Erstellen eines -Clusters - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines -Clusters

Ein Cluster ist eine Sammlung von PersonenHSMs. AWS CloudHSM synchronisiert die HSMs in jedem Cluster, sodass sie als logische Einheit funktionieren. AWS CloudHSM bietet zwei Typen vonHSMs: hsm1.medium und hsm2m.medium. Wenn Sie einen Cluster erstellen, wählen Sie aus, welcher der beiden in Ihrem Cluster enthalten sein soll. Einzelheiten zu den Unterschieden zwischen den einzelnen HSM Typen und Clustermodi finden Sie unterAWS CloudHSM Clustermodi und HSM -typen.

Wenn Sie einen Cluster erstellen, AWS CloudHSM erstellt er in Ihrem Namen eine Sicherheitsgruppe für den Cluster. Diese Sicherheitsgruppe steuert den Netzwerkzugriff auf die HSMs im Cluster. Es erlaubt nur eingehende Verbindungen von Amazon Elastic Compute Cloud (AmazonEC2) -Instances, die sich in der Sicherheitsgruppe befinden. Die Sicherheitsgruppe enthält standardmäßig zunächst keine Instances. Später starten Sie eine Client-Instance und konfigurieren die Sicherheitsgruppe des Clusters so, dass Kommunikation und Verbindungen mit der HSM möglich sind.

Wichtig

Wenn Sie einen Cluster erstellen, AWS CloudHSM erstellt eine serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForCloudHSM. Wenn die Rolle AWS CloudHSM nicht erstellt werden kann oder die Rolle noch nicht existiert, können Sie möglicherweise keinen Cluster erstellen. Weitere Informationen finden Sie unter Beheben von Cluster-Erstellungsfehlern. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Mit Diensten verknüpfte Rollen für AWS CloudHSM.

Sie können einen Cluster über die AWS CloudHSM Konsole, die AWS Command Line Interface (AWS CLI) oder die erstellen AWS CloudHSM API.

Anmerkung

Einzelheiten zu den Clusterargumenten und APIs finden Sie create-clusterin der AWS CLI Befehlsreferenz.

Einen Cluster erstellen (Konsole)

  1. Öffnen Sie die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Verwenden Sie in der Navigationsleiste die Regionsauswahl, um eine der AWS Regionen auszuwählen, die AWS CloudHSM derzeit unterstützt werden.

  3. Wählen Sie Cluster erstellen.

  4. Führen Sie im Abschnitt Cluster-Konfiguration Folgendes aus:

    1. Wählen Sie für die aus VPCVPC, in Erstellen einer Virtual Private Cloud (VPC) der Sie erstellt haben.

    2. Wählen Sie für Availability Zone(s), neben jeder Availability Zone, ein von Ihnen erstelltes privates Subnetz aus.

      Anmerkung

      Auch wenn dies AWS CloudHSM in einer bestimmten Availability Zone nicht unterstützt wird, sollte die Leistung nicht beeinträchtigt werden, da der Lastenausgleich für alle HSMs in einem Cluster AWS CloudHSM automatisch erfolgt. Informationen zur Availability Zone-Unterstützung für AWS CloudHSM finden Allgemeine AWS-ReferenzSie unter AWS CloudHSM Regionen und Endpunkte in der.

    3. Wählen Sie unter HSMTyp den HSM Typ aus, der in Ihrem Cluster erstellt werden kann, zusammen mit dem gewünschten Modus des Clusters. Welche HSM Typen in den einzelnen Regionen unterstützt werden, finden Sie im AWS CloudHSM Preisrechner.

      Wichtig

      Nachdem der Cluster erstellt wurde, können der HSM Typ und der Clustermodus nicht mehr geändert werden. Informationen darüber, welcher Typ und welcher Modus für Ihren Anwendungsfall geeignet sind, finden Sie unterAWS CloudHSM Clustermodi und HSM -typen.

    4. Geben Sie unter Clusterquelle an, ob Sie einen neuen Cluster erstellen oder einen aus einer vorhandenen Sicherung wiederherstellen möchten.

      • Backups von Clustern im FIPS Nicht-Modus können nur zur Wiederherstellung von Clustern verwendet werden, die sich im FIPS Nicht-Modus befinden.

      • Backups von Clustern im FIPS Modus können nur zur Wiederherstellung von Clustern verwendet werden, die sich im FIPS Modus befinden.

  5. Wählen Sie Weiter.

  6. Geben Sie an, wie lange der Dienst Sicherungen aufbewahren soll.

    Anmerkung

    Akzeptieren Sie den standardmäßigen Aufbewahrungszeitraum von 90 Tagen oder geben Sie einen neuen Wert zwischen 7 und 379 Tagen ein. Der Dienst löscht automatisch Sicherungen in diesem Cluster, die älter sind als der hier angegebene Wert. Sie können dies später ändern. Weitere Informationen finden Sie unter Konfiguration der Aufbewahrung für Sicherungen.

  7. Wählen Sie Weiter.

  8. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie Tag hinzufügen, wenn Sie mehr als ein Tag zum Cluster hinzufügen möchten.

  9. Wählen Sie Überprüfen.

  10. Überprüfen Sie Ihre Cluster-Konfiguration und wählen Sie dann Cluster erstellen aus.

Erstellen eines Clusters (AWS CLI)

  • Führen Sie über die Eingabeaufforderung den folgenden create-cluster-Befehl aus. Geben Sie den HSM Instanztyp, den Aufbewahrungszeitraum für Backups und das Subnetz IDs der Subnetze an, die Sie erstellen möchten. HSMs Verwenden Sie das Subnetz IDs der privaten Subnetze, die Sie erstellt haben. Geben Sie nur ein Subnetz pro Availability Zone an. 

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode FIPS

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm1.medium",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    Anmerkung

    ClusterModeist ein erforderlicher Parameter für alle HSM-Typen außer hsm1.medium. --mode:

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS
Erstellen eines Clusters (AWS CloudHSM API)

  • Senden Sie eine CreateCluster-Anforderung. Geben Sie den HSM Instanztyp, die Aufbewahrungsrichtlinie für Backups und das Subnetz IDs der Subnetze an, die Sie erstellen möchten. HSMs Verwenden Sie das Subnetz IDs der privaten Subnetze, die Sie erstellt haben. Geben Sie nur ein Subnetz pro Availability Zone an.

Wenn Ihre Versuche, einen Cluster zu erstellen, fehlschlagen, kann dies auf Probleme mit den servicegebundenen AWS CloudHSM -Rollen zurückzuführen sein. Hilfe beim Beheben des Fehlers finden Sie unter Beheben von Cluster-Erstellungsfehlern.