在中创建集群 AWS CloudHSM

集群是各个硬件安全模块 (HSMs) 的集合。 AWS CloudHSM 同步每个群集 HSMs 中的，以便它们充当逻辑单元。 AWS CloudHSM 提供两种类型 HSMs：hsm1.medium 和 hsm2m.med ium。创建集群时，您可以选择将两者中的哪一个加入到您的集群中。有关每种 HSM 类型和集群模式之间的差异的详细信息，请参阅 AWS CloudHSM 集群模式。

创建集群时， AWS CloudHSM 会代表您为该集群创建一个安全组。此安全组控制对集群 HSMs 中的的网络访问。它仅允许来自安全组中的亚马逊弹性计算云 (Amazon EC2) 实例的入站连接。默认情况下，安全组不包含任何实例。稍后，您可以启动客户端实例和配置集群的安全组以允许与 HSM 的通信和连接。

注意事项

• 以下是在中创建集群时的一些注意事项 AWS CloudHSM：

  • 创建集群时， AWS CloudHSM 会创建一个名为 AWSService RoleForCloud HSM 的服务相关角色。如果 AWS CloudHSM 无法创建角色或角色尚不存在，则可能无法创建集群。有关更多信息，请参阅 解决 AWS CloudHSM 集群创建失败的问题。有关服务相关角色的更多信息，请参阅的服务相关角色 AWS CloudHSM。

  • 如果您使用的是AWS CloudHSM 双堆栈终端节点（即 cloudhsmv2. <region>.api.aws)，请确保更新您的 IAM 政策以进行处理。 IPv6有关更多信息，请参阅 “安全性” 下的 “将 IAM 策略升级为IPv6 ” 部分。

可以通过 AWS CloudHSM 控制台、AWS Command Line Interface (AWS CLI) 或 AWS CloudHSM API 创建集群。

有关集群参数和的详细信息 APIs，请参阅《 AWS CLI 命令参考》create-cluster中的。

Console

创建集群 (控制台)

1. 在家中打开https://console.aws.amazon.com/cloudhsm/主 AWS CloudHSM机。

2. 在导航栏上，使用区域选择器选择 AWS CloudHSM 当前支持的 AWS 区域之一。

3. 选择创建集群。

4. 在集群配置部分中，执行以下操作：

   1. 对于 VPC，选择您在 为创建虚拟私有云 (VPC) AWS CloudHSM 中创建的 VPC。

   2. 对于可用区，在可用区旁边选择您创建的私有子网。

      注意

      即使给定可用区 AWS CloudHSM 不支持，性能也不应受到影响，因为集群 HSMs 中的所有可用区 AWS CloudHSM 会自动进行负载平衡。请参阅中的AWS CloudHSM 区域和终端节点 AWS 一般参考，以查看对可用区的支持 AWS CloudHSM。

   3. 对于 HSM 类型，选择可以在集群中创建的 HSM 类型以及所需的集群模式。要查看每个区域所支持的 HSM 类型，请参阅 AWS CloudHSM 定价计算器。

      重要

      集群创建后，无法更改集群模式。有关哪种类型和模式适合您的用例的信息，请参阅AWS CloudHSM 集群模式。

   4. 在 “网络类型” 中，选择用于访问您的 IP 地址协议 HSMs。 IPv4 将您的应用程序之间的通信限制 HSMs 为 “ IPv4 仅限”。这是默认选项。双栈支持两者兼 IPv4 而有之 IPv6。要使用双堆栈，请将 IPv4 和 IPv6 CIDRs添加到您的 VPC 和子网配置中。初始设置后很难更改网络类型。要对其进行修改，请创建现有集群的备份，然后使用所需的网络类型还原一个新集群。有关更多信息，请参阅通过备份创建 AWS CloudHSM 集群

   5. 对于集群源，指定您是要创建新集群还是从现有备份中还原一个集群。

      • 处于非 FIPS 模式的集群备份只能用于还原处于非 FIPS 模式的集群。

      • 处于 FIPS 模式的集群备份只能用于还原处于 FIPS 模式的集群。

5. 选择下一步。

6. 指定服务的备份保留期。

   1. 接受 90 天的默认保留期或键入一个介于 7 到 379 天之间的新值。该服务将自动删除此集群中早于您在此处所指定的值的备份。您以后可以更改此值。有关更多信息，请参阅 配置备份保留。

7. 选择下一步。

8. (可选) 键入标签键和一个可选标签值。要向集群添加多个标签，请选择 添加标签。

9. 选择审核。

10. 检查您的集群配置，然后选择 创建集群。

如果您尝试创建集群失败，则可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助，请参阅解决 AWS CloudHSM 集群创建失败的问题。

AWS CLI

创建集群 (AWS CLI)

• 在命令提示符下，运行 create-cluster 命令。指定 HSM 实例类型、备份保留期以及您计划在其中创建 IDs 的子网的子网。 HSMs使用您创建 IDs 的私有子网的子网。每个可用区仅指定一个子网。

  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                      --backup-retention-policy Type=DAYS,Value=<number of days> \
                      --subnet-ids <subnet ID> \
                      --mode <FIPS> \
                      --network-type <IPV4>
  
  {
      "Cluster": {
          "BackupPolicy": "DEFAULT",
          "BackupRetentionPolicy": {
              "Type": "DAYS",
              "Value": 90
           },
          "VpcId": "vpc-50ae0636",
          "SubnetMapping": {
              "us-west-2b": "subnet-49a1bc00",
              "us-west-2c": "subnet-6f950334",
              "us-west-2a": "subnet-fd54af9b"
          },
          "SecurityGroup": "sg-6cb2c216",
          "HsmType": "hsm2m.medium",
          "NetworkType": "IPV4",
          "Certificates": {},
          "State": "CREATE_IN_PROGRESS",
          "Hsms": [],
          "ClusterId": "cluster-igklspoyj5v",
          "ClusterMode": "FIPS",
          "CreateTimestamp": 1502423370.069
      }
  }
  

  注意

  ClusterMode 是除 hsm1.medium.--mode 之外的所有 hsm 类型的必需参数：

  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
    				--backup-retention-policy Type=DAYS,Value=<number of days> \
    				--subnet-ids <subnet ID> \
  				--mode NON_FIPS

如果您尝试创建集群失败，则可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助，请参阅解决 AWS CloudHSM 集群创建失败的问题。

AWS CloudHSM API

创建集群 (AWS CloudHSM API)

• 发送 CreateCluster 请求。指定 HSM 实例类型、备份保留策略以及您计划在其中创建 IDs 的子网的子网。 HSMs使用您创建 IDs 的私有子网的子网。每个可用区仅指定一个子网。

如果您尝试创建集群失败，则可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助，请参阅解决 AWS CloudHSM 集群创建失败的问题。