Connexion à plusieurs emplacements avec PKCS #11 - AWS CloudHSM
Prérequis pour plusieurs emplacementsConfiguration de la bibliothèque PKCS #11 pour la fonctionnalité d’emplacements multiplesconfigure-pkcs11 add-clusterconfigure-pkcs11 remove-cluster

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion à plusieurs emplacements avec PKCS #11

Un emplacement unique dans la bibliothèque PKCS #11 du SDK client 5 représente une connexion unique à un cluster dans AWS CloudHSM. Avec le SDK client 5, vous pouvez configurer votre bibliothèque PKCS11 pour autoriser plusieurs emplacements à connecter les utilisateurs à plusieurs clusters CloudHSM à partir d'une seule application PKCS #11.

Suivez les instructions de cette rubrique pour que votre application utilise la fonctionnalité d’emplacements multiples pour se connecter à plusieurs clusters.

Prérequis pour plusieurs emplacements

  • Au moins deux AWS CloudHSM clusters auxquels vous souhaitez vous connecter, ainsi que leurs certificats de cluster.

  • Une instance EC2 avec des groupes de sécurité correctement configurés pour se connecter à tous les clusters ci-dessus. Pour plus d'informations sur la configuration d'un cluster et de l'instance client, reportez-vous à la section Mise en route avec AWS CloudHSM.

  • Pour configurer la fonctionnalité d’emplacements multiples, vous devez avoir déjà téléchargé et installé la bibliothèque PKCS #11. Si vous ne l'avez pas déjà fait, consultez les instructions figurant dans Installation de la bibliothèque PKCS #11 pour le SDK client 5.

Configuration de la bibliothèque PKCS #11 pour la fonctionnalité d’emplacements multiples

Pour configurer votre bibliothèque PKCS #11 pour la fonctionnalité d’emplacements multiples, procédez comme suit :

  1. Identifiez les clusters auxquels vous souhaitez vous connecter à l'aide de la fonctionnalité d’emplacements multiples.

  2. Ajoutez ces clusters à votre configuration PKCS #11 en suivant les instructions de configure-pkcs11 add-cluster

  3. La prochaine fois que votre application PKCS #11 s'exécutera, elle disposera d'une fonctionnalité d’emplacements multiples.

configure-pkcs11 add-cluster

Lorsque vous vous connectez à plusieurs emplacements avec PKCS #11, utilisez la commande configure-pkcs11 add-cluster pour ajouter un cluster à votre configuration.

Syntaxe

configure-pkcs11 add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--server-client-cert-file <CLIENT CERTIFICATE FILE>]
        [--server-client-key-file <CLIENT KEY FILE>]
        [-h, --help]

Exemples

Utilisez le paramètre configure-pkcs11 add-cluster ainsi que le paramètre cluster-id pour ajouter un cluster (avec l'ID de cluster-1234567) à votre configuration.

Linux
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567
Windows
C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567
Astuce

Si l'utilisation de configure-pkcs11 add-cluster avec le paramètre cluster-id n'entraîne pas l'ajout du cluster, reportez-vous à l'exemple suivant pour une version plus longue de cette commande qui nécessite également des paramètres --region et --endpoint pour identifier le cluster ajouté. Si, par exemple, la région du cluster est différente de celle configurée par défaut dans votre interface de ligne de commande AWS, vous devez utiliser le paramètre --region pour utiliser la bonne région. En outre, il est possible de spécifier le point de terminaison d' AWS CloudHSM API à utiliser pour l'appel, ce qui peut être nécessaire pour diverses configurations réseau, telles que l'utilisation de points de terminaison d'interface VPC qui n'utilisent pas le nom d'hôte DNS par défaut pour. AWS CloudHSM

Utilisez les paramètres configure-pkcs11 add-cluster ainsi que cluster-id, endpoint et region pour ajouter un cluster (avec l'ID de cluster-1234567) à votre configuration.

Linux

        $ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Windows

        C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Pour plus d'informations sur les paramètres --cluster-id, --region et --endpoint, consultez Paramètres.

Paramètres

--cluster-id <Cluster ID>

Effectue un appel DescribeClusters pour rechercher toutes les adresses IP de l’interface réseau Elastic (ENI) du HSM du cluster associées à l'ID du cluster. Le système ajoute les adresses IP ENI aux fichiers AWS CloudHSM de configuration.

Note

Si vous utilisez le --cluster-id paramètre à partir d'une instance EC2 au sein d'un VPC qui n'a pas accès à l'Internet public, vous devez créer un point de terminaison VPC d'interface auquel vous connecter. AWS CloudHSM Pour plus d'informations sur les points de terminaison d'un VPC, veuillez consulter AWS CloudHSM et points de terminaison VPC.

Obligatoire : oui

--endpoint <Endpoint>

Spécifiez le point de terminaison de l' AWS CloudHSM API utilisé pour effectuer l'DescribeClustersappel. Vous devez définir cette option en combinaison avec --cluster-id.

Obligatoire : non

-- hsm-ca-cert <HsmCA Certificate Filepath>

Spécifie le chemin du fichier vers le certificat HSM CA.

Obligatoire : non

--region <Region>

Spécifiez la région de votre cluster. Vous devez définir cette option en combinaison avec --cluster-id.

Si vous ne fournissez pas le paramètre --region, le système choisit la région en essayant de lire les variables d'environnement AWS_DEFAULT_REGION ou AWS_REGION. Si ces variables ne sont pas définies, le système vérifie la région associée à votre profil dans votre fichier AWS Config (généralement ~/.aws/config), sauf si vous avez spécifié un autre fichier dans la variable d'environnement AWS_CONFIG_FILE. Si aucune des options ci-dessus n'est définie, le système utilise par défaut la région us-east-1.

Obligatoire : non

-- server-client-cert-file <Client Certificate Filepath>

Chemin d'accès au certificat client utilisé pour l'authentification mutuelle client-serveur TLS.

N'utilisez cette option que si vous ne souhaitez pas utiliser la clé par défaut et le certificat SSL/TLS inclus dans le SDK client 5. Vous devez définir cette option en combinaison avec --server-client-key-file.

Obligatoire : non

-- server-client-key-file <Client Key Filepath>

Chemin d'accès à la clé client utilisée pour l'authentification mutuelle client-serveur TLS.

N'utilisez cette option que si vous ne souhaitez pas utiliser la clé par défaut et le certificat SSL/TLS inclus dans le SDK client 5. Vous devez définir cette option en combinaison avec --server-client-cert-file.

Obligatoire : non

configure-pkcs11 remove-cluster

Lorsque vous vous connectez à plusieurs emplacements avec PKCS #11, utilisez la commande configure-pkcs11 remove-cluster pour supprimer un cluster des emplacements PKCS #11 disponibles.

Syntaxe

configure-pkcs11 remove-cluster [OPTIONS]
        --cluster-id <CLUSTER ID>
        [-h, --help]

Exemples

Utilisez le paramètre configure-pkcs11 remove-cluster ainsi que le paramètre cluster-id pour supprimer un cluster (avec l'ID de cluster-1234567) de votre configuration.

Linux

$ sudo /opt/cloudhsm/bin/configure-pkcs11 remove-cluster --cluster-id cluster-1234567
Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe remove-cluster --cluster-id cluster-1234567

Pour plus d'informations sur le paramètre --cluster-id, consultez Paramètres.

Paramètre

--cluster-id <Cluster ID>

L'ID du cluster à supprimer de la configuration

Obligatoire : oui