Menghubungkan ke beberapa slot dengan PKCS #11 - AWS CloudHSM
Prasyarat multi-slotKonfigurasikan Perpustakaan PKCS #11 untuk fungsionalitas multi-slotkonfigurasi-pkcs11 add-clusterkonfigurasi-pkcs11 hapus-cluster

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan ke beberapa slot dengan PKCS #11

Satu slot di pustaka Client SDK 5 PKCS #11 mewakili satu koneksi ke cluster di. AWS CloudHSM Dengan Client SDK 5, Anda dapat mengonfigurasi pustaka PKCS11 Anda untuk memungkinkan beberapa slot menghubungkan pengguna ke beberapa klaster CloudHSM dari satu aplikasi PKCS #11.

Gunakan petunjuk dalam topik ini untuk membuat aplikasi Anda menggunakan fungsionalitas multi-slot untuk terhubung dengan beberapa cluster.

Prasyarat multi-slot

  • Dua atau lebih AWS CloudHSM cluster yang ingin Anda sambungkan, bersama dengan sertifikat klaster mereka.

  • Instans EC2 dengan Grup Keamanan dikonfigurasi dengan benar untuk terhubung ke semua cluster di atas. Untuk informasi selengkapnya tentang cara menyiapkan cluster dan instance klien, lihat Memulai AWS CloudHSM.

  • Untuk mengatur fungsionalitas multi-slot, Anda harus sudah mengunduh dan menginstal pustaka PKCS #11. Jika Anda belum melakukan ini, lihat instruksi diInstal pustaka PKCS #11 untuk Client SDK 5.

Konfigurasikan Perpustakaan PKCS #11 untuk fungsionalitas multi-slot

Untuk mengonfigurasi pustaka PKCS #11 Anda untuk fungsionalitas multi-slot, ikuti langkah-langkah berikut:

  1. Identifikasi cluster yang ingin Anda sambungkan menggunakan fungsionalitas multi-slot.

  2. Tambahkan klaster ini ke konfigurasi PKCS #11 Anda dengan mengikuti petunjuk di konfigurasi-pkcs11 add-cluster

  3. Lain kali aplikasi PKCS #11 Anda berjalan, itu akan memiliki fungsi multi-slot.

konfigurasi-pkcs11 add-cluster

Saat menghubungkan ke beberapa slot dengan PKCS #11, gunakan configure-pkcs11 add-cluster perintah untuk menambahkan cluster ke konfigurasi Anda.

Sintaks

configure-pkcs11 add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--server-client-cert-file <CLIENT CERTIFICATE FILE>]
        [--server-client-key-file <CLIENT KEY FILE>]
        [-h, --help]

Contoh

Gunakan configure-pkcs11 add-cluster bersama dengan cluster-id parameter untuk menambahkan cluster (dengan ID daricluster-1234567) ke konfigurasi Anda.

Linux
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567
Windows
C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567
Tip

Jika menggunakan configure-pkcs11 add-cluster dengan cluster-id parameter tidak mengakibatkan klaster ditambahkan, lihat contoh berikut untuk versi yang lebih panjang dari perintah ini yang juga memerlukan --region dan --endpoint parameter untuk mengidentifikasi cluster yang ditambahkan. Jika, misalnya, wilayah cluster berbeda dari yang dikonfigurasi sebagai default AWS CLI Anda, Anda harus menggunakan --region parameter untuk menggunakan wilayah yang benar. Selain itu, Anda memiliki kemampuan untuk menentukan titik akhir AWS CloudHSM API yang akan digunakan untuk panggilan, yang mungkin diperlukan untuk berbagai pengaturan jaringan, seperti menggunakan titik akhir antarmuka VPC yang tidak menggunakan nama host DNS default untuk. AWS CloudHSM

Gunakan region parameter configure-pkcs11 add-cluster bersama dengan cluster-idendpoint,, dan untuk menambahkan cluster (dengan IDcluster-1234567) ke konfigurasi Anda.

Linux

        $ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Windows

        C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Untuk informasi tentang parameter --cluster-id, --region dan --endpoint, lihat Parameter.

Parameter

--cluster-id <Cluster ID>

Membuat panggilan DescribeClusters untuk menemukan semua alamat IP antarmuka jaringan elastis (ENI) HSM dalam klaster yang terkait dengan ID klaster. Sistem menambahkan alamat IP ENI ke file AWS CloudHSM konfigurasi.

catatan

Jika Anda menggunakan --cluster-id parameter dari instans EC2 dalam VPC yang tidak memiliki akses ke internet publik, maka Anda harus membuat antarmuka VPC endpoint untuk terhubung dengan. AWS CloudHSM Untuk informasi lebih lanjut tentang VPC endpoint, lihat AWS CloudHSM dan titik akhir VPC.

Wajib: Ya

--endpoint <Endpoint>

Tentukan titik akhir AWS CloudHSM API yang digunakan untuk melakukan DescribeClusters panggilan. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Wajib: Tidak

-- hsm-ca-cert <HsmCA Certificate Filepath>

Menentukan filepath ke sertifikat HSM CA.

Wajib: Tidak

--region <Region>

Tentukan wilayah klaster Anda. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Jika Anda tidak menyediakan parameter --region, sistem memilih wilayah dengan mencoba untuk membaca variabel lingkungan AWS_DEFAULT_REGION atau AWS_REGION. Jika variabel-variabel tersebut tidak diatur, maka sistem memeriksa wilayah yang terkait dengan profil Anda di file AWS config Anda (biasanya ~/.aws/config) kecuali jika Anda menentukan file yang berbeda di variabel lingkungan AWS_CONFIG_FILE. Jika tidak ada variabel di atas yang diatur, sistem default ke wilayah us-east-1.

Wajib: Tidak

-- server-client-cert-file <Client Certificate Filepath>

Jalur ke sertifikat klien yang digunakan untuk autentikasi mutual klien-server TLS.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-key-file.

Wajib: Tidak

-- server-client-key-file <Client Key Filepath>

Jalur ke kunci klien yang digunakan untuk otentikasi timbal balik client-server TLS.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-cert-file.

Wajib: Tidak

konfigurasi-pkcs11 hapus-cluster

Saat menghubungkan ke beberapa slot dengan PKCS #11, gunakan configure-pkcs11 remove-cluster perintah untuk menghapus cluster dari slot PKCS #11 yang tersedia.

Sintaks

configure-pkcs11 remove-cluster [OPTIONS]
        --cluster-id <CLUSTER ID>
        [-h, --help]

Contoh

Gunakan configure-pkcs11 remove-cluster bersama dengan cluster-id parameter untuk menghapus cluster (dengan ID daricluster-1234567) dari konfigurasi Anda.

Linux

$ sudo /opt/cloudhsm/bin/configure-pkcs11 remove-cluster --cluster-id cluster-1234567
Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe remove-cluster --cluster-id cluster-1234567

Untuk informasi tentang parameter --cluster-id, lihat Parameter.

Parameter

--cluster-id <Cluster ID>

ID cluster untuk menghapus dari konfigurasi

Wajib: Ya