クイック スタート: Azure CLI を使用して Azure Payment HSM を作成する

Azure Payment HSM は、Thales payShield 10K 支払いハードウェア セキュリティ モジュール (HSM) を使って提供される「ベアメタル」サービスであり、Azure クラウドでのリアルタイムの重要な支払いトランザクションに暗号化キー操作を提供します。 Azure Payment HSM は、サービス プロバイダーと個々の金融機関が、支払いシステムのデジタル トランスフォーメーション戦略を促進し、パブリック クラウドを採用するのに特に役立つように設計されています。 詳細については、Azure Payment HSM の概要に関する記事を参照してください。

このクイックスタートでは、az dedicated-hsm Azure CLI コマンドを使用して、Azure Payment HSM を作成、更新、削除する方法について説明します。

[前提条件]

重要

Azure Payment HSM は、専門化されたサービスです。 Azure Payment HSM のオンボードと使用の資格を得るには、顧客に Microsoft アカウント マネージャーが割り当てられ、CSA を持ち、年間で確約された Azure 収益全体で 500 万 ($5M) 米国ドル以上の年額要件を満たしている必要があります。

サービスについての問い合わせ、認定プロセスの開始、オンボード前に前提条件の準備を行うには、Microsoft アカウント マネージャーと CSA にメールで要求を送信するように依頼してください。

• "Microsoft.HardwareSecurityModules" と "Microsoft.Network" リソース プロバイダー、および Azure Payment HSM 機能を登録する必要があります。 これを行う手順については、「Azure Payment HSM リソース プロバイダーとリソース プロバイダーの機能を登録する」を参照してください。

  警告

  すべてのサブスクリプション ID に "FastPathEnabled" 機能フラグを適用し、すべての仮想ネットワークに "fastpathenabled" タグを追加する必要があります。 詳細については、Fastpathenabled に関するページを参照してください。

  リソース プロバイダーと機能が既に登録されているかどうかを迅速に確認するには、Azure CLI の az provider show コマンドを使います。 (このコマンドの出力は、表形式で表示すると読みやすくなります。)

  az provider show --namespace "Microsoft.HardwareSecurityModules" -o table
  
  az provider show --namespace "Microsoft.Network" -o table
  
  az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table
  
  az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
  

  これらの 4 つのコマンドすべてが "Registered" を返す場合は、このクイック スタートを続行できます。

• Azure サブスクリプションが必要です。 アカウントがない場合は、無料アカウントを作成することができます。

  複数の Azure サブスクリプションがある場合は、Azure CLI az account set コマンドを使用して、課金に使用するサブスクリプションを設定します。

  az account set --subscription <subscription-id>
  

• Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

  • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

  • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

リソース グループを作成する

リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。 az group create コマンドを使用して、myResourceGroup という名前のリソース グループを eastus に作成します。

az group create --name "myResourceGroup" --location "EastUS"

仮想ネットワークとサブネットの作成

決済用 HSM を作成する前に、まず仮想ネットワークとサブネットを作成する必要があります。 これを行うには、Azure CLI の az network vnet create コマンドを使用します。

az network vnet create -g "myResourceGroup" -n "myVNet" --address-prefixes "10.0.0.0/16" --tags "fastpathenabled=True" --subnet-name "myPHSMSubnet" --subnet-prefix "10.0.0.0/24"

その後、Azure CLI の az network vnet subnet update コマンドを使用してサブネットを更新し、"Microsoft.HardwareSecurityModules/dedicatedHSMs" の委任を付与します。

az network vnet subnet update -g "myResourceGroup" --vnet-name "myVNet" -n "myPHSMSubnet" --delegations "Microsoft.HardwareSecurityModules/dedicatedHSMs"

仮想ネットワークとサブネットが正しく作成されたことを確認するには、Azure CLI の az network vnet show コマンドを使用します。

az network vnet show -n "myVNet" -g "myResourceGroup"

id として返される値は、次の手順で使用するので、メモしておいてください。 id は次の形式になっています。

"id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

決済用 HSM を作成する

決済用 HSM を作成するには、az dedicated-hsm create コマンドを使用します。 次の例では、eastus リージョン、myResourceGroup リソース グループ、指定のサブスクリプション、仮想ネットワーク、およびサブネットで、myPaymentHSM という名前の決済用 HSM を作成します。

az dedicated-hsm create \
   --resource-group "myResourceGroup" \
   --name "myPaymentHSM" \
   --location "EastUS" \
   --subnet id="<subnet-id>" \
   --stamp-id "stamp1" \
   --sku "payShield10K_LMK1_CPS60" 

決済用 HSM を取得する

決済用 HSM とそのプロパティを表示するには、Azure CLI の az dedicated-hsm show コマンドを使用します。

az dedicated-hsm show --resource-group "myResourceGroup" --name "myPaymentHSM"

すべての決済用 HSM を一覧表示するには、az dedicated-hsm list コマンドを使用します。 (このコマンドの出力は、表形式で表示すると読みやすくなります。)

az dedicated-hsm list --resource-group "myResourceGroup" -o table

決済用 HSM を削除する

決済用 HSM を削除するには、az dedicated-hsm delete コマンドを使用します。 次の例では、myResourceGroup リソース グループから myPaymentHSM 決済用 HSM を削除します。

az dedicated-hsm delete --name "myPaymentHSM" -g "myResourceGroup"

リソース グループを削除します

このコレクションの他のクイックスタートとチュートリアルは、このクイックスタートに基づいています。 後続のクイック スタートおよびチュートリアルを引き続き実行する場合は、これらのリソースをそのまま残しておくことをお勧めします。

必要がなくなったら、Azure CLI の az group delete コマンドを使用して、リソース グループおよびすべての関連リソースを削除できます。

az group delete --name "myResourceGroup"

次のステップ

このクイック スタートでは、決済用 HSM を作成し、そのプロパティを表示および更新し、削除しました。 決済用 HSM およびアプリケーションとの統合方法の詳細については、引き続き以下の記事を参照してください。

• Payment HSM の概要に関するページを読む
• Azure Payment HSM の使用を開始する方法を確認する
• いくつかの一般的なデプロイ シナリオを確認する
• 認定とコンプライアンスの詳細について学習する
• よく寄せられる質問を参照する