Creación de un HSM de pago con host y puerto de administración en diferentes redes virtuales mediante una plantilla de ARM

Azure Payment HSM es un servicio "BareMetal" entregado mediante los módulos de seguridad de hardware de pago de Thales payShield 10K (HSM) para proporcionar operaciones de clave criptográfica para transacciones de pago críticas en tiempo real en la nube de Azure. Azure Payment HSM está diseñado específicamente para ayudar a un proveedor de servicios y a una institución financiera individual a acelerar la estrategia de transformación digital de su sistema de pago y adoptar la nube pública. Para más información, consulte Azure Payment HSM: Overview.

En este tutorial se describe cómo crear un HSM de pago con subredes de administración y host estáticos en la misma red virtual, mediante una plantilla de ARM. En su lugar, puede:

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Describes tu implementación deseada sin escribir la secuencia de comandos de programación para crearla.

Prerrequisitos

Importante

Azure Payment HSM es un servicio especializado. Para calificar para la incorporación y el uso de Azure Payment HSM, los clientes deben tener asignado administrador de cuentas de Microsoft y tener un arquitecto de servicios en la nube (CSA).

Para consultar el servicio, inicie el proceso de calificación y prepare los requisitos previos antes de incorporarse, pida a su administrador de cuentas de Microsoft y CSA que envíe una solicitud por correo electrónico.

Debe registrar los proveedores de recursos "Microsoft.HardwareSecurityModules" y "Microsoft.Network", así como las características de HSM de pago de Azure. Los pasos para hacerlo se encuentran en Registro del proveedor de recursos de Azure Payment HSM y las características del proveedor de recursos.

Para determinar rápidamente si los proveedores de recursos y las características ya están registrados, use el comando az provider show de la CLI de Azure. (La salida de este comando resultará más legible si la muestra en formato de tabla).
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
Puede continuar con este inicio rápido si todos estos cuatro comandos devuelven "Registrado".
Debes tener una suscripción a Azure. Puede crear una cuenta gratuita si no tiene una.

Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Introducción a Azure Cloud Shell.
Si prefieres ejecutar comandos de referencia CLI localmente, instala la CLI de Azure. Si estás utilizando Windows o macOS, considera ejecutar Azure CLI en un contenedor Docker. Para obtener más información, consulte Cómo ejecutar el Azure CLI en un contenedor de Docker.
- Si estás utilizando una instalación local, inicia sesión en Azure CLI utilizando el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Autenticación en Azure mediante la CLI de Azure.
- En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para obtener más información sobre las extensiones, consulte Uso y administración de extensiones con la CLI de Azure.
- Ejecute az version para ver la versión y las bibliotecas dependientes que están instaladas. Para actualizar a la versión más reciente, ejecute az upgrade.

Revisión de la plantilla

La plantilla que se usa en este inicio rápido es azuredeploy.json:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "type": "String",
      "metadata": {
        "description": "Azure Payment HSM resource name"
      }
    },
    "host1PrivateIPAddress": {
      "type": "string"
    },
    "host2PrivateIPAddress": {
      "type": "string"
    },
    "stampId": {
      "type": "string",
      "defaultValue": "stamp1",
      "metadata": {
        "description": "stamp id"
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "payShield10K_LMK1_CPS60",
      "metadata": {
        "description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
      }
    },
    "vnetName": {
      "type": "string",
      "metadata": {
        "description": "Host port virtual network name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Host port virtual network address prefix"
      }
    },
    "hsmSubnetName": {
      "type": "String",
      "metadata": {
        "description": "Host port subnet name"
      }
    },
    "hsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Host port subnet prefix"
      }
    },
    "managementVnetName": {
      "type": "string",
      "metadata": {
        "description": "Management port virtual network name"
      }
    },
    "managementVnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Management port virtual network address prefix"
      }
    },
    "managementHsmSubnetName": {
      "type": "String",
      "metadata": {
        "description": "Management port subnet name"
      }
    },
    "managementHsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Management port subnet prefix"
      }
    }
  },
  "variables": {},
  "resources": [
    {
      "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
      "apiVersion": "2021-11-30",
      "name": "[parameters('resourceName')]",
      "location": "[resourceGroup().location]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]",
        "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('managementVnetName'), parameters('managementHsmSubnetName'))]"
      ],
      "sku": {
        "name": "[parameters('skuName')]"
      },
      "properties": {
        "networkProfile": {
          "subnet": {
              "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
          },
          "NetworkInterfaces": [
              {
                "privateIpAddress": "[parameters('host1PrivateIPAddress')]"
              },
              {
                "privateIpAddress": "[parameters('host2PrivateIPAddress')]"
              }
          ]
        },  
        "managementNetworkProfile": {
          "subnet": {
            "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('managementVnetName'), parameters('managementHsmSubnetName'))]"
          }
        },
        "stampId": "[parameters('stampId')]"
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('vnetName')]",
      "location": "[resourceGroup().location]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('hsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('hsmSubnetPrefix')]",
              "serviceEndpoints": [],
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "virtualNetworkPeerings": [],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('managementVnetName')]",
      "location": "[resourceGroup().location]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('managementVnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('managementHsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('managementHsmSubnetPrefix')]",
              "serviceEndpoints": [],
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "virtualNetworkPeerings": [],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('hsmSubnetPrefix')]",
        "serviceEndpoints": [],
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('managementVnetName'), '/', parameters('managementHsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('managementVnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('managementHsmSubnetPrefix')]",
        "serviceEndpoints": [],
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    }
  ]
}

El recurso de Azure definido en la plantilla es:

Microsoft.HardwareSecurityModules.dedicatedHSMs: cree un HSM de pago de Azure.

