Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola AWS CloudHSM cluster
Anda dapat mengelola klaster AWS CloudHSM dari Konsol AWS CloudHSM
Untuk membuat klaster, lihat Mulai.
Arsitektur cluster
Saat Anda membuat sebuah klaster, Anda menentukan Amazon Virtual Private Cloud (VPC) di akun AWS dan satu subnet atau lebih subnet di VPC tersebut. Kami sarankan Anda membuat satu subnet di setiap Availability Zone (AZ) yang Anda pilih Wilayah AWS. Anda dapat membuat subnet pribadi saat membuat VPC. Untuk mempelajari selengkapnya, lihat Membuat virtual private cloud (VPC).
Setiap kali Anda membuat HSM, Anda menentukan klaster dan Availability Zone untuk HSM. Dengan menempatkan HSM di Availability Zone yang berbeda, Anda mencapai redundansi dan ketersediaan tinggi jika satu Availability Zone tidak tersedia.
Saat Anda membuat HSM, AWS CloudHSM menempatkan antarmuka jaringan elastis (ENI) di subnet yang ditentukan di akun AWS. Antarmuka jaringan elastis adalah antarmuka untuk berinteraksi dengan HSM. HSM berada di VPC terpisah dalam akun AWS yang dimiliki oleh AWS CloudHSM. HSM dan antarmuka jaringan yang sesuai berada di Availability Zone yang sama.
Untuk berinteraksi dengan HSM dalam sebuah klaster, Anda memerlukan perangkat lunak klien AWS CloudHSM. Biasanya Anda menginstal klien pada instans Amazon EC2, yang dikenal sebagai instans klien, yang berada di VPC yang sama dengan ENI HSM, seperti yang ditunjukkan pada gambar berikut. Itu tidak secara teknis diperlukan; Anda dapat menginstal klien pada setiap komputer yang kompatibel, selama dapat terhubung ke ENI HSM. Klien berkomunikasi dengan HSM individu dalam klaster Anda melalui ENI mereka.
Gambar berikut menunjukkan klaster AWS CloudHSM dengan tiga HSM, masing-masing di Availability Zone yang berbeda di VPC.
Sinkronisasi cluster
Dalam klaster AWS CloudHSM, AWS CloudHSM menjaga kunci pada HSM individu tetap sinkron. Anda tidak perlu melakukan apa pun untuk menyinkronkan kunci di HSM Anda. Untuk menjaga pengguna dan kebijakan pada setiap HSM tetap sinkron, perbarui file konfigurasi klien AWS CloudHSM sebelum Anda mengelola pengguna HSM. Untuk informasi lebih lanjut, lihat Menjaga agar pengguna HSM tetap sinkron.
Bila Anda menambahkan HSM baru ke klaster, AWS CloudHSM membuat cadangan dari semua kunci, pengguna, dan kebijakan pada HSM yang ada. Ini kemudian mengembalikan cadangan ke HSM baru. Hal ini membuat dua HSM tetap sinkron.
Jika HSM dalam klaster keluar dari sinkronisasi, AWS CloudHSM secara otomatis mensinkronisasi ulang mereka. Untuk mengaktifkan hal ini, AWS CloudHSM menggunakan kredensial dari pengguna alat. Pengguna ini ada di semua HSM yang disediakan oleh AWS CloudHSM dan memiliki izin terbatas. Hal ini bisa mendapatkan hash dari objek pada HSM dan dapat mengekstrak dan memasukkan objek tertutup (dienkripsi). AWS tidak dapat melihat atau mengubah pengguna atau kunci Anda dan tidak dapat melakukan operasi kriptografi menggunakan kunci tersebut.
Ketersediaan klaster tinggi dan penyeimbangan beban
Saat Anda membuat klaster AWS CloudHSM dengan lebih dari satu HSM, Anda secara otomatis mendapatkan penyeimbangan beban. Penyeimbangan beban berarti bahwa klien AWS CloudHSM mendistribusikan operasi kriptografi di semua HSM di klaster berdasarkan kapasitas masing-masing HSM untuk pemrosesan tambahan.
Bila Anda membuat HSM di berbagai Availability Zone AWS, Anda secara otomatis mendapatkan ketersediaan tinggi. Ketersediaan tinggi berarti Anda mendapatkan keandalan yang lebih tinggi karena tidak ada HSM individu yang merupakan satu titik kegagalan. Kami merekomendasikan bahwa Anda memiliki minimal dua HSM di setiap klaster, dengan setiap HSM di Availability Zone yang berbeda dalam Wilayah AWS.
Sebagai contoh, gambar berikut menunjukkan aplikasi basis data Oracle yang didistribusikan ke dua Availability Zone yang berbeda. Instans basis data menyimpan kunci master mereka dalam sebuah klaster yang mencakup HSM di setiap Availability Zone. AWS CloudHSM secara otomatis menyinkronkan kunci untuk kedua HSM sehingga mereka segera dapat diakses dan redundan.
