教學課程：建立付款 HSM

發行項
08/08/2024

Azure 付款 HSM 是使用 Thales payShield 10K 付款硬體安全性模組 (HSM) 提供的 "BareMetal" 服務，可為 Azure 雲端的即時重大付款交易提供密碼編譯金鑰作業。 Azure 付款 HSM 專為服務提供者和個別金融機構所設計，協助加速其付款系統的數位轉型策略，以及採用公用雲端。如需詳細資訊，請參閱 Azure 付款 HSM：概觀。

本教學課程說明如何在相同的虛擬網路中使用主機和管理連接埠建立 Azure 付款 HSM。您可以改為：

注意

如果您想要重複使用現有的 VNet，請確認您已符合所有必要條件，然後參閱如何重複使用現有的虛擬網路。

必要條件

重要

Azure 付款 HSM 是特殊化服務。若要符合上線和使用 Azure 付款 HSM 的資格，客戶必須具有一個指派的 Microsoft 客戶經理，以及具有一個雲端服務架構師 (CSA)。

若要查詢服務、開始資格審查程序，以及備妥上線前的必要條件，請要求 Microsoft 帳戶管理員和 CSA 透過電子郵件傳送要求。

Azure CLI
Azure PowerShell

您必須註冊 "Microsoft.HardwareSecurityModules" 和 "Microsoft.Network" 資源提供者，以及 Azure 付款 HSM 功能。這樣做的步驟位於註冊 Azure 付款 HSM 資源提供者和資源提供者功能。

警告

您必須將 "FastPathEnabled" 功能旗標套用至每個訂用帳戶識別碼，並將 "fastpathenabled" 標籤新增至每個虛擬網路。如需詳細資訊，請參閱 Fastpathenabled。

若要快速確定是否已註冊資源提供者和功能，請使用 Azure CLI az provider show 命令。 (此命令的輸出若以表格格式顯示，會更容易閱讀。)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
如果上述四個命令都傳回 "Registered" (已註冊)，您就可以繼續進行此快速入門。
您必須擁有 Azure 訂用帳戶。您可以建立免費帳戶 (如果沒有的話)。

在 Azure Cloud Shell 中使用 Bash 環境。如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令，請安裝 Azure CLI。若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
- 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。請遵循您終端機上顯示的步驟，完成驗證程序。如需其他登入選項，請參閱使用 Azure CLI 登入。
- 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。
- 執行 az version 以尋找已安裝的版本和相依程式庫。若要升級至最新版本，請執行 az upgrade。

您必須註冊 "Microsoft.HardwareSecurityModules" 和 "Microsoft.Network" 資源提供者，以及 Azure 付款 HSM 功能。這樣做的步驟位於註冊 Azure 付款 HSM 資源提供者和資源提供者功能。

警告

您必須將 "FastPathEnabled" 功能旗標套用至每個訂用帳戶識別碼，並將 "fastpathenabled" 標籤新增至每個虛擬網路。如需詳細資訊，請參閱 Fastpathenabled。

若要快速確定是否已註冊資源提供者和功能，請使用 Azure PowerShell Get-AzProviderFeature Cmdlet：

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

如果這兩個命令的 "RegistrationState" 都傳回 "Registered" (已註冊)，您就可以繼續進行此快速入門。

您必須擁有 Azure 訂用帳戶。您可以建立免費帳戶 (如果沒有的話)。

* 如果您選擇在本機使用 Azure PowerShell：* 安裝最新版的 Az PowerShell 模組。 * 使用 Connect-AzAccount Cmdlet 連線至 Azure 帳戶。 * 如果您選擇使用 Azure Cloud Shell：* 請參閱 Azure Cloud Shell 的概觀以取得詳細資訊。\

您必須安裝 Az.DedicatedHsm PowerShell 模組：
```
Install-Module -Name Az.DedicatedHsm
```

資源群組是在其中部署與管理 Azure 資源的邏輯容器。使用 az group create 命令，在 eastus 位置中建立名為 myResourceGroup 的資源群組。

az group create --name "myResourceGroup" --location "EastUS"

資源群組是在其中部署與管理 Azure 資源的邏輯容器。使用 Azure PowerShell New-AzResourceGroup Cmdlet，在 eastus 位置中建立名為 myResourceGroup 的資源群組。

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

建立虛擬網路和子網路

Azure CLI
Azure PowerShell

建立付款 HSM 之前，您必須先建立虛擬網路和子網路。若要這樣做，請使用 Azure CLI az network vnet create 命令：

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

之後，使用 Azure CLI az network vnet subnet update 命令來更新子網路，並將提供 "Microsoft.HardwareSecurityModules/dedicatedHSMs" 委派：

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

若要確認已正確建立 VNet 和子網路，請使用 Azure CLI az network vnet subnet show 命令：

az network vnet subnet show -g "myResourceGroup" --vnet-name "myVNet" -n myPHSMSubnet

請記下子網路的識別碼，因為下一個步驟會用到。子網路的識別碼結尾為該子網路的名稱：

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

建立付款 HSM 之前，您必須先建立虛擬網路和子網路。

首先，設定要在後續作業中使用的一些變數：

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

使用 Azure PowerShell New-AzDelegation cmdlet，建立要新增至子網路的服務委派，並將輸出儲存至 $myDelegation 變數：

