Поделиться через

Краткое руководство. Создание HSM для оплаты Azure с помощью Azure PowerShell

  • Статья

Azure Payment HSM — это служба BareMetal, предоставляемая с помощью модулей безопасности аппаратного обеспечения оплаты Thales PayShield 10K (HSM) для предоставления криптографических ключей для транзакций с критическими платежами в облаке Azure. Azure Payment HSM разработан специально для того, чтобы помочь поставщику услуг и отдельному финансовому институту ускорить цифровую трансформацию системы платежей и внедрить общедоступное облако. Дополнительные сведения см. в разделе HSM для оплаты Azure. Обзор.

В этом кратком руководстве описано, как создать HSM для оплаты Azure с помощью модуля Az.DedicatedHsm PowerShell.

Необходимые компоненты

Внимание

Azure Payment HSM — это специализированная служба. Чтобы получить право на подключение и использование HSM для оплаты Azure, клиенты должны иметь назначенного диспетчера учетных записей Майкрософт и архитектора облачных служб (CSA).

Чтобы узнать о службе, запустите процесс квалификации и подготовьте предварительные требования перед подключением, попросите руководителя учетной записи Майкрософт и CSA отправить запрос по электронной почте.

  • Необходимо зарегистрировать поставщики ресурсов Microsoft.HardwareSecurityModules и Microsoft.Network, а также функции HSM оплаты Azure. Для этого необходимо зарегистрировать поставщик ресурсов HSM для оплаты Azure и функции поставщика ресурсов.

    Предупреждение

    Необходимо применить флаг функции FastPathEnabled к каждому идентификатору подписки и добавить тег fastpathenabled в каждую виртуальную сеть. Дополнительные сведения см. в разделе Fastpathenabled.

    Чтобы быстро определить, зарегистрированы ли поставщики ресурсов и компоненты, используйте командлет Get-AzProviderFeature Azure PowerShell:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Вы можете продолжить работу с этим кратким запуском, если параметр RegistrationState обеих команд возвращает значение "Зарегистрировано".

  • У вас должна быть подписка Azure. Вы можете создать бесплатную учетную запись, если у вас еще ее нет.

    Если у вас несколько подписок Azure, задайте для выставления счетов подписку с помощью командлета Azure PowerShell Set-AzContext .

    Set-AzContext -Subscription "<subscription-id>"

  • Необходимо установить модуль PowerShell Az.DedicatedHsm:

    Install-Module -Name Az.DedicatedHsm

Создание или изменение группы ресурсов

Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. С помощью командлета New-AzResourceGroup Azure PowerShell создайте группу ресурсов с именем myResourceGroup в регионе eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Создание виртуальной сети и подсети

Перед созданием устройства HSM для оплаты необходимо сначала создать виртуальную сеть и подсеть.

Сначала задайте некоторые переменные для использования в последующих операциях:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Используйте командлет Azure PowerShell New-AzDelegation , чтобы создать делегирование службы, добавляемое в подсеть, и сохраните выходные данные в переменной $myDelegation :

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Используйте командлет Azure PowerShell New-AzVirtualNetworkSubnetConfig для создания конфигурации подсети виртуальной сети и сохранения выходных данных в переменной $myPHSMSubnet :

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Примечание.

Командлет New-AzVirtualNetworkSubnetConfig создаст предупреждение, которое можно безопасно игнорировать.

Чтобы создать виртуальная сеть Azure, используйте командлет Azure PowerShell New-AzVirtualNetwork:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Чтобы убедиться, что виртуальная сеть была создана правильно, используйте командлет Get-AzVirtualNetwork Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Запишите возвращаемое значение как Id, так как оно используется на следующем шаге. Он Id находится в формате:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Создание устройства HSM для оплаты

Чтобы создать модуль HSM для оплаты, используйте командлет New-AzDedicatedHsm и идентификатор виртуальной сети на предыдущем шаге:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

Выходные данные создания HSM оплаты выглядят следующим образом:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Получение оплаты HSM

Чтобы просмотреть ваш платеж HSM и его свойства, используйте командлет Get-AzDedicatedHsm Azure PowerShell.

Get-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroup "myResourceGroup"

Чтобы получить список всех модулей HSM для оплаты, используйте командлет Get-AzDedicatedHsm без параметров.

Чтобы получить дополнительные сведения о HSM оплаты, можно использовать командлет Get-AzResource , указав группу ресурсов и "Microsoft.HardwareSecurityModules/dedicatedHSMs" в качестве типа ресурса:

Get-AzResource -ResourceGroupName "myResourceGroup" -ResourceType "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Удаление устройства HSM для оплаты

Чтобы удалить HSM оплаты, используйте командлет Azure PowerShell Remove-AzDedicatedHsm . В следующем примере удаляется myPaymentHSM модуль HSM оплаты из myResourceGroup группы ресурсов:

Remove-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup"

Удаление группы ресурсов

Другие руководства в этой серии созданы на основе этого документа. Если вы планируете продолжить работу с другими краткими руководствами и статьями, эти ресурсы можно не удалять.

Чтобы удалить группу ресурсов и все связанные с ней ресурсы, выполните командлет Remove-AzResourceGroup в Azure PowerShell.

Remove-AzResourceGroup -Name "myResourceGroup"

Следующие шаги

В этом кратком руководстве вы создали модуль HSM для оплаты, просмотре и обновлении его свойств и его удалении. Чтобы узнать больше о HSM для оплаты и интеграции с приложениями, перейдите к этим статьям.