Outil de configuration du SDK client 5

Utilisez l'outil de configuration du SDK client 5 pour mettre à jour les fichiers de configuration côté client.

Chaque composant du SDK client 5 inclut un outil de configuration avec un indicateur du composant dans le nom de fichier de l'outil de configuration. Par exemple, la bibliothèque PKCS #11 pour le SDK client 5 inclut un outil de configuration nommé configure-pkcs11 sous Linux ou configure-pkcs11.exe Windows.

Syntaxe

PKCS #11

configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11

OpenSSL

configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]

JCE

configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]

CloudHSM CLI

configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

Configurations avancées

Pour obtenir la liste des configurations avancées spécifiques à l'outil de configuration du SDK client 5, reportez-vous à la section Configurations avancées de l'outil de configuration du SDK client 5.

Important

Après avoir apporté des modifications à votre configuration, vous devez redémarrer votre application pour que les modifications prennent effet.

Exemples

Ces exemples illustrent comment utiliser l'outil de configuration pour le SDK client 5.

Démarrage du SDK client 5

Cet exemple utilise le paramètre -a pour mettre à jour les données HSM pour le SDK client 5. Pour utiliser le paramètre -a, vous devez disposer de l'adresse IP de l'un des HSM de votre cluster.

PKCS #11 library

Pour démarrer une instance EC2 Linux pour un SDK client 5

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
              

Pour démarrer une instance EC2 Windows pour le client SDK 5

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
              

OpenSSL Dynamic Engine

Pour démarrer une instance EC2 Linux pour le SDK client 5

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
              

JCE provider

Pour démarrer une instance EC2 Linux pour le SDK client 5

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
              

Pour démarrer une instance EC2 Windows pour le client SDK 5

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
              

CloudHSM CLI

Pour démarrer une instance EC2 Linux pour le SDK client 5

• Utilisez l'outil de configuration pour spécifier l'adresse IP du ou des HSM de votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
              

Pour démarrer une instance EC2 Windows pour le client SDK 5

• Utilisez l'outil de configuration pour spécifier l'adresse IP du ou des HSM de votre cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
              

Note

vous pouvez utiliser le paramètre –-cluster-id à la place de-a <HSM_IP_ADDRESSES>. Pour connaître les conditions d'utilisation de –-cluster-id, consultez Outil de configuration du SDK client 5.

Pour plus d'informations sur le paramètre -a, consultez Paramètres.

Spécifiez le cluster, la région et le point de terminaison pour le SDK client 5

Cet exemple utilise le paramètre cluster-id pour démarrer le SDK client 5 en effectuant un appel DescribeClusters.

PKCS #11 library

Pour démarrer une instance EC2 Linux pour le SDK client 5 avec cluster-id

• Utilisez l'ID du cluster cluster-1234567 pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
              

Pour démarrer une instance EC2 Windows pour le SDK client 5 avec cluster-id

• Utilisez l'ID du cluster cluster-1234567 pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
              

OpenSSL Dynamic Engine

Pour démarrer une instance EC2 Linux pour le SDK client 5 avec cluster-id

• Utilisez l'ID du cluster cluster-1234567 pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
              

JCE provider

Pour démarrer une instance EC2 Linux pour le SDK client 5 avec cluster-id

• Utilisez l'ID du cluster cluster-1234567 pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
              

Pour démarrer une instance EC2 Windows pour le SDK client 5 avec cluster-id

• Utilisez l'ID du cluster cluster-1234567 pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
              

CloudHSM CLI

Pour démarrer une instance EC2 Linux pour le SDK client 5 avec cluster-id

• Utilisez l'ID du cluster cluster-1234567 pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
              

Pour démarrer une instance EC2 Windows pour le SDK client 5 avec cluster-id

• Utilisez l'ID du cluster cluster-1234567 pour spécifier l'adresse IP d'un HSM dans votre cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567
              

