Guia de início rápido: criar um HSM de pagamento do Azure com o Azure PowerShell

O Azure Payment HSM é um serviço "BareMetal" fornecido usando os módulos de segurança de hardware de pagamento (HSM) Thales payShield 10K para fornecer operações de chave criptográfica para transações de pagamento críticas em tempo real na nuvem do Azure. O Azure Payment HSM foi projetado especificamente para ajudar um provedor de serviços e uma instituição financeira individual a acelerar a estratégia de transformação digital de seus sistemas de pagamento e adotar a nuvem pública. Para obter mais informações, consulte Azure Payment HSM: Visão geral.

Este guia de início rápido descreve como você pode criar um HSM de Pagamento do Azure usando o módulo Az.DedicatedHsm PowerShell.

Pré-requisitos

Importante

O Azure Payment HSM é um serviço especializado. Para se qualificarem para a integração e utilização do Azure Payment HSM, os clientes têm de ter um Gestor de Conta Microsoft atribuído, ter um CSA e cumprir o requisito monetário de cinco milhões de USD (5 milhões de dólares) ou superior em receitas globais comprometidas do Azure anualmente.

Para saber mais sobre o serviço, iniciar o processo de qualificação e preparar os pré-requisitos antes da integração, peça ao seu gerente de conta da Microsoft e ao CSA para enviar uma solicitação por email.

• Você deve registrar os provedores de recursos "Microsoft.HardwareSecurityModules" e "Microsoft.Network", bem como os recursos do Azure Payment HSM. As etapas para fazer isso estão em Registrar o provedor de recursos do HSM de pagamento do Azure e os recursos do provedor de recursos.

  Aviso

  Você deve aplicar o sinalizador de recurso "FastPathEnabled" a cada ID de assinatura e adicionar a tag "fastpathenabled" a cada rede virtual. Para obter mais informações, consulte Fastpathenabled.

  Para verificar rapidamente se os provedores de recursos e recursos já estão registrados, use o cmdlet Get-AzProviderFeature do Azure PowerShell:

Get-AzProviderFeature -FeatureName "AzureDedicatedHsm" -ProviderNamespace Microsoft.HardwareSecurityModules

Get-AzProviderFeature -FeatureName "FastPathEnabled" -ProviderNamespace Microsoft.Network

Você pode continuar com este início rápido se o "RegistrationState" de ambos os comandos retornar "Registered".

• Precisa de uma subscrição do Azure. Você pode criar uma conta gratuita se não tiver uma.

  Se você tiver mais de uma assinatura do Azure, defina a assinatura a ser usada para cobrança com o cmdlet Set-AzContext do Azure PowerShell.

  Set-AzContext -Subscription "<subscription-id>"
  

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount .
• Se você optar por usar o Azure Cloud Shell:
  • Consulte Visão geral do Azure Cloud Shell para obter mais informações.

• Você deve instalar o módulo Az.DedicatedHsm PowerShell:

  Install-Module -Name Az.DedicatedHsm
  

Criar um grupo de recursos

Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup no local eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Criar uma rede virtual e uma sub-rede

Antes de criar um HSM de pagamento, você deve primeiro criar uma rede virtual e uma sub-rede.

Primeiro, defina algumas variáveis para uso nas operações subsequentes:

$VNetAddressPrefix = @("10.0.0.0/16")
$SubnetAddressPrefix = "10.0.0.0/24"
$tags = @{fastpathenabled="true"}

Use o cmdlet New-AzDelegation do Azure PowerShell para criar uma delegação de serviço a ser adicionada à sua sub-rede e salve a saída na $myDelegation variável:

$myDelegation = New-AzDelegation -Name "myHSMDelegation" -ServiceName "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Use o cmdlet New-AzVirtualNetworkSubnetConfig do Azure PowerShell para criar uma configuração de sub-rede de rede virtual e salve a saída na $myPHSMSubnet variável:

$myPHSMSubnetConfig = New-AzVirtualNetworkSubnetConfig -Name "myPHSMSubnet" -AddressPrefix $SubnetAddressPrefix -Delegation $myDelegation

Nota

O cmdlet New-AzVirtualNetworkSubnetConfig gerará um aviso, que você pode ignorar com segurança.

Para criar uma Rede Virtual do Azure, use o cmdlet New-AzVirtualNetwork do Azure PowerShell:

New-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Tag $tags -AddressPrefix $VNetAddressPrefix -Subnet $myPHSMSubnetConfig

Para verificar se a rede virtual foi criada corretamente, use o cmdlet Get-AzVirtualNetwork do Azure PowerShell:

Get-AzVirtualNetwork -Name "myVNet" -ResourceGroupName "myResourceGroup"

Anote o valor retornado como Id, pois ele é usado na próxima etapa. O Id está no formato:

"Id": "/subscriptions/<subscriptionID>/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/myPHSMSubnet",

Criar um HSM de pagamento

Para criar um HSM de pagamento, use o cmdlet New-AzDedicatedHsm e o ID da VNet da etapa anterior:

New-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup" -Location "East US" -Sku "payShield10K_LMK1_CPS60" -StampId "stamp1" -SubnetId "<subnet-id>"

A saída da criação do HSM de pagamento tem esta aparência:

Name  Provisioning State SKU                     Location
----  ------------------ ---                     --------
myHSM Succeeded          payShield10K_LMK1_CPS60 East US

Obter um pagamento HSM

Para ver seu HSM de pagamento e suas propriedades, use o cmdlet Get-AzDedicatedHsm do Azure PowerShell.

Get-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroup "myResourceGroup"

Para listar todos os HSMs de pagamento, use o cmdlet Get-AzDedicatedHsm sem parâmetros.

Para obter mais informações sobre seu HSM de pagamento, você pode usar o cmdlet Get-AzResource, especificando o grupo de recursos, e "Microsoft.HardwareSecurityModules/dedicatedHSMs" como o tipo de recurso:

Get-AzResource -ResourceGroupName "myResourceGroup" -ResourceType "Microsoft.HardwareSecurityModules/dedicatedHSMs"

Remover um HSM de pagamento

Para remover o HSM de pagamento, use o cmdlet Azure PowerShell Remove-AzDedicatedHsm . O exemplo a seguir exclui o myPaymentHSM HSM de pagamento do myResourceGroup grupo de recursos:

Remove-AzDedicatedHsm -Name "myPaymentHSM" -ResourceGroupName "myResourceGroup"

Eliminar o grupo de recursos

Outros inícios rápidos e tutoriais desta coleção têm por base este início rápido. Se quiser continuar a trabalhar com outros inícios rápidos e tutoriais, pode manter estes recursos.

Quando não for mais necessário, você poderá usar o cmdlet Azure PowerShell Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos relacionados.

Remove-AzResourceGroup -Name "myResourceGroup"

Próximos passos

Neste início rápido, você criou um HSM de pagamento, visualizou e atualizou suas propriedades e o excluiu. Para saber mais sobre o HSM de pagamento e como integrá-lo com seus aplicativos, continue nestes artigos.

• Leia uma visão geral do HSM de pagamento
• Saiba como começar a usar o Azure Payment HSM
• Veja alguns cenários comuns de implantação
• Saiba mais sobre certificação e conformidade
• Leia as perguntas frequentes