快速入門：使用 Azure CLI 建立 Azure 付款 HSM

發行項
08/08/2024

Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) 提供的「裸機」服務，可為 Azure 雲端的即時重大付款交易提供密碼編譯金鑰作業。 Azure 付款 HSM 專為服務提供者和個別金融機構所設計，協助加速其付款系統的數位轉型策略，以及採用公用雲端。如需詳細資訊，請參閱 Azure 付款 HSM：概觀。

本快速入門說明如何使用 az dedicated-hsm Azure CLI 命令來建立、更新和刪除 Azure 付款 HSM。

必要條件

重要

Azure 付款 HSM 是特殊化服務。若要符合上線和使用 Azure 付款 HSM 的資格，客戶必須具有一個指派的 Microsoft 客戶經理，以及具有一個雲端服務架構師 (CSA)。

若要查詢服務、開始資格審查程序，以及備妥上線前的必要條件，請要求 Microsoft 帳戶管理員和 CSA 透過電子郵件傳送要求。

您必須註冊 "Microsoft.HardwareSecurityModules" 和 "Microsoft.Network" 資源提供者，以及 Azure 付款 HSM 功能。這樣做的步驟位於註冊 Azure 付款 HSM 資源提供者和資源提供者功能。

警告

您必須將 "FastPathEnabled" 功能旗標套用至每個訂用帳戶識別碼，並將 "fastpathenabled" 標籤新增至每個虛擬網路。如需詳細資訊，請參閱 Fastpathenabled。

若要快速確定是否已註冊資源提供者和功能，請使用 Azure CLI az provider show 命令。 (如果您以表格格式顯示此命令的輸出，該輸出更容易閱讀。)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
如果上述四個命令都傳回 "Registered"，您就可以繼續進行本快速入門。
您必須擁有 Azure 訂用帳戶。您可以建立免費帳戶 (如果沒有的話)。

如果您有多個 Azure 訂用帳戶，請使用 Azure CLI az account set 命令來設定要用於計費的訂用帳戶。
```
az account set --subscription <subscription-id>
```

在 Azure Cloud Shell 中使用 Bash 環境。如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令，請安裝 Azure CLI。若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
- 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。請遵循您終端機上顯示的步驟，完成驗證程序。如需其他登入選項，請參閱使用 Azure CLI 登入。
- 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。
- 執行 az version 以尋找已安裝的版本和相依程式庫。若要升級至最新版本，請執行 az upgrade。

建立資源群組

資源群組是在其中部署與管理 Azure 資源的邏輯容器。使用 az group create 命令，在 eastus 位置中建立名為 myResourceGroup 的資源群組。

az group create --name "myResourceGroup" --location "EastUS"

建立虛擬網路和子網路

建立付款 HSM 之前，您必須先建立虛擬網路和子網路。若要這樣做，請使用 Azure CLI az network vnet create 命令：

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

之後，使用 Azure CLI az network vnet subnet update 命令來更新子網路，並將提供 "Microsoft.HardwareSecurityModules/dedicatedHSMs" 委派：

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

若要確認已正確建立虛擬網路和子網路，請使用 Azure CLI az network vnet show 命令：

az network vnet show -n "myVNet" -g "myResourceGroup"

記下以 id 形式傳回的值，因為它會在下一個步驟中使用。 id 的格式如下：

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

建立付款 HSM

若要建立付款 HSM，請使用 az dedicated-hsm create 命令。下列範例會在 eastus 區域、myResourceGroup 資源群組，以及指定的訂用帳戶、虛擬網路和子網路中，建立名為 myPaymentHSM 的付款 HSM：

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60"

取得付款 HSM

若要查看您的付款 HSM 及其屬性，請使用 Azure CLI az dedicated-hsm show 命令。

az dedicated-hsm show --resource-group "myResourceGroup" --name "myPaymentHSM"

若要列出所有付款 HSM，請使用 az dedicated-hsm list 命令。 (如果您以表格格式顯示此命令的輸出，該輸出更容易閱讀。)

az dedicated-hsm list --resource-group "myResourceGroup" -o table

移除付款 HSM

若要移除付款 HSM，請使用 az dedicated-hsm delete 命令。下列範例可從 myResourceGroup 資源群組中刪除 myPaymentHSM 付款 HSM：

az dedicated-hsm delete --name "myPaymentHSM" -g "myResourceGroup"

刪除資源群組

此集合中的其他快速入門和教學課程會以本快速入門為基礎。如果您打算繼續進行後續的快速入門和教學課程，您可以讓這些資源留在原處。

若不再需要，您可以使用 Azure CLI az group delete 命令來移除資源群組和所有相關資源：

az group delete --name "myResourceGroup"

下一步

在本快速入門中，您已建立付款 HSM、檢視及更新其屬性，並加以刪除。若要深入了解付款 HSM 及如何與應用程式整合，請繼續閱讀下列文章。

共用方式為