Vous pouvez utiliser les paramètres --region et --endpoint en combinaison avec le paramètre cluster-id pour spécifier la manière dont le système effectue l'appel DescribeClusters. Par exemple, si la région du cluster est différente de celle configurée par défaut par votre CLI AWS, vous devez utiliser le paramètre --region pour utiliser cette région. En outre, il est possible de spécifier le point de terminaison d' AWS CloudHSM API à utiliser pour l'appel, ce qui peut être nécessaire pour diverses configurations réseau, telles que l'utilisation de points de terminaison d'interface VPC qui n'utilisent pas le nom d'hôte DNS par défaut pour. AWS CloudHSM

PKCS #11 library

Pour démarrer une instance EC2 Linux avec un point de terminaison et une région personnalisés

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster avec une région et un point de terminaison personnalisés.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Pour démarrer une instance EC2 Windows avec un point de terminaison et une région

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster avec une région et un point de terminaison personnalisés.

  
  C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

OpenSSL Dynamic Engine

Pour démarrer une instance EC2 Linux avec un point de terminaison et une région personnalisés

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster avec une région et un point de terminaison personnalisés.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

JCE provider

Pour démarrer une instance EC2 Linux avec un point de terminaison et une région personnalisés

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster avec une région et un point de terminaison personnalisés.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Pour démarrer une instance EC2 Windows avec un point de terminaison et une région

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster avec une région et un point de terminaison personnalisés.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

CloudHSM CLI

Pour démarrer une instance EC2 Linux avec un point de terminaison et une région personnalisés

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster avec une région et un point de terminaison personnalisés.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Pour démarrer une instance EC2 Windows avec un point de terminaison et une région

• Utilisez l'outil de configuration pour spécifier l'adresse IP d'un HSM dans votre cluster avec une région et un point de terminaison personnalisés.

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Pour plus d'informations sur les paramètres --cluster-id, --region et --endpoint, consultez Paramètres.

Mettre à jour la clé et le certificat client pour l'authentification mutuelle client-serveur TLS

Cet exemple montre comment utiliser les --server-client-key-file paramètres server-client-cert-file et pour reconfigurer le protocole SSL en spécifiant une clé personnalisée et un certificat SSL pour AWS CloudHSM

PKCS #11 library

Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 5 sous Linux

1. Copiez votre clé et votre certificat dans le répertoire approprié.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Utilisez l'outil de configuration pour spécifier ssl-client.crt et ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 5 sous Windows

1. Copiez votre clé et votre certificat dans le répertoire approprié.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. À l'aide d'un PowerShell interpréteur, utilisez l'outil de configuration pour spécifier ssl-client.crt etssl-client.key.

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

OpenSSL Dynamic Engine

Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 5 sous Linux

1. Copiez votre clé et votre certificat dans le répertoire approprié.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Utilisez l'outil de configuration pour spécifier ssl-client.crt et ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-dyn \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

JCE provider

Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 5 sous Linux

1. Copiez votre clé et votre certificat dans le répertoire approprié.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Utilisez l'outil de configuration pour spécifier ssl-client.crt et ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-jce \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 5 sous Windows

1. Copiez votre clé et votre certificat dans le répertoire approprié.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. À l'aide d'un PowerShell interpréteur, utilisez l'outil de configuration pour spécifier ssl-client.crt etssl-client.key.

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

CloudHSM CLI

Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 5 sous Linux

1. Copiez votre clé et votre certificat dans le répertoire approprié.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Utilisez l'outil de configuration pour spécifier ssl-client.crt et ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-cli \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 5 sous Windows

1. Copiez votre clé et votre certificat dans le répertoire approprié.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. À l'aide d'un PowerShell interpréteur, utilisez l'outil de configuration pour spécifier ssl-client.crt etssl-client.key.

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Pour plus d'informations sur les paramètres server-client-cert-file et --server-client-key-file, consultez Paramètres.

Désactiver les paramètres de durabilité de la clé du client

Cet exemple utilise le paramètre --disable-key-availability-check pour désactiver les paramètres de durabilité de la clé du client. Pour exécuter un cluster avec un seul HSM, vous devez désactiver les paramètres de durabilité de la clé du client.

