本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS CloudHSM cloudhsm_mgmt_util 中的 syncKey 命令跨集群中的 HSM 实例或跨克隆的集群同步密钥。通常,您不需要使用此命令,因为 HSM 集群中的实例会自动同步密钥。但是,跨克隆集群的密钥同步必须手动完成。克隆的集群通常是在不同的 AWS 区域创建的,以便简化全局扩展和灾难恢复过程。
您不能使用 syncKey 跨任意集群同步密钥:一个集群必须已从其他集群的备份中创建。此外,这两个集群必须具有一致的 CO 和 CU 凭证,操作才能成功。有关更多信息,请参阅 HSM 用户。
要使用 syncKey,您必须先创建一个AWS CloudHSM 配置文件来从源集群指定一个 HSM,从目标集群指定一个 HSM。这将允许 cloudhsm_mgmt_util 连接到这两个 HSM 实例。使用此配置文件启动 cloudhsm_mgmt_util。然后,使用拥有您要同步的密钥的 CO 或 CU 的凭证登录。
用户类型
以下类型的用户均可运行此命令。
-
加密员(CO)
-
加密用户 (CU)
注意
CO 可以在任何密钥上使用 syncKey,而 CU 只能在自己的密钥上使用此命令。有关更多信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户类型。
先决条件
在开始之前,您必须知道要与目标 HSM 密钥同步的源 HSM 上的密钥的 key handle。要查找 key handle,请使用 listUsers 命令列出命名用户的所有标识符。然后,使用 findAllKeys 命令查找属于特定用户的所有密钥。
您还需要知道分配给源和目标 HSM 的 server IDs,这些值显示在 cloudhsm_mgmt_util 启动时返回的跟踪输出中。这些分配的顺序与 HSM 在配置文件中显示的顺序相同。
按照跨克隆的集群使用 CMU Across Cloned Clusters 中的说明进行操作,并使用新的配置文件初始化 cloudhsm_mgmt_util。然后,通过发出 server 命令在源 HSM 上进入服务器模式。
语法
注意
要运行 syncKey,请先在 HSM 上进入服务器模式,其中包含要同步的密钥。
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
用户类型:加密用户 (CU)
syncKey<key handle><destination hsm>
示例
运行 server 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 server 0 是源 HSM。
aws-cloudhsm>server 0
现在运行 syncKey 命令。在本示例中,我们假定密钥 261251 将同步到 server 1。
syncKey successaws-cloudhsm>syncKey 261251 1
参数
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncKey<key handle><destination hsm>
- <key handle>
-
指定要同步的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请在登录到 HSM 服务器的同时使用 findAllKeys。
必需:是
- <destination hsm>
-
指定要同步密钥的服务器的编号。
必需:是
相关 主题
-
中的 describe-clustersAWS CLI
