Ferramenta de configuração do Client SDK 3 - AWS CloudHSM
SintaxeExemplosParâmetrosTópicos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ferramenta de configuração do Client SDK 3

Use a ferramenta de configuração do Client SDK 3 para fazer o bootstrap do daemon do cliente e configurar o CloudHSM Management Utility.

Sintaxe

configure -h | --help
          -a <ENI IP address>
          -m [-i <daemon_id>]
          --ssl --pkey <private key file> --cert <certificate file>
          --cmu <ENI IP address>

Exemplos

Esses exemplos mostram como usar a ferramenta configure.

exemplo : atualize os dados do HSM para o AWS CloudHSM cliente e key_mgmt_util

Este exemplo usa o -a parâmetro de configure para atualizar os dados do HSM para o AWS CloudHSM cliente e key_mgmt_util. Para usar o parâmetro -a, você deve ter o endereço IP de um dos HSMs no seu cluster. Use o console ou a AWS CLI para obter o endereço IP.

Para obter um endereço IP para um HSM (console)

  1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.

  2. Para alterar a região da Amazon Web Services, use o seletor de região no canto superior direito da página.

  3. Para abrir a página de detalhes do cluster, na tabela do cluster, escolha o ID do cluster.

  4. Para obter o endereço IP, na guia HSMs, escolha um dos endereços IP listados em Endereço IP ENI.

Para obter um endereço IP para um HSM ()AWS CLI

  • Obtenha o endereço IP de um HSM usando o comando describe-clusters do AWS CLI. Na saída do comando, o endereço IP dos HSMs são os valores de EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...
Para atualizar os dados do HSM

  1. Antes de atualizar o -a parâmetro, pare o AWS CloudHSM cliente. Isso evita conflitos que podem ocorrer enquanto configure edita o arquivo de configuração do cliente. Se o cliente já estiver parado, esse comando não terá efeitos, então você poderá usá-lo em um script.

    Amazon Linux
    $ sudo stop cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client stop
    CentOS 7
    $ sudo service cloudhsm-client stop
    CentOS 8
    $ sudo service cloudhsm-client stop
    RHEL 7
    $ sudo service cloudhsm-client stop
    RHEL 8
    $ sudo service cloudhsm-client stop
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client stop
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client stop
    Windows

    • Para clientes Windows 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient

    • Para o cliente Windows 1.1.1 e anterior:

      Use Ctrl + C na janela de comando em que você iniciou o AWS CloudHSM cliente.

  2. Esta etapa usa o parâmetro -a de configure para adicionar o endereço IP da ENI 10.0.0.9 aos arquivos de configurações.

    Amazon Linux
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Amazon Linux 2
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 16.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 18.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -a 10.0.0.9

  3. Em seguida, reinicie o AWS CloudHSM cliente. Quando o cliente é iniciado, ele usa o endereço IP ENI em seu arquivo de configuração para consultar o cluster. Em seguida, ele grava os endereços IP ENI de todos os HSMs do cluster no arquivo cluster.info.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • Para clientes Windows 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • Para o cliente Windows 1.1.1 e anterior:

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

    Quando o comando é concluído, os dados do HSM que o AWS CloudHSM cliente e o key_mgmt_util usam estão completos e precisos.

exemplo : atualize os dados do HSM para CMU a partir do client SDK 3.2.1 e versões anteriores

Esse exemplo usa o comando -m configure para copiar os dados de HSM atualizados do arquivo cluster.info para o arquivo cloudhsm_mgmt_util.cfg usado pela cloudhsm_mgmt_util. Use isso com a CMU que vem com o SDK do cliente 3.2.1 e versões anteriores.

  • Antes de executar o-m, pare o AWS CloudHSM cliente, execute o -a comando e reinicie o AWS CloudHSM cliente, conforme mostrado no exemplo anterior. Isso garante que os dados copiados no arquivo cloudhsm_mgmt_util.cfg do arquivo cluster.info estejam completos e precisos.

    Linux
    $ sudo /opt/cloudhsm/bin/configure -m
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -m
exemplo : atualize os dados do HSM para CMU a partir do Client SDK 3.3.0 e versões posteriores

Este exemplo usa o parâmetro --cmu do comando configure para atualizar os dados HSM da CMU. Use isso com a CMU que vem com o Client SDK 3.3.0 e versões posteriores. Para obter mais informações sobre o uso da CMU, consulte Como usar a CloudHSM Management Utility (CMU) para gerenciar usuários e como usar a CMU com o Client SDK 3.2.1 e versões anteriores.