El archivo azuredeploy.parameters.json correspondiente es:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "value": "myPHSM"
    },
    "stampId": {
      "value": "stamp1"
    },
    "skuName": {
      "value": "payShield10K_LMK1_CPS60"
    },
    "vnetName": {
      "value": "myVNet"
    },
    "vnetAddressPrefix": {
      "value": "10.0.0.0/16"
    },
    "hsmSubnetName": {
      "value": "mySubnet"
    },
    "hsmSubnetPrefix": {
      "value": "10.0.0.0/24"
    },
    "host1PrivateIPAddress": {
      "value": "10.0.0.5"
    },
    "host2PrivateIPAddress": {
      "value": "10.0.0.6"
    },
    "managementVnetName": {
      "value": "MGMTVNet"
    },
    "managementVnetAddressPrefix": {
      "value": "10.1.0.0/16"
    },
    "managementHsmSubnetName": {
      "value": "MGMTSubnet"
    },
    "managementHsmSubnetPrefix": {
      "value": "10.1.0.0/24"
    }
  }
}

En este ejemplo, usará la CLI de Azure para implementar una plantilla de ARM para crear un HSM de pago de Azure.

En primer lugar, guarde los archivos "azuredeploy.json" y "azuredeploy.parameters.json" localmente, para usarlos en el paso siguiente. El contenido de estos archivos se puede encontrar en la sección Revisar la plantilla .

Nota:

En estos pasos se supone que el archivo "azuredeploy.json" y "azuredeploy.parameters.json" se encuentran en el directorio desde el que se ejecutan los comandos. Si los archivos están en otro directorio, debe ajustar las rutas de acceso de archivo en consecuencia.

A continuación, cree un grupo de recursos de Azure.

Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Utilice el comando az group create para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus.

az group create --name "myResourceGroup" --location "EastUS"

Por último, use el comando az deployment group create de la CLI de Azure para implementar la plantilla de ARM.

az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"

Cuando se le solicite, proporcione los siguientes valores para los parámetros:

resourceName: myPaymentHSM
vnetName: myVNet
vnetAddressPrefix: 10.0.0.0/16
hsmSubnetName: mySubnet
hsmSubnetPrefix: 10.0.0.0/24
managementVnetName: MGMTVNet
managementVnetAddressPrefix: 10.1.0.0/16
managementHsmSubnetName: MGMTSubnet
managementHsmSubnetPrefix: 10.1.0.0/24

En este ejemplo, usará Azure PowerShell para implementar una plantilla de ARM para crear un HSM de pago de Azure.

Nota:

En los pasos siguientes se supone que el archivo "azuredeploy.json" y "azuredeploy.parameters.json" se encuentran en el directorio desde el que se ejecutan los comandos. Si los archivos están en otro directorio, debe ajustar las rutas de acceso de archivo en consecuencia.

A continuación, cree un grupo de recursos de Azure.

Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Use el cmdlet New-AzResourceGroup de Azure PowerShell para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Ahora, establezca las siguientes variables para usarlas en el paso de implementación:

$deploymentName = "myPHSMDeployment"
$resourceGroupName = "myResourceGroup"
$templateFilePath = "azuredeploy.json" 
$templateParametersPath = "azuredeploy.parameters.json" 
$resourceName = "myPaymentHSM" 
$skuName = "payShield10K_LMK1_CPS250" 
$stampId = "stamp1" 
$hostVnetName = "myVNet" 
$hostVnetAddressPrefix = "10.0.0.0/16" 
$hostSubnetName = "mySubnet" 
$hostSubnetPrefix = "10.0.0.0/24" 
$mgmtVnetName = "MGMTVNet" 
$mgmtVnetAddressPrefix = "10.1.0.0/16" 
$mgmtSubnetName = "MGMTSubnet" 
$mgmtSubnetPrefix = "10.1.0.0/24"

Por último, use el cmdlet New-AzResourceGroupDeployment de Azure PowerShell para implementar la plantilla de ARM.

New-AzResourceGroupDeployment -Name $deploymentName -ResourceGroupName $resourceGroupName -TemplateFile $templateFilePath -TemplateParameterFile $templateParametersPath -resourceName $resourceName -skuName $skuName -stampId $stampId -vnetName $hostVnetName -vnetAddressPrefix $hostVnetAddressPrefix -hsmSubnetName $hostSubnetName -hsmSubnetPrefix $hostSubnetPrefix -managementVnetName $mgmtVnetName -managementVnetAddressPrefix $mgmtVnetAddressPrefix -managementHsmSubnetName $mgmtSubnetName  -managementHsmSubnetPrefix $mgmtSubnetPrefix

Pasos siguientes

Pase al siguiente artículo, donde aprenderá a ver su HSM de pago.

Ver tus HSM de pago

Más recursos:

Lea información general sobre el HSM de pago.
Descubra cómo empezar a trabajar con Azure Payment HSM
Consulte algunos escenarios de implementación comunes.
Más información sobre la certificación y el cumplimiento
Lea las preguntas más frecuentes

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-10-10