PKCS #11 library

Pour désactiver la durabilité de la clé du client pour le SDK client 5 sous Linux

• Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
              

Pour désactiver la durabilité de la clé client pour le SDK client 5 sous Windows

• Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
              

OpenSSL Dynamic Engine

Pour désactiver la durabilité de la clé du client pour le SDK client 5 sous Linux

• Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
              

JCE provider

Pour désactiver la durabilité de la clé du client pour le SDK client 5 sous Linux

• Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
              

Pour désactiver la durabilité de la clé client pour le SDK client 5 sous Windows

• Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
              

CloudHSM CLI

Pour désactiver la durabilité de la clé du client pour le SDK client 5 sous Linux

• Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
              

Pour désactiver la durabilité de la clé client pour le SDK client 5 sous Windows

• Utilisez l'outil de configuration pour désactiver les paramètres de durabilité de la clé du client.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
              

Pour plus d'informations sur le paramètre --disable-key-availability-check, consultez Paramètres.

Gestion des options de journalisation

Le SDK client 5 utilise les paramètres log-file, log-level, log-rotation et log-type pour gérer la journalisation.

Note

Pour configurer votre SDK pour des environnements sans serveur tels qu'AWS Fargate ou AWS Lambda, nous vous recommandons de configurer votre type de journal sur. AWS CloudHSM term Les journaux du client seront générés stderr et capturés dans le groupe de CloudWatch journaux des journaux configuré pour cet environnement.

PKCS #11 library

Emplacement de journalisation par défaut

• Si vous ne spécifiez pas d'emplacement pour le fichier, le système écrit les journaux à l'emplacement par défaut suivant :

  Linux

  /opt/cloudhsm/run/cloudhsm-pkcs11.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log

Pour configurer le niveau de journalisation et laisser les autres options de journalisation définies par défaut

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info

Pour configurer les options de journalisation des fichiers

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info

Pour configurer les options de journalisation du terminal

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info

OpenSSL Dynamic Engine

Emplacement de journalisation par défaut

• Si vous ne spécifiez pas d'emplacement pour le fichier, le système écrit les journaux à l'emplacement par défaut suivant :

  Linux

  stderr

Pour configurer le niveau de journalisation et laisser les autres options de journalisation définies par défaut

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info

Pour configurer les options de journalisation des fichiers

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info

Pour configurer les options de journalisation du terminal

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info

JCE provider

Emplacement de journalisation par défaut

• Si vous ne spécifiez pas d'emplacement pour le fichier, le système écrit les journaux à l'emplacement par défaut suivant :

  Linux

  /opt/cloudhsm/run/cloudhsm-jce.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log

Pour configurer le niveau de journalisation et laisser les autres options de journalisation définies par défaut

• $ sudo /opt/cloudhsm/bin/configure-jce --log-level info

Pour configurer les options de journalisation des fichiers

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info

Pour configurer les options de journalisation du terminal

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info

CloudHSM CLI

Emplacement de journalisation par défaut

• Si vous ne spécifiez pas d'emplacement pour le fichier, le système écrit les journaux à l'emplacement par défaut suivant :

  Linux

  /opt/cloudhsm/run/cloudhsm-cli.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log

Pour configurer le niveau de journalisation et laisser les autres options de journalisation définies par défaut

• $ sudo /opt/cloudhsm/bin/configure-cli --log-level info

Pour configurer les options de journalisation des fichiers

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info

Pour configurer les options de journalisation du terminal

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

Pour plus d'informations sur les paramètres log-file, log-level, log-rotation et log-type consultez Paramètres.

Placez le certificat émetteur pour le SDK client 5

Cet exemple utilise le paramètre --hsm-ca-cert pour mettre à jour l'emplacement du certificat émetteur pour le SDK client 5.

PKCS #11 library

Pour placer le certificat émetteur sous Linux pour un SDK client 5

• Utilisez l'outil de configuration pour spécifier l'emplacement du certificat émetteur.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
              

Pour placer le certificat émetteur sous Windows pour le SDK client 5

• Utilisez l'outil de configuration pour spécifier l'emplacement du certificat émetteur.