  • Use o parâmetro --cmu para transmitir o endereço IP de um HSM no seu cluster.

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

Parâmetros

-h | --help

Exibe a sintaxe do comando.

Obrigatório: Sim

-a <ENI IP address>

Adiciona o endereço IP da interface de rede elástica (ENI) do HSM aos arquivos de configuração do AWS CloudHSM . Insira o endereço IP ENI de qualquer um dos HSMs no cluster. Não importa qual você seleciona.

Para obter os endereços IP ENI dos HSMs em seu cluster, use a DescribeClustersoperação, o AWS CLI comando describe-clusters ou o cmdlet. Get-HSM2Cluster PowerShell

nota

Antes de executar o -a configure comando, pare o AWS CloudHSM cliente. Em seguida, quando o -a comando for concluído, reinicie o AWS CloudHSM cliente. Para obter detalhes, consulte os exemplos.

Esse parâmetro edita os seguintes arquivos de configuração:

  • /opt/cloudhsm/etc/cloudhsm_client.cfg: usado pelo AWS CloudHSM cliente e pelo key_mgmt_util.

  • /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg: usado por cloudhsm_mgmt_util.

Quando o AWS CloudHSM cliente inicia, ele usa o endereço IP ENI em seu arquivo de configuração para consultar o cluster e atualizar o cluster.info arquivo (/opt/cloudhsm/daemon/1/cluster.info) com os endereços IP ENI corretos para todos os HSMs no cluster.

Obrigatório: Sim

-m

Atualiza os endereços IP ENI do HSM no arquivo de configuração usado pela CMU.

nota

O parâmetro -m é para uso com a CMU do Client SDK 3.2.1 e versões anteriores. Para a CMU do Client SDK 3.3.0 e versões posteriores, consulte o parâmetro --cmu, que simplifica o processo de atualização de dados do HSM para CMU.

Quando você atualiza o -a parâmetro configure e, em seguida, inicia o AWS CloudHSM cliente, o daemon do cliente consulta o cluster e atualiza os cluster.info arquivos com os endereços IP corretos do HSM para todos os HSMs no cluster. A execução do comando -mconfigure completa a atualização, copiando os endereços IP do HSM de cluster.info para o arquivo de configuração cloudhsm_mgmt_util.cfg usado pela cloudhsm_mgmt_util.

Certifique-se de executar o -a configure comando e reiniciar o AWS CloudHSM cliente antes de executar o -m comando. Isso garante que os dados copiados em cloudhsm_mgmt_util.cfg de cluster.info estejam completos e precisos.

Obrigatório: Sim

-i

Especifica um daemon de cliente alternativo. O valor padrão representa o cliente AWS CloudHSM

Padrão: 1

Exigido: Não

--ssl

Substitui a chave e o certificado SSL para o cluster com a chave privada e o certificado especificados. Ao usar esse parâmetro, os parâmetros --pkey e --cert são necessários.

Obrigatório: Não

--pkey

Especifica a nova chave privada. Insira o caminho e o nome do arquivo que contém a chave privada.

Obrigatório: sim, se --ssl for especificado. Caso contrário, isso não deve ser usado.

--cert

Especifica o novo certificado. Insira o caminho e o nome do arquivo que contém o certificado. O certificado deve ser associado ao certificado customerCA.crt, o certificado autoassinado usado para inicializar o cluster. Para obter mais informações, consulte Inicializar o cluster.

Obrigatório: sim, se --ssl for especificado. Caso contrário, isso não deve ser usado.

--cmu <ENI endereço IP>

Combina os parâmetros -a e -m em um único parâmetro. Adiciona o endereço IP HSM elastic network interface (ENI) especificado aos arquivos de AWS CloudHSM configuração e, em seguida, atualiza o arquivo de configuração CMU. Insira um endereço IP ENI de um HSM no cluster. Para o Client SDK 3.2.1 e versões anteriores, consulte Usando a CMU com o Client SDK 3.2.1 e versões anteriores .

Obrigatório: Sim

Tópicos relacionados