,在 eastus 位置建立名為 myResourceGroup 的資源群組。
az group create --name "myResourceGroup" --location "EastUS"
建立虛擬網路和子網路
建立付款 HSM 之前,您必須先建立虛擬網路和子網。 若要這樣做,請使用 Azure CLI az network vnet create 命令:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
之後,使用 Azure CLI az network vnet subnet update 命令來更新子網,並將 “Microsoft.HardwareSecurityModules/dedicatedHSMs” 委派提供給它:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
若要確認已正確建立 VNet 和子網,請使用 Azure CLI az network vnet subnet show 命令:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
請記下子網的標識碼,因為您需要它才能進行下一個步驟。 子網的識別碼結尾為子網的名稱:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
建立付款 HSM
重要
如果您在相同區域中建立兩個付款 HSM,則必須將一個配置給 “stamp1”,另一個配置給 “stamp2”。 如需詳細資訊,請參閱 部署案例:高可用性部署。
使用動態主機建立
若要使用動態主機建立付款 HSM,請使用 az dedicated-hsm create 命令。 下列範例會在區域、資源群組和指定的訂用帳戶、myResourceGroup虛擬網路和子網中eastus建立名為 myPaymentHSM 的付款 HSM:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60"
若要查看新建立的網路介面,請使用 az network nic list 命令,並提供資源群組:
az network nic list -g myResourceGroup -o table
在輸出中,會列出主機 1 和主機 2,以及管理介面:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
若要查看新建立的網路介面,請使用 az network nic show 命令,提供網路介面的資源組名:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
輸出包含這一行:
"privateIPAllocationMethod": "Dynamic",
使用靜態主機建立
若要使用靜態主機建立付款 HSM,請使用 az dedicated-hsm create 命令。 下列範例會在區域、資源群組和指定的訂用帳戶、myResourceGroup虛擬網路和子網中eastus建立名為 myPaymentHSM 的付款 HSM:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
如果您想要同時指定管理主機的靜態 IP,您可以新增:
--mgmt-network-interfaces private-ip-address="10.0.0.7" \
--mgmt-network-subnet="<subnet-id>"
若要查看新建立的網路介面,請使用 az network nic list 命令,並提供資源群組:
az network nic list -g myResourceGroup -o table
在輸出中,會列出主機 1 和主機 2,以及管理介面:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
若要檢視網路介面的屬性,請使用 az network nic show 命令,提供網路介面的資源組名:
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
輸出包含這一行:
"privateIPAllocationMethod": "Static",
下一步
請前進到下一篇文章,以瞭解如何檢視您的付款 HSM。
其他資訊:
- 閱讀付款 HSM 概觀
- 瞭解如何 開始使用 Azure 付款 HSM
- 請參閱一些常見的 部署案例
- 了解 認證與合規性
- 閱讀常見問題