Szybki start: Tworzenie płatniczego modułu HSM w Azure przy użyciu szablonu ARM

Azure Payment HSM to usługa "BareMetal" realizowana przy użyciu sprzętowych modułów zabezpieczeń (HSM) payShield 10K firmy Thales w celu zapewnienia operacji kluczy kryptograficznych dla krytycznych transakcji płatniczych w czasie rzeczywistym w chmurze Azure. Moduł HSM płatności platformy Azure został zaprojektowany specjalnie, aby pomóc dostawcy usług i indywidualnej instytucji finansowej przyspieszyć strategię transformacji cyfrowej systemu płatności i wdrożyć chmurę publiczną. Aby uzyskać więcej informacji, zobacz Moduł HSM płatności platformy Azure: omówienie.

W tym szybkim przewodniku opisano, jak utworzyć HSM do płatności z hostem i portem zarządzania w tej samej sieci wirtualnej. Zamiast tego możesz:

Szablon usługi Azure Resource Manager to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację projektu. Szablon używa składni deklaratywnej. Możesz opisać zamierzone wdrożenie bez konieczności pisania sekwencji poleceń programowania w celu utworzenia wdrożenia.

Wymagania wstępne

Ważne

Moduł HSM płatności platformy Azure to wyspecjalizowana usługa. Aby kwalifikować się do korzystania z usługi Azure Payment HSM, klienci muszą mieć przypisanego menedżera konta Microsoft oraz posiadać architekta usług chmurowych (CSA).

Aby uzyskać informacje o usłudze, rozpocznij proces kwalifikacji i przygotuj wymagania wstępne przed dołączeniem. Następnie poproś menedżera konta Microsoft i CSA o wysłanie żądania pocztą e-mail.

Musisz zarejestrować dostawców zasobów Microsoft.HardwareSecurityModules i Microsoft.Network, a także funkcje HSM płatności platformy Azure. Kroki, aby to zrobić, znajdują się w temacie Rejestrowanie dostawcy zasobów Azure Payment HSM oraz funkcji dostawcy zasobów.

Ostrzeżenie

Należy zastosować flagę FastPathEnabled funkcji do każdego identyfikatora subskrypcji i dodać fastpathenabled tag do każdej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Fastpathenabled.

Aby szybko sprawdzić, czy dostawcy zasobów i funkcje są już zarejestrowane, użyj polecenia az provider show w interfejsie wiersza polecenia platformy Azure. (Dane wyjściowe tego polecenia są bardziej czytelne, jeśli są wyświetlane w formacie tabeli).
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
Możesz kontynuować ten szybki start, jeśli wszystkie cztery z tych poleceń wyświetlają wartość "Zarejestrowano".
Wymagana jest subskrypcja platformy Azure. Jeśli go nie masz, możesz utworzyć bezpłatne konto .

Użyj środowiska Bash w Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z usługą Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj Azure CLI. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie Azure CLI w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić Azure CLI w kontenerze Docker.
- Jeśli korzystasz z instalacji lokalnej, zaloguj się do Azure CLI za pomocą polecenia az login. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane na Twoim terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
- Gdy zostaniesz o to poproszony/a, zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.
- Uruchom az version, aby sprawdzić zainstalowaną wersję i biblioteki zależne. Aby zaktualizować do najnowszej wersji, uruchom az upgrade.

Przegląd szablonu

Szablon używany w tym przewodniku Szybki start jest azuredeploy.json:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "type": "String",
      "metadata": {
        "description": "Azure Payment HSM resource name"
      }
    },
    "stampId": {
      "type": "string",
      "defaultValue": "stamp1",
      "metadata": {
        "description": "stamp id"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "payShield10K_LMK1_CPS60",
      "metadata": {
        "description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
      }
    },
    "vnetName": {
      "type": "string",
      "metadata": {
        "description": "Virtual network name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Virtual network address prefix"
      }
    },
    "hsmSubnetName": {
      "type": "String",
      "metadata": {
        "description": "Subnet name"
      }
    },
    "hsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Subnet prefix"
      }
    }
  },
  "variables": {},
  "resources": [
   {
     "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
     "apiVersion": "2021-11-30",
     "name": "[parameters('resourceName')]",
	   "location": "[parameters('location')]",
     "dependsOn": [
      "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
     ],
     "sku": {
       "name": "[parameters('skuName')]"
     },
     "properties": {
       "networkProfile": {
         "subnet": {
           "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
         }
        },
		"managementNetworkProfile": {
          "subnet": {
            "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
          }
        },
        "stampId": "[parameters('stampId')]"
     }
   },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('hsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('hsmSubnetPrefix')]",
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('hsmSubnetPrefix')]",
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    }
  ]
}

Zasób platformy Azure zdefiniowany w szablonie to:

Microsoft.HardwareSecurityModules.dedicatedHSMs: tworzenie modułu HSM płatności platformy Azure.