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

使用 Azure PowerShell New-AzVirtualNetworkSubnetConfig Cmdlet 來建立虛擬網路子網路設定，並將輸出儲存至 $myPHSMSubnet 變數：

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

注意

New-AzVirtualNetworkSubnetConfig Cmdlet 會產生警告，您可以放心忽略。

若要建立 Azure 虛擬網路，請使用 Azure PowerShell New-AzVirtualNetwork Cmdlet：

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

若要確認 VNet 已正確建立，請使用 Azure PowerShell Get-AzVirtualNetwork Cmdlet：

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

記下子網路的識別碼，下一個步驟中會用到。子網路的識別碼結尾為該子網路的名稱：

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

建立付款 HSM

重要

如果您在相同區域中建立兩個付款 HSM，必須將一個配置給 "stamp1"，另一個配置給 "stamp2"。如需詳細資訊，請參閱部署案例：高可用性部署。

使用動態主機建立

Azure CLI
Azure PowerShell

若要使用動態主機建立付款 HSM，請使用 az dedicated-hsm create 命令。下列範例會在 eastus 區域、myResourceGroup 資源群組，以及指定的訂用帳戶、虛擬網路和子網路中，建立名為 myPaymentHSM 的付款 HSM：

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60"

若要查看新建立的網路介面，請使用 az network nic list 命令，並提供資源群組：

az network nic list -g myResourceGroup -o table

在輸出中，會列出主機 1 和主機 2，以及管理介面：

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

若要查看新建立的網路介面詳細資料，請使用 az network nic show 命令，並提供資源群組和網路介面名稱：

az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

輸出包含這一行：

  "privateIPAllocationMethod": "Dynamic",

若要使用動態主機建立付款 HSM，請使用上一個步驟中的 New-AzDedicatedHsm Cmdlet 和 VNet 識別碼：

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

建立的付款 HSM 輸出如下所示：

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

若要查看新建立的網路介面，請使用 Get-AzNetworkInterface Cmdlet，並提供資源群組：

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

在輸出中，會列出主機 1 和主機 2，以及管理介面：

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

在 Azure 入口網站中，[私人 IP 配置方法] 為 [動態]：

使用靜態主機建立

Azure CLI
Azure PowerShell

若要使用靜態主機建立付款 HSM，請使用 az dedicated-hsm create 命令。下列範例會在 eastus 區域、myResourceGroup 資源群組，以及指定的訂用帳戶、虛擬網路和子網路中，建立名為 myPaymentHSM 的付款 HSM：

az dedicated-hsm create \
  --resource-group "myResourceGroup" \
  --name "myPaymentHSM" \
  --location "EastUS" \
  --subnet id="<subnet-id>" \
  --stamp-id "stamp1" \
  --sku "payShield10K_LMK1_CPS60" \
  --network-interfaces private-ip-address='("10.0.0.5", "10.0.0.6")

如果您還想指定管理主機的靜態 IP，可以新增：

  --mgmt-network-interfaces private-ip-address="10.0.0.7" \
  --mgmt-network-subnet="<subnet-id>"

若要查看新建立的網路介面，請使用 az network nic list 命令，並提供資源群組：

az network nic list -g myResourceGroup -o table

在輸出中，會列出主機 1 和主機 2，以及管理介面：

...  Name                      NicType    Primary    ProvisioningState    ResourceGroup    ...
---  ------------------------  ---------  ---------  -------------------  ---------------  ---
...  myPaymentHSM_HSMHost1Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMHost2Nic  Standard   True       Succeeded            myResourceGroup  ...
...  myPaymentHSM_HSMMgmtNic   Standard   True       Succeeded            myResourceGroup  ...

若要檢視網路介面的屬性，請使用 az network nic show 命令，並提供資源群組和網路介面名稱：

 az network nic show -g myresourcegroup -n myPaymentHSM_HSMHost1Nic

輸出包含這一行：

  "privateIPAllocationMethod": "Static",

若要使用靜態主機建立付款 HSM，請使用上一個步驟中的 New-AzDedicatedHsm Cmdlet 和 VNet 識別碼：

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>" -NetworkInterface (@{PrivateIPAddress = '10.0.0.5'}, @{PrivateIPAddress = '10.0.0.6'})

如果您還想指定管理主機的靜態 IP，可以新增：

-ManagementNetworkInterface @{PrivateIPAddress = '10.0.07'} -ManagementSubnetId "<subnetId>"

建立的付款 HSM 輸出如下所示：

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

若要查看新建立的網路介面，請使用 Get-AzNetworkInterface Cmdlet，並提供資源群組：

Get-AzNetworkInterface -ResourceGroupName myResourceGroup | Format-Table

在輸出中，會列出主機 1 和主機 2，以及管理介面：

ResourceGroupName Name                     Location ...
----------------- ----                     -------- ---
myResourceGroup   myPaymentHSM_HSMHost1Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMHost2Nic eastus   ...
myResourceGroup   myPaymentHSM_HSMMgmtNic  eastus   ...

Azure 入口網站會顯示 [私人 IP 配置方法] 為 [動態]：

下一步

請進入下一篇文章，以了解如何檢視付款 HSM。

檢視付款 HSM

其他資訊：

共用方式為

教學課程：建立付款 HSM

必要條件

建立資源群組

建立虛擬網路和子網路

建立付款 HSM

使用動態主機建立

使用靜態主機建立

下一步

意見反應

其他資源