Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
HSM de Pagamento do Azure é um serviço "BareMetal" fornecido usando módulos de segurança de hardware de pagamento (HSM) Thales payShield 10K para fornecer operações de chave criptográfica para transações de pagamento críticas em tempo real na nuvem do Azure. O HSM de Pagamento do Azure foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital de seu sistema de pagamento e adotar a nuvem pública. Para obter mais informações, consulte HSM de Pagamento do Azure: Visão geral.
Este tutorial descreve como criar um HSM de Pagamento do Azure com o host e a porta de gerenciamento na mesma rede virtual. Em vez disso, você pode:
- Criar um HSM de pagamento com o host e a porta de gerenciamento na mesma rede virtual usando um modelo do ARM
- Criar um HSM de pagamento com o host e a porta de gerenciamento em diferentes redes virtuais usando a CLI do Azure ou o PowerShell
- Criar um HSM de Pagamento com host e porta de gerenciamento em redes virtuais diferentes usando um template do ARM
- Criar um recurso HSM com host e porta de gerenciamento com endereços IP em diferentes redes virtuais usando o modelo do ARM
Observação
Se você quiser reutilizar uma VNet existente, verifique se atendeu a todos os pré-requisitos e leia Como reutilizar uma rede virtual existente.
Pré-requisitos
Importante
O HSM de Pagamento do Azure é um serviço especializado. Para se qualificar para integração e uso do HSM de Pagamento do Azure, os clientes devem ter um Gerenciador de Contas da Microsoft atribuído e ter um CSA (Arquiteto de Serviços de Nuvem).
Para saber mais sobre o serviço, inicie o processo de qualificação e prepare os pré-requisitos antes do embarque, peça ao gerente de conta da Microsoft e ao CSA para enviar uma solicitação por email.
Você deve registrar os provedores de recursos "Microsoft.HardwareSecurityModules" e "Microsoft.Network", bem como os recursos do HSM de Pagamento do Azure. As etapas para fazer isso estão em Registrar o provedor de recursos do HSM de Pagamento do Azure e as funcionalidades do provedor de recursos.
Aviso
Você deve aplicar o sinalizador do recurso "FastPathEnabled" a todas as IDs de assinatura e adicionar a marca "fastpathenabled" a todas as redes virtuais. Para obter mais informações, consulte Fastpathenabled.
Para verificar rapidamente se os provedores de recursos e os recursos já estão registrados, use o comando az provider show da CLI do Azure. (A saída desse comando é mais legível quando exibida em formato de tabela.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o tableVocê pode continuar com este início rápido se todos esses quatro comandos retornarem "Registrado".
Você precisa ter uma assinatura do Azure. Você pode criar uma conta gratuita se não tiver uma.
Utilize o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Introdução ao Azure Cloud Shell.
Se você preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se você estiver executando no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se você estiver usando uma instalação local, entre na CLI do Azure usando o comando az login . Para concluir o processo de autenticação, siga as etapas exibidas em seu terminal. Para obter outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar e gerenciar extensões com a CLI do Azure.
Execute o comando az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para atualizar para a versão mais recente, execute az upgrade.
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup na localização eastus.
az group create --name "myResourceGroup" --location "EastUS"
Criar a rede virtual e a sub-rede
Antes de criar um HSM de pagamento, primeiro você deve criar uma rede virtual e uma sub-rede. Para fazer isso, use o comando az network vnet create da CLI do Azure :
az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"
Posteriormente, use o comando az network vnet subnet update da CLI do Azure para atualizar a sub-rede e conceder a ela uma delegação de "Microsoft.HardwareSecurityModules/dedicatedHSMs".
az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"
Para verificar se a VNet e a sub-rede foram criadas corretamente, use o comando az network vnet show da CLI do Azure:
az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet
Anote a ID da sub-rede, pois você precisa dela para a próxima etapa. A ID da sub-rede termina com o nome da sub-rede:
"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",
Criar um HSM de pagamento
Importante
Se você criar dois HSMs de pagamento na mesma região, deverá alocar um para stamp1 e outro para stamp2. Para obter mais informações, consulte Cenários de implantação: implantação de alta disponibilidade.
Criar com hosts dinâmicos
Para criar um HSM de pagamento com hosts dinâmicos, use o comando az dedicated-hsm create . O seguinte exemplo provisiona um HSM de pagamento chamado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura, na rede virtual e na sub-rede especificadas:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60"
Para ver as interfaces de rede recém-criadas, use o comando az network nic list, fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 estão listados, bem como uma interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para ver os detalhes de uma interface de rede recém-criada, use o comando az network nic show, fornecendo o grupo de recursos e o nome da interface de rede.
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Dynamic",
Criar com hosts estáticos
Para criar um HSM de pagamento com hosts estáticos, use o comando az dedicated-hsm create . O seguinte exemplo provisiona um HSM de pagamento chamado myPaymentHSM na região eastus, no grupo de recursos myResourceGroup e na assinatura, na rede virtual e na sub-rede especificadas:
az dedicated-hsm create \
--resource-group "myResourceGroup" \
--name "myPaymentHSM" \
--location "EastUS" \
--subnet id="<subnet-id>" \
--stamp-id "stamp1" \
--sku "payShield10K_LMK1_CPS60" \
--network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")
Se você também quiser especificar um IP estático para o host de gerenciamento, poderá adicionar:
--mgmt-network-interfaces private-ip-address="10.0.0.7" \
--mgmt-network-subnet="<subnet-id>"
Para ver as interfaces de rede recém-criadas, use o comando az network nic list, fornecendo o grupo de recursos:
az network nic list -g myResourceGroup -o table
Na saída, o host 1 e o host 2 são listados, bem como a interface de gerenciamento:
... Name NicType Primary ProvisioningState ResourceGroup ...
--- ------------------------ --------- --------- ------------------- --------------- ---
... myPaymentHSM_HSMHost1Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMHost2Nic Standard True Succeeded myResourceGroup ...
... myPaymentHSM_HSMMgmtNic Standard True Succeeded myResourceGroup ...
Para exibir as propriedades de uma interface de rede, use o comando az network nic show fornecendo o grupo de recursos e o nome da interface de rede.
az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic
A saída contém esta linha:
"privateIPAllocationMethod": "Static",
Próximas etapas
Avance para o próximo artigo para saber como exibir o seu HSM de pagamento.
Informações adicionais:
- Ler uma visão geral do HSM de pagamento
- Saiba como começar a usar o HSM de Pagamento do Azure
- Ver alguns cenários comuns de implantação
- Saiba mais sobre certificação e conformidade
- Leia as perguntas frequentes