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
              

OpenSSL Dynamic Engine

Pour placer le certificat émetteur sous Linux pour un SDK client 5

• Utilisez l'outil de configuration pour spécifier l'emplacement du certificat émetteur.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
              

JCE provider

Pour placer le certificat émetteur sous Linux pour un SDK client 5

• Utilisez l'outil de configuration pour spécifier l'emplacement du certificat émetteur.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
              

Pour placer le certificat émetteur sous Windows pour le SDK client 5

• Utilisez l'outil de configuration pour spécifier l'emplacement du certificat émetteur.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
              

CloudHSM CLI

Pour placer le certificat émetteur sous Linux pour un SDK client 5

• Utilisez l'outil de configuration pour spécifier l'emplacement du certificat émetteur.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
              

Pour placer le certificat émetteur sous Windows pour le SDK client 5

• Utilisez l'outil de configuration pour spécifier l'emplacement du certificat émetteur.

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>
              

Pour plus d'informations sur le paramètre --hsm-ca-cert, consultez Paramètres.

Paramètres

-a <adresse IP d'ENI>

Ajoute l'adresse IP spécifiée aux fichiers de configuration du SDK client 5. Entrez n'importe quelle adresse IP ENI d'un HSM du cluster. Pour plus d'informations sur l'utilisation de cette option, consultez la section Démarrer un SDK client 5.

Obligatoire : oui

-- hsm-ca-cert <customerCA certificate file path>

Chemin d'accès au répertoire stockant le certificat de l'autorité de certification (CA) utilisé pour connecter les instances clientes EC2 au cluster. Il s'agit du fichier que vous avez créé lorsque vous avez initialisé le cluster. Par défaut, le système recherche ce fichier dans l'emplacement suivant :

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Pour plus d'informations sur l'initialisation du cluster ou le placement du certificat, consultez Placez le certificat émetteur sur chaque instance EC2 et Initialiser le cluster.

Obligatoire : non

--cluster-id <cluster ID>

Effectue un appel DescribeClusters pour rechercher toutes les adresses IP de l’interface réseau Elastic (ENI) du HSM du cluster associées à l'ID du cluster. Le système ajoute les adresses IP ENI aux fichiers AWS CloudHSM de configuration.

Note

Si vous utilisez le --cluster-id paramètre à partir d'une instance EC2 au sein d'un VPC qui n'a pas accès à l'Internet public, vous devez créer un point de terminaison VPC d'interface auquel vous connecter. AWS CloudHSM Pour plus d'informations sur les points de terminaison d'un VPC, consultez AWS CloudHSM et points de terminaison VPC.

Obligatoire : non

--endpoint <endpoint>

Spécifiez le point de terminaison de l' AWS CloudHSM API utilisé pour effectuer l'DescribeClustersappel. Vous devez définir cette option en combinaison avec --cluster-id.

Obligatoire : non

--region <region>

Spécifiez la région de votre cluster. Vous devez définir cette option en combinaison avec --cluster-id.

Si vous ne fournissez pas le paramètre --region, le système choisit la région en essayant de lire les variables d'environnement AWS_DEFAULT_REGION ou AWS_REGION. Si ces variables ne sont pas définies, le système vérifie la région associée à votre profil dans votre fichier AWS Config (généralement ~/.aws/config), sauf si vous avez spécifié un autre fichier dans la variable d'environnement AWS_CONFIG_FILE. Si aucune des options ci-dessus n'est définie, le système utilise par défaut la région us-east-1.

Obligatoire : non

-- server-client-cert-file <client certificate file path>

Chemin d'accès au certificat client utilisé pour l'authentification mutuelle client-serveur TLS.

N'utilisez cette option que si vous ne souhaitez pas utiliser la clé par défaut et le certificat SSL/TLS inclus dans le SDK client 5. Vous devez définir cette option en combinaison avec --server-client-key-file.

