Créer un cluster - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer un cluster

Un cluster est un ensemble de HSM individuels. AWS CloudHSM synchronise les HSM de chaque cluster afin qu'ils fonctionnent comme une unité logique. AWS CloudHSM propose deux types de HSM : hsm1.medium et hsm2m.medium. Lorsque vous créez un cluster, vous choisissez lequel des deux fera partie de votre cluster. Pour plus de détails sur les différences entre chaque type de HSM et chaque mode de cluster, consultezAWS CloudHSM modes de cluster et types HSM.

Lorsque vous créez un cluster, il AWS CloudHSM crée un groupe de sécurité pour le cluster en votre nom. Ce groupe de sécurité contrôle l'accès réseau aux HSM dans le cluster. Il autorise les connexions entrantes uniquement à partir d'instances Amazon Elastic Compute Cloud (Amazon EC2) qui se trouvent dans le groupe de sécurité. Par défaut, le groupe de sécurité ne contient aucune instance. Par la suite, vous lancez une instance client et configurez le groupe de sécurité du cluster pour autoriser les communications et les connexions avec le HSM.

Important

Lorsque vous créez un cluster, il AWS CloudHSM crée un rôle lié à un service nommé. AWSServiceRoleForCloudHSM Si vous AWS CloudHSM ne pouvez pas créer le rôle ou s'il n'existe pas déjà, vous ne pourrez peut-être pas créer de cluster. Pour plus d’informations, consultez Résolution des échecs de création de cluster. Pour plus d'informations sur les rôles liés à un service, consultez Rôles liés à un service pour AWS CloudHSM.

Vous pouvez créer un cluster à partir de la console AWS CloudHSM, de l'AWS Command Line Interface (AWS CLI) ou de l'API AWS CloudHSM .

Note

Pour plus de détails sur les arguments et les API du cluster, consultez le create-clustermanuel de référence des commandes de l'AWS CLI.

Pour créer un cluster (console)

  1. Ouvrez la AWS CloudHSM console à l'adresse https://console.aws.amazon.com/cloudhsm/home.

  2. Dans la barre de navigation, utilisez le sélecteur de région pour choisir l'une des AWS régions AWS CloudHSM actuellement prises en charge.

  3. Choisissez Créer un cluster.

  4. Dans la section Configuration de cluster, effectuez les opérations suivantes :

    1. Pour VPC, sélectionnez le VPC que vous avez créé dans Création d’un cloud privé virtuel (VPC).

    2. Pour Zone(s) de disponibilité, en regard de chaque zone de disponibilité, choisissez le sous-réseau privé que vous avez créé.

      Note

      Même s'il n' AWS CloudHSM est pas pris en charge dans une zone de disponibilité donnée, les performances ne devraient pas être affectées, car les charges AWS CloudHSM sont automatiquement équilibrées sur tous les HSM d'un cluster. Voir AWS CloudHSM Régions et points de terminaison dans le Références générales AWSpour voir la prise en charge des zones de disponibilité pour AWS CloudHSM.

    3. Pour le type HSM, sélectionnez le type HSM qui peut être créé dans votre cluster ainsi que le mode souhaité du cluster. Pour savoir quels types de HSM sont pris en charge dans chaque région, consultez le calculateur de AWS CloudHSM prix.

      Important

      Une fois le cluster créé, le type HSM et le mode de cluster ne peuvent pas être modifiés. Pour plus d'informations sur le type et le mode adaptés à votre cas d'utilisation, consultezAWS CloudHSM modes de cluster et types HSM.

    4. Pour Source du cluster, indiquez si vous souhaitez créer un nouveau cluster ou en restaurer un à partir d'une sauvegarde existante.

      • Les sauvegardes de clusters en mode non-FIPS ne peuvent être utilisées que pour restaurer des clusters en mode non-FIPS.

      • Les sauvegardes de clusters en mode FIPS ne peuvent être utilisées que pour restaurer des clusters en mode FIPS.

  5. Choisissez Suivant.

  6. Spécifiez la durée pendant laquelle le service doit conserver les sauvegardes.

    Note

    Acceptez la période de conservation par défaut de 90 jours ou saisissez une nouvelle valeur comprise entre 7 et 379 jours. Le service supprimera automatiquement les sauvegardes de ce cluster plus anciennes que la valeur que vous spécifiez ici. Cette valeur peut être modifiée par la suite. Pour plus d’informations, consultez Configuration de la rétention des sauvegardes.

  7. Choisissez Suivant.

  8. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plusieurs balises au cluster, sélectionnez Ajouter une balise.

  9. Choisissez Examiner.

  10. Vérifiez la configuration de votre cluster, puis choisissez Create cluster (Créer un cluster).

Pour créer un cluster (AWS CLI)

  • À partir d'une invite de commande, exécutez la commande create-cluster. Spécifiez le type d'instance HSM, la période de conservation des sauvegardes et les ID de sous-réseau des sous-réseaux dans lesquels vous envisagez de créer des HSM. Utilisez les ID de sous-réseau des sous-réseaux privés que vous avez créés. Spécifiez un seul sous-réseau par zone de disponibilité. 

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm1.medium",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    Note

    ClusterModepasse par défaut au mode FIPS s'il n'est pas spécifié. Pour créer un cluster non FIPS, vous devez inclure le paramètre suivant : --mode

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS
Pour créer un cluster (AWS CloudHSM API)

  • Envoyez une demande CreateCluster. Spécifiez le type d'instance HSM, la stratégie de conservation des sauvegardes et les ID de sous-réseau des sous-réseaux dans lesquels vous envisagez de créer des HSM. Utilisez les ID de sous-réseau des sous-réseaux privés que vous avez créés. Spécifiez un seul sous-réseau par zone de disponibilité.

Si vos tentatives pour créer un cluster échouent, cela peut être lié à des problèmes avec les rôles liés au service AWS CloudHSM . Pour obtenir de l'aide sur la résolution du problème, consultez Résolution des échecs de création de cluster.