Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Alat konfigurasi SDK 5 klien
Gunakan alat konfigurasi Klien SDK 5 untuk memperbarui file konfigurasi sisi klien.
Setiap komponen dalam Klien SDK 5 termasuk mengatur konfigurasi alat dengan designator komponen dalam nama file alat konfigurasi. Sebagai contoh, pustaka PKCS #11 untuk Klien SDK 5 termasuk alat konfigurasi bernama configure-pkcs11
pada Linux atau configure-pkcs11.exe
pada Windows.
Sintaksis
Konfigurasi lanjutan
Untuk daftar konfigurasi lanjutan khusus untuk alat konfigurasi SDK 5 Klien, lihat Konfigurasi lanjutan untuk alat konfigurasi SDK 5 Klien.
penting
Setelah membuat perubahan pada konfigurasi Anda, Anda perlu me-restart aplikasi Anda agar perubahan diterapkan.
Contoh
Contoh ini menunjukkan cara menggunakan alat konfigurasi untuk Klien SDK 5.
Contoh ini menggunakan parameter -a
untuk memperbarui data HSM untuk klien SDK 5. Untuk menggunakan parameter -a
, Anda harus memiliki alamat IP untuk salah satu HSM di klaster Anda.
catatan
Anda dapat menggunakan –-cluster-id
parameter sebagai pengganti-a <HSM_IP_ADDRESSES>
. Untuk melihat persyaratan penggunaan–-cluster-id
, lihatAlat konfigurasi SDK 5 klien.
Untuk informasi tentang parameter -a
, lihat Parameter.
Contoh ini menggunakan parameter cluster-id
untuk bootstrap klien SDK 5 dengan membuat panggilan DescribeClusters
.
Anda dapat menggunakan parameter --region
dan --endpoint
dalam kombinasi dengan parameter cluster-id
untuk menentukan bagaimana sistem membuat panggilan DescribeClusters
. Misalnya, jika wilayah klaster berbeda dari yang dikonfigurasi sebagai default AWS CLI Anda, Anda harus menggunakan parameter --region
untuk menggunakan wilayah tersebut. Selain itu, Anda memiliki kemampuan untuk menentukan titik akhir API AWS CloudHSM yang digunakan untuk panggilan, yang mungkin diperlukan untuk berbagai pengaturan jaringan, seperti menggunakan titik akhir antarmuka VPC yang tidak menggunakan nama host DNS default untuk AWS CloudHSM.
Untuk informasi tentang parameter --cluster-id
, --region
dan --endpoint
, lihat Parameter.
Contoh ini menunjukkan cara menggunakan parameter server-client-cert-file
dan --server-client-key-file
untuk mengatur ulang konfigurasi SSL dengan menentukan kunci kustom dan sertifikat SSL untuk AWS CloudHSM
Untuk informasi tentang parameter server-client-cert-file
dan --server-client-key-file
, lihat Parameter.
Contoh ini menggunakan parameter --disable-key-availability-check
untuk menonaktifkan pengaturan daya tahan kunci klien. Untuk menjalankan sebuah klaster dengan satu HSM, Anda harus menonaktifkan pengaturan daya tahan kunci klien.
Untuk informasi tentang parameter --disable-key-availability-check
, lihat Parameter.
Client SDK 5 menggunakan log-type
parameter log-file
log-level
,log-rotation
, dan untuk mengelola logging.
catatan
Untuk mengonfigurasi SDK Anda untuk lingkungan tanpa server seperti AWS Fargate atau AWS Lambda, kami sarankan Anda mengonfigurasi jenis log Anda. AWS CloudHSM term
Log klien akan dikeluarkan stderr
dan ditangkap dalam grup CloudWatch log Log yang dikonfigurasi untuk lingkungan itu.
Untuk informasi lebih lanjut tentanglog-file
,log-level
,log-rotation
, dan log-type
parameter, lihatParameter.
Contoh ini menggunakan parameter --hsm-ca-cert
untuk memperbarui lokasi penerbitan sertifikat untuk Klien SDK 5.
Untuk informasi tentang parameter --hsm-ca-cert
, lihat Parameter.
Parameter
- - sebuah
<alamat IP ENI>
-
Menambahkan alamat IP yang ditentukan ke file konfigurasi Klien SDK 5. Masukkan alamat IP ENI HSM dari klaster. Untuk informasi lebih lanjut tentang cara menggunakan opsi ini, lihat Bootstrap Klien SDK 5.
Wajib: Ya
- -- hsm-ca-cert
<customerCA certificate file path>
-
Jalur ke direktori yang menyimpan sertifikat otoritas (CA) yang digunakan sertifikat untuk menghubungkan instans klien EC2 ke klaster. Anda membuat file ini ketika Anda menginisialisasi klaster. Secara default, sistem mencari file ini di lokasi berikut:
Linux
/opt/cloudhsm/etc/
customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\
customerCA.crt
Untuk informasi lebih lanjut tentang menginisialisasi klaster atau menempatkan sertifikat, lihat Tempatkan sertifikat penerbitan pada setiap instans EC2 dan Inisialisasi.
