Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Payment HSM ist ein "BareMetal"-Dienst, der mithilfe von Thales payShield 10K-Hardwaresicherheitsmodulen (HSM) bereitgestellt wird, um kryptografische Schlüsselvorgänge für Echtzeit-, kritische Zahlungstransaktionen in der Azure-Cloud bereitzustellen. Azure Payment HSM wurde speziell entwickelt, um einem Dienstanbieter und einem einzelnen Finanzinstitut zu helfen, die Digitale Transformationsstrategie ihres Zahlungssystems zu beschleunigen und die öffentliche Cloud zu übernehmen. Weitere Informationen finden Sie unter Azure Payment HSM: Overview.
In diesem Lernprogramm wird beschrieben, wie Sie ein Zahlungs-HSM mit statischen Host- und Verwaltungssubnetzen in demselben virtuellen Netzwerk mithilfe einer ARM-Vorlage erstellen. Sie können stattdessen:
- Erstellen eines Zahlungs-HSM mit dem Host- und Verwaltungsport im selben virtuellen Netzwerk mithilfe von Azure CLI oder PowerShell
- Erstellen eines Zahlungs-HSM mit dem Host- und Verwaltungsport im selben virtuellen Netzwerk mithilfe einer ARM-Vorlage
- Erstellen eines Zahlungs-HSM mit dem Host- und Verwaltungsport in verschiedenen virtuellen Netzwerken mithilfe von Azure CLI oder PowerShell
- Erstellen einer HSM-Ressource mit Host- und Verwaltungsport mit IP-Adressen in verschiedenen virtuellen Netzwerken mithilfe der ARM-Vorlage
Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zu schreiben, mit denen die Bereitstellung erstellt wird.
Voraussetzungen
Von Bedeutung
Azure Payment HSM ist ein spezieller Dienst. Um sich für das Onboarding und die Verwendung von Azure Payment HSM zu qualifizieren, müssen Kunden über einen zugewiesenen Microsoft Account Manager verfügen und über einen Cloud Service Architect (CSA) verfügen.
Um sich über den Dienst zu erkundigen, starten Sie den Qualifizierungsprozess, und bereiten Sie die Voraussetzungen vor dem Onboarding vor, bitten Sie Ihren Microsoft Account Manager und CSA, eine Anfrage per E-Mail zu senden.
Sie müssen die Ressourcenanbieter "Microsoft.HardwareSecurityModules" und "Microsoft.Network" sowie die Azure Payment HSM-Features registrieren. Die Schritte dafür finden Sie unter Registrieren der Azure Payment HSM-Ressourcenanbieter und Ressourcenanbieterfunktionen.
Um schnell zu ermitteln, ob die Ressourcenanbieter und Features bereits registriert sind, verwenden Sie den Azure CLI-Befehl az provider show. (Die Ausgabe dieses Befehls ist besser lesbar, wenn Sie ihn im Tabellenformat anzeigen.)
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table az provider show --namespace "Microsoft.Network" -o table az feature registration show -n "FastPathEnabled" --provider-namespace "Microsoft.Network" -o table az feature registration show -n "AzureDedicatedHsm" --provider-namespace "Microsoft.HardwareSecurityModules" -o tableSie können mit diesem Schnellstart fortfahren, wenn alle vier dieser Befehle "Registriert" zurückgeben.
Sie benötigen ein Azure-Abonnement. Sie können ein kostenloses Konto erstellen , wenn Sie kein Konto haben.
Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen möchten, installieren Sie die Azure CLI. Wenn Sie mit Windows oder macOS arbeiten, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Um den Authentifizierungsprozess abzuschließen, führen Sie die schritte aus, die in Ihrem Terminal angezeigt werden. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.
Wenn Sie dazu aufgefordert werden, installieren Sie die Azure CLI-Erweiterung bei der ersten Verwendung. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.
Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um auf die neueste Version zu aktualisieren.
Überprüfen der Vorlage
Die in dieser Schnellstartanleitung verwendete Vorlage ist azuredeploy.json:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"resourceName": {
"type": "String",
"metadata": {
"description": "Azure Payment HSM resource name"
}
},
"host1PrivateIPAddress": {
"type": "string"
},
"host2PrivateIPAddress": {
"type": "string"
},
"stampId": {
"type": "string",
"defaultValue": "stamp1",
"metadata": {
"description": "stamp id"
}
},
"skuName": {
"type": "string",
"defaultValue": "payShield10K_LMK1_CPS60",
"metadata": {
"description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
}
},
"vnetName": {
"type": "string",
"metadata": {
"description": "Host port virtual network name"
}
},
"vnetAddressPrefix": {
"type": "string",
"metadata": {
"description": "Host port virtual network address prefix"
}
},
"hsmSubnetName": {
"type": "String",
"metadata": {
"description": "Host port subnet name"
}
},
"hsmSubnetPrefix": {
"type": "string",
"metadata": {
"description": "Host port subnet prefix"
}
},
"managementVnetName": {
"type": "string",
"metadata": {
"description": "Management port virtual network name"
}
},
"managementVnetAddressPrefix": {
"type": "string",
"metadata": {
"description": "Management port virtual network address prefix"
}
},
"managementHsmSubnetName": {
"type": "String",
"metadata": {
"description": "Management port subnet name"
}
},
"managementHsmSubnetPrefix": {
"type": "string",
"metadata": {
"description": "Management port subnet prefix"
}
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
"apiVersion": "2021-11-30",
"name": "[parameters('resourceName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]",
"[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('managementVnetName'), parameters('managementHsmSubnetName'))]"
],
"sku": {
"name": "[parameters('skuName')]"
},
"properties": {
"networkProfile": {
"subnet": {