Odpowiedni plik azuredeploy.parameters.json to:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "value": "myhsm1"
    },
    "stampId": {
      "value": "stamp1"
    },
    "skuName": {
      "value": "payShield10K_LMK1_CPS60"
    },
    "vnetName": {
      "value": "myHsmVnet"
    },
    "vnetAddressPrefix": {
      "value": "10.0.0.0/16"
    },
    "hsmSubnetName": {
      "value": "myHsmSubnet"
    },
    "hsmSubnetPrefix": {
      "value": "10.0.0.0/24"
    }
  }
}

Wdrażanie szablonu

Interfejs wiersza polecenia platformy Azure
Azure PowerShell

W tym przykładzie użyjesz interfejsu wiersza polecenia platformy Azure do wdrożenia szablonu usługi ARM w celu utworzenia modułu HSM płatności platformy Azure.

Najpierw zapisz lokalnie pliki "azuredeploy.json" i "azuredeploy.parameters.json" do użycia w następnym kroku. Zawartość tych plików można znaleźć w sekcji Przeglądanie szablonu .

Uwaga / Notatka

W poniższych krokach przyjęto założenie, że plik "azuredeploy.json" i "azuredeploy.parameters.json" znajdują się w katalogu, w którym są uruchamiane polecenia. Jeśli pliki znajdują się w innym katalogu, należy odpowiednio dostosować ścieżki plików.

Następnie utwórz grupę zasobów platformy Azure.

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.

az group create --name "myResourceGroup" --location "EastUS"

Na koniec użyj polecenia Azure CLI az deployment group create, aby wdrożyć szablon ARM.

az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"

Po wyświetleniu monitu podaj następujące wartości dla parametrów:

resourceName: myPaymentHSM
vnetName: myVNet
vnetAddressPrefix: 10.0.0.0/16
hsmSubnetName: mySubnet
hsmSubnetPrefix: 10.0.0.0/24

W tym przykładzie użyjesz programu Azure PowerShell do wdrożenia szablonu usługi ARM w celu utworzenia modułu HSM płatności platformy Azure.

Najpierw zapisz lokalnie pliki "azuredeploy.json" i "azuredeploy.parameters.json" do użycia w następnym kroku. Zawartość tych plików można znaleźć w sekcji Przeglądanie szablonu .

Uwaga / Notatka

Następnie utwórz grupę zasobów platformy Azure.

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia cmdlet PowerShell Azure New-AzResourceGroup, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Teraz ustaw następujące zmienne do użycia w kroku wdrażania:

$deploymentName = "myPHSMDeployment"
$resourceGroupName = "myResourceGroup"
$templateFilePath = "azuredeploy.json" 
$templateParametersPath = "azuredeploy.parameters.json" 
$resourceName = "myPaymentHSM"
$vnetName = "myVNet" 
$vnetAddressPrefix = "10.0.0.0/16" 
$subnetName = "mySubnet" 
$subnetPrefix = "10.0.0.0/24"

Na koniec użyj polecenia cmdlet programu Azure PowerShell New-AzResourceGroupDeployment, aby wdrożyć szablon ARM.

New-AzResourceGroupDeployment -Name $deploymentName -ResourceGroupName $resourceGroupName -TemplateFile $templateFilePath -TemplateParameterFile $templateParametersPath -resourceName $resourceName -vnetName $vnetName -vnetAddressPrefix $vnetAddressPrefix -hsmSubnetName $subnetName -hsmSubnetPrefix $subnetPrefix

Weryfikowanie wdrożenia

Interfejs wiersza polecenia platformy Azure
Azure PowerShell

Możesz sprawdzić, czy HSM płatności został utworzony za pomocą polecenia az dedicated-hsm list w Azure Command Line Interface. Dane wyjściowe są łatwiejsze do odczytania w przypadku formatowania wyników jako tabeli:

az dedicated-hsm list -o table

Możesz sprawdzić, czy moduł HSM płatności został utworzony za pomocą polecenia cmdlet Get-AzDedicatedHsm programu Azure PowerShell.

Get-AzDedicatedHsm

Powinna zostać wyświetlona nazwa nowo utworzonego modułu HSM płatności.

Uprzątnij zasoby

Interfejs wiersza polecenia platformy Azure
Azure PowerShell

Inne szybkie starty i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz nadal korzystać z kolejnych szybkich startów i samouczków, warto pozostawić te zasoby na miejscu.

Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia az group delete za pomocą interfejsu wiersza polecenia platformy Azure.

az group delete --name "myResourceGroup"

Inne szybkie starty i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz kontynuować pracę z innymi materiałami wprowadzającymi i samouczkami, warto pozostawić te zasoby na swoim miejscu.

Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia cmdlet Remove-AzResourceGroup programu Azure PowerShell.

Remove-AzResourceGroup -Name "myResourceGroup"

Dalsze kroki

W tym przewodniku Szybki start wdrożono szablon usługi Azure Resource Manager w celu utworzenia modułu HSM płatności, zweryfikowania wdrożenia i usunięcia modułu HSM płatności. Aby dowiedzieć się więcej na temat modułu HSM usługi Azure Payment i sposobu integrowania go z aplikacjami, przejdź do poniższych artykułów.

Przeczytaj omówienie modułu HSM do płatności
Dowiedz się, jak rozpocząć pracę z modułem HSM płatności platformy Azure
Zobacz niektóre typowe scenariusze wdrażania
Dowiedz się więcej o certyfikacji i zgodności
Przeczytaj często zadawane pytania

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-21