チュートリアル: ARM テンプレートを使って、異なる仮想ネットワーク内のホストと管理ポートで決済用 HSM を作成する

Azure Payment HSM は、Thales payShield 10K 支払いハードウェア セキュリティ モジュール (HSM) を使って提供される「ベアメタル」サービスであり、Azure クラウドでのリアルタイムの重要な支払いトランザクションに暗号化キー操作を提供します。 Azure Payment HSM は、サービス プロバイダーと個々の金融機関が、支払いシステムのデジタル トランスフォーメーション戦略を促進し、パブリック クラウドを採用するのに特に役立つように設計されています。 詳細については、Azure Payment HSM の概要に関する記事を参照してください。

このチュートリアルでは、Azure CLI または Azure PowerShell を使って、異なる仮想ネットワーク内のホストと管理ポートで決済用 HSM を作成する方法について説明します。 代わりに、以下を行うことができます。

Azure Resource Manager テンプレートは JavaScript Object Notation (JSON) ファイルであり、プロジェクトのインフラストラクチャと構成が定義されています。 このテンプレートでは、宣言型の構文が使用されています。 デプロイを作成するための一連のプログラミング コマンドを記述しなくても、意図したデプロイを記述できます。

前提条件

重要

Azure Payment HSM は、専門化されたサービスです。 Azure Payment HSM のオンボードと使用の資格を得るには、Microsoft アカウント マネージャーが割り当てられており、クラウド サービス アーキテクト (CSA) が存在している必要があります。

サービスについての問い合わせ、認定プロセスの開始、オンボード前に前提条件の準備を行うには、Microsoft アカウント マネージャーと CSA にメールで要求を送信するように依頼してください。

  • "Microsoft.HardwareSecurityModules" と "Microsoft.Network" リソース プロバイダー、および Azure Payment HSM 機能を登録する必要があります。 これを行う手順については、「Azure Payment HSM リソース プロバイダーとリソース プロバイダーの機能を登録する」を参照してください。

    リソース プロバイダーと機能が既に登録されているかどうかを迅速に確認するには、Azure CLI の az provider show コマンドを使います。 (このコマンドの出力は、表形式で表示すると読みやすくなります。)

    az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
    
    az provider show --namespace "Microsoft.Network" -o table
    
    az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
    
    az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
    

    これらの 4 つのコマンドすべてが "Registered" を返す場合は、このクイック スタートを続行できます。

  • Azure サブスクリプションが必要です。 アカウントがない場合は、無料アカウントを作成することができます。

  • Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  • CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

    • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

    • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

    • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。


リソース グループを作成する

リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。 az group create コマンドを使用して、myResourceGroup という名前のリソース グループを eastus に作成します。

az group create --name "myResourceGroup" --location "EastUS"

仮想ネットワークとサブネットを作成する

決済用 HSM を作成する前に、まずホスト用の仮想ネットワーク/サブネットと、管理ポート用に別の仮想ネットワーク/サブネットを作成する必要があります。

まず、Azure CLI の az network vnet create コマンドを使用して、ホスト用の仮想ネットワークを作成します。

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

その後、Azure CLI の az network vnet subnet update コマンドを使用してサブネットを更新し、"Microsoft.HardwareSecurityModules/dedicatedHSMs" の委任を付与します。

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

VNet とサブネットが正しく作成されたことを確認するには、Azure CLI の az network vnet show コマンドを使用します。

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

決済用 HSM の作成時に使用されるホストのサブネット ID をメモしておきます。 サブネットの ID は、末尾がサブネットの名前で終わります。

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

次に、管理ポート用の別の仮想ネットワークとサブネットを作成します。

az network vnet create -g "myResourceGroup" -n "myManagementVNet" --address-prefixes "10.1.0.0/16" --tags "fastpathenabled=True" --subnet-name "myManagementSubnet" --subnet-prefix "10.1.0.0/24"

もう一度、Azure CLI の az network vnet subnet update コマンドを使用してサブネットを更新し、それに "Microsoft.HardwareSecurityModules/dedicatedHSMs" という委任を付与します。

az network vnet subnet update -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

VNet とサブネットが正しく作成されたことを確認するには、Azure CLI の az network vnet subnet show コマンドを使用します。

az network vnet subnet show -g "myResourceGroup" --vnet-name "myManagementVNet" -n "myManagementSubnet"

また、決済用 HSM を作成するときに、管理用のサブネット ID も必要です。

決済用 HSM を作成する

動的ホストを使用して作成する

動的ホストを使用して決済用 HSM を作成するには、az dedicated-hsm create コマンドを使用します。 次の例では、eastus リージョン、myResourceGroup リソース グループ、指定のサブスクリプション、仮想ネットワーク、およびサブネットで、myPaymentHSM という名前の決済用 HSM を作成します。

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<host-subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"

新しく作成されたネットワーク インターフェイスを表示するには、az network nic list コマンドを使用してリソース グループを指定します。

az network nic list -g myResourceGroup -o table

出力には、管理 インターフェイスとともに、ホスト 1 とホスト 2 が一覧表示されます。

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

新しく作成されたネットワーク インターフェイスを表示するには、az network nic show コマンドを使用して、ネットワーク インターフェイスのリソース グループと名前を指定します。

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

出力には次の行が含まれます。

  "privateIPAllocationMethod": "Dynamic",

静的ホストを使用して作成する

静的ホストを使用して決済用 HSM を作成するには、az dedicated-hsm create コマンドを使用します。 次の例では、eastus リージョン、myResourceGroup リソース グループ、指定のサブスクリプション、仮想ネットワーク、およびサブネットで、myPaymentHSM という名前の決済用 HSM を作成します。

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --mgmt-network-subnet id="<management-subnet-id>"
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

管理ホストの静的 IP も指定したい場合は、次のように追加できます。

  --mgmt-network-interfaces private-ip-address="10.0.0.7"

新しく作成されたネットワーク インターフェイスを表示するには、az network nic list コマンドを使用してリソース グループを指定します。

az network nic list -g myResourceGroup -o table

出力には、管理 インターフェイスとともに、ホスト 1 とホスト 2 が一覧表示されます。

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

ネットワーク インターフェイスのプロパティを表示するには、az network nic show コマンドを使用して、ネットワーク インターフェイスのリソース グループと名前を指定します。

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

出力には次の行が含まれます。

  "privateIPAllocationMethod": "Static",

次のステップ

次の記事に進み、決済用 HSM の表示方法を確認します。

追加情報: