共用方式為

快速入門:使用 Azure PowerShell 建立 Azure 付款 HSM

  • 發行項

Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) 提供的「裸機」服務,可為 Azure 雲端的即時重大付款交易提供密碼編譯金鑰作業。 Azure 付款 HSM 專為服務提供者和個別金融機構所設計,協助加速其付款系統的數位轉型策略,以及採用公用雲端。 如需詳細資訊,請參閱 Azure 付款 HSM:概觀

本快速入門說明如何使用 Az.DedicatedHsm PowerShell 模組來建立 Azure 付款 HSM。

必要條件

重要

Azure 付款 HSM 是特殊化服務。 若要符合上線和使用 Azure 付款 HSM 的資格,客戶必須具有一個指派的 Microsoft 客戶經理,以及具有一個雲端服務架構師 (CSA)。

若要查詢服務、開始資格審查程序,以及備妥上線前的必要條件,請要求 Microsoft 帳戶管理員和 CSA 透過電子郵件傳送要求。

  • 您必須註冊 "Microsoft.HardwareSecurityModules" 和 "Microsoft.Network" 資源提供者,以及 Azure 付款 HSM 功能。 這樣做的步驟位於註冊 Azure 付款 HSM 資源提供者和資源提供者功能

    警告

    您必須將 "FastPathEnabled" 功能旗標套用至每個訂用帳戶識別碼,並將 "fastpathenabled" 標籤新增至每個虛擬網路。 如需詳細資訊,請參閱 Fastpathenabled

    若要快速確定是否已註冊資源提供者和功能,請使用 Azure PowerShell Get-AzProviderFeature Cmdlet:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

如果這兩個命令的 "RegistrationState" 都傳回 "Registered" (已註冊),您就可以繼續進行此快速入門。

  • 您必須擁有 Azure 訂用帳戶。 您可以建立免費帳戶 (如果沒有的話)。

    如果您有多個 Azure 訂用帳戶,請使用 Azure PowerShell Set-AzContext Cmdlet 來設定要用於計費的訂用帳戶。

    Set-AzContext -Subscription "<subscription-id>"

  • 您必須安裝 Az.DedicatedHsm PowerShell 模組:

    Install-Module -Name Az.DedicatedHsm

建立資源群組

資源群組是在其中部署與管理 Azure 資源的邏輯容器。 使用 Azure PowerShell New-AzResourceGroup Cmdlet,在 eastus 位置中建立名為 myResourceGroup 的資源群組。

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

建立虛擬網路和子網路

建立付款 HSM 之前,您必須先建立虛擬網路和子網路。

首先,設定要在後續作業中使用的一些變數:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

使用 Azure PowerShell New-AzDelegation cmdlet,建立要新增至子網路的服務委派,並將輸出儲存至 $myDelegation 變數:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

使用 Azure PowerShell New-AzVirtualNetworkSubnetConfig Cmdlet 來建立虛擬網路子網路設定,並將輸出儲存至 $myPHSMSubnet 變數:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

注意

New-AzVirtualNetworkSubnetConfig Cmdlet 會產生警告,您可以放心忽略。

若要建立 Azure 虛擬網路,請使用 Azure PowerShell New-AzVirtualNetwork Cmdlet:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

若要確認虛擬網路已正確建立,請使用 Azure PowerShell Get-AzVirtualNetwork Cmdlet:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

記下以 Id 形式傳回的值,因為它會在下一個步驟中使用。 Id 的格式如下:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

建立付款 HSM

若要建立付款 HSM,請使用上一個步驟中的 New-AzDedicatedHsm Cmdlet 和 VNet 識別碼:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

建立的付款 HSM 輸出如下所示:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

取得付款 HSM

若要查看您的付款 HSM 及其屬性,請使用 Azure PowerShell Get-AzDedicatedHsm Cmdlet。

Get-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroup "myResourceGroup"

若要列出所有付款 HSM,請使用不含參數的 Get-AzDedicatedHsm Cmdlet。

若要取得付款 HSM 的詳細資訊,您可使用 Get-AzResource Cmdlet,指定資源群組,並將 "Microsoft.HardwareSecurityModules/dedicatedHSMs" 指定為資源類型:

Get-AzResource -ResourceGroupName "myResourceGroup" -ResourceType "Microsoft.HardwareSecurityModules/dedicatedHSMs"

移除付款 HSM

若要移除付款 HSM,請使用 Azure PowerShell Remove-AzDedicatedHsm Cmdlet。 下列範例可從 myResourceGroup 資源群組中刪除 myPaymentHSM 付款 HSM:

Remove-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup"

刪除資源群組

此集合中的其他快速入門和教學課程會以本快速入門為基礎。 如果您打算繼續進行其他快速入門和教學課程,您可以讓這些資源留在原處。

當不再需要時,您可以使用 Azure PowerShell Remove-AzResourceGroup Cmdlet 來移除資源群組和所有相關資源。

Remove-AzResourceGroup -Name "myResourceGroup"

下一步

在本快速入門中,您已建立付款 HSM、檢視及更新其屬性,並加以刪除。 若要深入了解付款 HSM 及如何與應用程式整合,請繼續閱讀下列文章。