"id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
},
"NetworkInterfaces": [
{
"privateIpAddress": "[parameters('host1PrivateIPAddress')]"
},
{
"privateIpAddress": "[parameters('host2PrivateIPAddress')]"
}
]
},
"managementNetworkProfile": {
"subnet": {
"id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('managementVnetName'), parameters('managementHsmSubnetName'))]"
}
},
"stampId": "[parameters('stampId')]"
}
},
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2020-11-01",
"name": "[parameters('vnetName')]",
"location": "[resourceGroup().location]",
"tags": {
"fastpathenabled": "true"
},
"properties": {
"addressSpace": {
"addressPrefixes": [
"[parameters('vnetAddressPrefix')]"
]
},
"subnets": [
{
"name": "[parameters('hsmSubnetName')]",
"properties": {
"addressPrefix": "[parameters('hsmSubnetPrefix')]",
"serviceEndpoints": [],
"delegations": [
{
"name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
"properties": {
"serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
}
],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
],
"virtualNetworkPeerings": [],
"enableDdosProtection": false
}
},
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2020-11-01",
"name": "[parameters('managementVnetName')]",
"location": "[resourceGroup().location]",
"tags": {
"fastpathenabled": "true"
},
"properties": {
"addressSpace": {
"addressPrefixes": [
"[parameters('managementVnetAddressPrefix')]"
]
},
"subnets": [
{
"name": "[parameters('managementHsmSubnetName')]",
"properties": {
"addressPrefix": "[parameters('managementHsmSubnetPrefix')]",
"serviceEndpoints": [],
"delegations": [
{
"name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
"properties": {
"serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
}
],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
],
"virtualNetworkPeerings": [],
"enableDdosProtection": false
}
},
{
"type": "Microsoft.Network/virtualNetworks/subnets",
"apiVersion": "2020-11-01",
"name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
],
"properties": {
"addressPrefix": "[parameters('hsmSubnetPrefix')]",
"serviceEndpoints": [],
"delegations": [
{
"name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
"properties": {
"serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
}
],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
},
{
"type": "Microsoft.Network/virtualNetworks/subnets",
"apiVersion": "2020-11-01",
"name": "[concat(parameters('managementVnetName'), '/', parameters('managementHsmSubnetName'))]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks', parameters('managementVnetName'))]"
],
"properties": {
"addressPrefix": "[parameters('managementHsmSubnetPrefix')]",
"serviceEndpoints": [],
"delegations": [
{
"name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
"properties": {
"serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
}
}
],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
]
}
Die in der Vorlage definierte Azure-Ressource lautet:
- Microsoft.HardwareSecurityModules.dedicatedHSMs: Erstellen einer Azure-Zahlungs-HSM.
Die entsprechende azuredeploy.parameters.json Datei lautet:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"resourceName": {
"value": "myPHSM"
},
"stampId": {
"value": "stamp1"
},
"skuName": {
"value": "payShield10K_LMK1_CPS60"
},
"vnetName": {
"value": "myVNet"
},
"vnetAddressPrefix": {
"value": "10.0.0.0/16"
},
"hsmSubnetName": {
"value": "mySubnet"
},
"hsmSubnetPrefix": {
"value": "10.0.0.0/24"
},
"host1PrivateIPAddress": {
"value": "10.0.0.5"
},
"host2PrivateIPAddress": {
"value": "10.0.0.6"
},
"managementVnetName": {
"value": "MGMTVNet"
},
"managementVnetAddressPrefix": {
"value": "10.1.0.0/16"
},
"managementHsmSubnetName": {
"value": "MGMTSubnet"
},
"managementHsmSubnetPrefix": {
"value": "10.1.0.0/24"
}
}
}
Implementieren der Vorlage
In diesem Beispiel verwenden Sie die Azure CLI, um eine ARM-Vorlage bereitzustellen, um ein Azure-Zahlungs-HSM zu erstellen.
Speichern Sie zunächst die Dateien "azuredeploy.json" und "azuredeploy.parameters.json" lokal, um sie im nächsten Schritt zu verwenden. Die Inhalte dieser Dateien finden Sie im Abschnitt " Überprüfen der Vorlage ".
Hinweis
Bei diesen Schritten wird davon ausgegangen, dass sich die Datei "azuredeploy.json" und "azuredeploy.parameters.json" im Verzeichnis befinden, aus dem Sie die Befehle ausführen. Wenn sich die Dateien in einem anderen Verzeichnis befinden, müssen Sie die Dateipfade entsprechend anpassen.
Erstellen Sie als Nächstes eine Azure-Ressourcengruppe.
Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus zu erstellen.
az group create --name "myResourceGroup" --location "EastUS"
Verwenden Sie schließlich den Azure CLI-Befehl az deployment group create , um Ihre ARM-Vorlage zu deployen.
az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"
Geben Sie bei Aufforderung die folgenden Werte für die Parameter an:
- resourceName: myPaymentHSM
- vnetName: myVNet
- vnetAddressPrefix: 10.0.0.0/16
- hsmSubnetName: mySubnet
- hsmSubnetPrefix: 10.0.0.0/24
- managementVnetName: MGMTVNet
- managementVnetAddressPrefix: 10.1.0.0/16
- managementHsmSubnetName: MGMTSubnet
- managementHsmSubnetPrefix: 10.1.0.0/24
Nächste Schritte
Gehen Sie zum nächsten Artikel, um zu erfahren, wie Sie Ihr Zahlungs-HSM anzeigen.
Weitere Ressourcen:
- Eine Übersicht über Zahlungs-HSM lesen
- Informieren Sie sich über die ersten Schritte mit Azure Payment HSM.
- Einige gängige Bereitstellungsszenarien anzeigen
- Erfahren Sie mehr über Zertifizierung und Compliance
- Lesen Sie die häufig gestellten Fragen.