Obligatoire : non

-- server-client-key-file <client key file path>

Chemin d'accès à la clé client utilisée pour l'authentification mutuelle client-serveur TLS.

N'utilisez cette option que si vous ne souhaitez pas utiliser la clé par défaut et le certificat SSL/TLS inclus dans le SDK client 5. Vous devez définir cette option en combinaison avec --server-client-cert-file.

Obligatoire : non

--log-level <error | warn | info | debug | trace>

Spécifie le niveau de journalisation minimal que le système doit écrire dans le fichier journal. Chaque niveau inclut les niveaux précédents, où « error » est le niveau minimum et « trace » le niveau maximum. Cela signifie que si vous spécifiez des erreurs, le système écrit uniquement les erreurs dans le journal. Si vous spécifiez le suivi, le système écrit les erreurs, les avertissements, les messages d'information (info) et de débogage dans le journal. Pour plus d'informations, consultez Journalisation du SDK client 5.

Obligatoire : non

--log-rotation<daily | weekly>

Spécifie la fréquence à laquelle le système fait pivoter les journaux. Pour plus d'informations, consultez Journalisation du SDK client 5.

Obligatoire : non

--log-file <file name with path>

Spécifie l'endroit où le système écrira le fichier journal. Pour plus d'informations, consultez Journalisation du SDK client 5.

Obligatoire : non

--log-type <term | file>

Spécifie si le système doit écrire le journal dans un fichier ou un terminal. Pour plus d'informations, consultez Journalisation du SDK client 5.

Obligatoire : non

-h | --help

Affiche l'aide.

Obligatoire : non

-v | --version

Affiche la version.

Obligatoire : non

--disable-key-availability-check

Drapeau pour désactiver le quorum de disponibilité des clés. Utilisez cet indicateur pour indiquer que le quorum de disponibilité des clés AWS CloudHSM doit être désactivé et que vous pouvez utiliser des clés qui n'existent que sur un seul HSM du cluster. Pour plus d'informations sur l'utilisation de cet indicateur pour définir le quorum de disponibilité des clés, consultez Gestion des paramètres de durabilité des clés du client.

Obligatoire : non

--enable-key-availability-check

Drapeau pour activer le quorum de disponibilité des clés. Utilisez cet indicateur pour indiquer que vous AWS CloudHSM devez utiliser le quorum de disponibilité des clés et ne pas vous autoriser à utiliser des clés tant que ces clés n'existent pas sur deux HSM du cluster. Pour plus d'informations sur l'utilisation de cet indicateur pour définir le quorum de disponibilité des clés, consultez Gestion des paramètres de durabilité des clés du client.

Activée par défaut.

Obligatoire : non

-- disable-validate-key-at -init

Améliore les performances en spécifiant que vous pouvez ignorer un appel d'initialisation afin de vérifier les autorisations sur une clé pour les appels suivants. À utiliser avec précaution.

Contexte : Certains mécanismes de la bibliothèque PKCS #11 prennent en charge les opérations en plusieurs parties dans le cadre desquelles un appel d'initialisation vérifie si vous pouvez utiliser la clé pour les appels suivants. Cela nécessite un appel de vérification au HSM, ce qui ajoute de la latence au fonctionnement global. Cette option vous permet de désactiver l'appel suivant et d'améliorer potentiellement les performances.

Obligatoire : non

-- enable-validate-key-at -init

Spécifie que vous devez utiliser un appel d'initialisation pour vérifier les autorisations sur une clé pour les appels suivants. Il s’agit de l’option par défaut. Utilisez enable-validate-key-at-init pour reprendre ces appels d'initialisation après les avoir suspendus via disable-validate-key-at-init.

Obligatoire : non

Rubriques en relation

• DescribeClustersOpération d'API

• CLI AWS describe-clusters

• Get-HSM2Cluster PowerShell applet de commande

• Démarrage du SDK client 5

• AWS CloudHSM Points de terminaison d'un VPC

• Gestion des paramètres de durabilité des clés du SDK client 5

• Journalisation du SDK client 5