Wajib: Tidak
- --kluster-id
<cluster ID>
-
Membuat panggilan
DescribeClusters
untuk menemukan semua alamat IP antarmuka jaringan elastis (ENI) HSM dalam klaster yang terkait dengan ID klaster. Sistem ini menambahkan alamat IP ENI ke file konfigurasi AWS CloudHSM.catatan
Jika Anda menggunakan parameter
--cluster-id
dari instans EC2 dalam VPC yang tidak memiliki akses ke internet publik, maka Anda harus membuat VPC endpoint antarmuka untuk terhubung dengan AWS CloudHSM. Untuk informasi lebih lanjut tentang VPC endpoint, lihat AWS CloudHSM dan VPC endpoint.Wajib: Tidak
- --titik akhir
<endpoint>
-
Menentukan titik akhir API AWS CloudHSM yang digunakan untuk membuat panggilan
DescribeClusters
. Anda harus menetapkan pilihan ini dalam kombinasi dengan--cluster-id
.Wajib: Tidak
- --wilayah
<region>
-
Tentukan wilayah klaster Anda. Anda harus menetapkan pilihan ini dalam kombinasi dengan
--cluster-id
.Jika Anda tidak menyediakan parameter
--region
, sistem memilih wilayah dengan mencoba untuk membaca variabel lingkunganAWS_DEFAULT_REGION
atauAWS_REGION
. Jika variabel-variabel tersebut tidak diatur, maka sistem memeriksa wilayah yang terkait dengan profil Anda di file AWS config Anda (biasanya~/.aws/config
) kecuali jika Anda menentukan file yang berbeda di variabel lingkunganAWS_CONFIG_FILE
. Jika tidak ada variabel di atas yang diatur, sistem default ke wilayahus-east-1
.Wajib: Tidak
- -- server-client-cert-file
<client certificate file path>
-
Jalur ke sertifikat klien yang digunakan untuk autentikasi mutual klien-server TLS.
Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan
--server-client-key-file
.Wajib: Tidak
- -- server-client-key-file
<client key file path>
-
Jalur ke kunci klien yang digunakan untuk autentikasi mutual klien-server TLS.
Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan
--server-client-cert-file
.Wajib: Tidak
- --log-level
<error | warn | info | debug | trace>
-
Menentukan tingkat pencatatan minimum yang harus ditulis sistem ke berkas log. Setiap tingkat termasuk tingkat sebelumnya, dengan kesalahan sebagai tingkat minimum dan melacak tingkat maksimum. Ini berarti bahwa jika Anda menentukan kesalahan, sistem hanya menulis kesalahan ke log. Jika Anda menentukan jejak, sistem menulis kesalahan, peringatan, informasi (info), dan pesan debug ke log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.
Wajib: Tidak
- --log-rotasi
<daily | weekly>
-
Menentukan frekuensi sistem memutar log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.
Wajib: Tidak
- --log-file
<file name with path>
-
Menentukan tempat sistem akan menulis berkas log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.
Wajib: Tidak
- --log-jenis
<term | file>
-
Menentukan apakah sistem akan menulis log ke file atau terminal. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.
Wajib: Tidak
- -h | --help
-
Menampilkan bantuan.
Wajib: Tidak
- -v | --version
-
Menampilkan versi.
Wajib: Tidak
- --disable-key-availability-check
-
Tandai untuk menonaktifkan kuorum ketersediaan kunci. Gunakan bendera ini untuk menunjukkan AWS CloudHSM harus menonaktifkan kuorum ketersediaan kunci dan Anda dapat menggunakan kunci yang ada pada hanya satu HSM di klaster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.
Wajib: Tidak
- --enable-key-availability-check
-
Tandai untuk mengaktifkan kuorum ketersediaan kunci. Gunakan bendera ini untuk menunjukkan AWS CloudHSM harus menggunakan kuorum ketersediaan kunci dan tidak mengizinkan Anda untuk menggunakan kunci sampai kunci tersebut ada pada dua HSM di klaster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.
Diaktifkan secara default.
Wajib: Tidak
- -- disable-validate-key-at -init
-
Meningkatkan performa dengan menentukan bahwa Anda dapat melewatkan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Berhati-hatilah saat menggunakannya.
Latar belakang: Beberapa mekanisme di pustaka PKCS #11 mendukung operasi multi-bagian di mana panggilan inisialisasi memverifikasi apakah Anda dapat menggunakan kunci untuk panggilan berikutnya. Hal ini memerlukan panggilan verifikasi ke HSM, yang menambahkan latensi untuk keseluruhan operasi. Opsi ini memungkinkan Anda untuk menonaktifkan panggilan berikutnya dan berpotensi meningkatkan performa.
Wajib: Tidak
- -- enable-validate-key-at -init
-
Menentukan bahwa Anda harus menggunakan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Ini adalah pilihan default. Gunakan
enable-validate-key-at-init
untuk melanjutkan panggilan inisialisasi ini setelah Anda menggunakandisable-validate-key-at-init
untuk menangguhkan mereka.Wajib: Tidak