Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) 提供的「裸機」服務,可為 Azure 雲端中的即時重要付款交易提供加密金鑰作業。 Azure 付款 HSM 專為協助服務提供者和個別金融機構加速其付款系統的數位轉型策略並採用公用雲端而設計。 如需詳細資訊,請參閱 Azure 付款 HSM:概觀。
本快速入門說明如何使用 az dedicated-hsm Azure CLI 命令來建立、更新和刪除 Azure 付款 HSM。
先決條件
這很重要
Azure 付款 HSM 是一項特殊服務。 若要符合上線和使用 Azure 付款 HSM 的資格,客戶必須有指派的 Microsoft 客戶經理,並擁有雲端服務架構師 (CSA)。
若要查詢服務、開始資格認證程式,並在上線之前準備必要條件,請要求您的 Microsoft 客戶經理和 CSA 透過電子郵件傳送要求。
您必須註冊
Microsoft.HardwareSecurityModules和Microsoft.Network資源提供者,以及 Azure Payment HSM 功能。 執行此動作的步驟位於 註冊 Azure 付款 HSM 資源提供者和資源提供者功能。警告
您必須將功能旗標套用
FastPathEnabled至每個訂用帳戶識別碼,並將標籤新增至fastpathenabled每個虛擬網路。 如需詳細資訊,請參閱 Fastpathenabled。若要快速判斷資源提供者和功能是否已註冊,請使用 Azure CLI az provider show 命令。 (如果您以表格格式顯示此命令的輸出,該輸出更容易閱讀。)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o table如果這四個命令都傳回「已註冊」,您可以繼續此快速入門。
您必須擁有 Azure 訂用帳戶。 如果您沒有 免費帳戶,可以建立一個免費帳戶 。
如果您有多個 Azure 訂用帳戶,請使用 Azure CLI az account set 命令將訂用帳戶設定為用於計費。
az account set --subscription <subscription-id>
使用 Azure Cloud Shell 中的 Bash 環境。 如需詳細資訊,請參閱開始使用 Azure Cloud Shell。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱 如何在 Docker 容器中執行 Azure CLI。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱 使用 Azure CLI 向 Azure 進行驗證。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能的詳細資訊,請參閱 使用和管理 Azure CLI 的擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
建立資源群組
資源群組是部署和管理 Azure 資源的邏輯容器。 使用 az group create 命令,在 eastus 位置建立名為 myResourceGroup 的資源群組。
az group create --name "myResourceGroup" --location "EastUS"
建立虛擬網路和子網
建立付款 HSM 之前,您必須先建立虛擬網路和子網路。 若要這樣做,請使用 Azure CLI az network vnet create 命令:
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
接著,使用 Azure CLI az network vnet subnet update 命令來更新子網,並為其提供 “Microsoft.HardwareSecurityModules/dedicatedHSMs” 的委派:
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
若要確認已正確建立虛擬網路和子網路,請使用 Azure CLI az network vnet show 命令:
az network vnet show -n "myVNet" -g "myResourceGroup"
記下傳回為 id的值,因為它會在下一個步驟中使用。
id 的格式如下:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
建立付款硬體安全模組 (HSM)
若要建立付款 HSM,請使用 az dedicated-hsm create 命令。 下列範例會在myPaymentHSM區域內、eastus資源群組中,以及指定的訂用帳戶、虛擬網路和子網路中,建立一個命名為myResourceGroup的支付 HSM:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60"
取得付款 HSM
若要查看您的付款 HSM 及其屬性,請使用 Azure CLI az dedicated-hsm show 命令。
az dedicated-hsm show --resource-group "myResourceGroup" --name "myPaymentHSM"
若要列出所有付款 HSM,請使用 az dedicated-hsm list 命令。 (如果您以表格格式顯示此命令的輸出,該輸出更容易閱讀。)
az dedicated-hsm list --resource-group "myResourceGroup" -o table
移除付款 HSM
若要移除付款 HSM,請使用 az dedicated-hsm delete 命令。 下列範例會從 myPaymentHSM 資源群組中刪除 myResourceGroup 付款 HSM:
az dedicated-hsm delete --name "myPaymentHSM" -g "myResourceGroup"
刪除資源群組
此集合中的其他快速入門和教學課程會以本快速入門為基礎。 如果您打算繼續進行後續的快速入門和教學課程,您可以讓這些資源留在原處。
若不再需要,您可以使用 Azure CLI az group delete 命令來移除資源群組和所有相關資源:
az group delete --name "myResourceGroup"
後續步驟
在本快速入門中,您已建立付款 HSM、檢視和更新其屬性,以及將其刪除。 若要深入瞭解 Payment HSM 以及如何將其與您的應用程式整合,請繼續閱讀這些文章。
- 閱讀 支付 HSM 概覽
- 了解如何開始使用 Azure 付款 HSM
- 請參閱一些常見的 部署案例
- 瞭解 認證和合規性
- 請參閱常見問題集