本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 AWS CloudHSM 备份
AWS CloudHSM 至少每 24 小时对您的集群进行一次定期备份。每个备份均包含以下数据的加密副本:
-
用户(CO、CU 和 AU)
-
密钥材料和证书
-
硬件安全模块(HSM)配置和策略
您无法指示该服务制作备份,但您可以采取特定操作来强制该服务创建备份。该服务将在您执行以下任一操作时制作备份:
-
激活集群
-
向活动集群添加 HSM
-
从集群中删除 HSM。
AWS CloudHSM 根据您在创建集群时设置的备份保留策略删除备份。有关管理备份保留策略的信息,请参见 配置备份保留。
使用备份
当您向之前包含一个或多个活动 HSM 的集群添加一个 HSM 时, 会将最新备份还原到新的 HSM 上。使用备份管理不经常使用的 HSM。当您不需要使用 HSM 时,可将其删除,这将触发备份。稍后,当您需要 HSM 时,在同一集群中创建一个新的 HSM,此操作将恢复您之前通过删除 HSM 操作而创建的备份。
移除过期的密钥或不活跃用户
您可能想从环境中移除不需要的加密材料,如过期的密钥或非活动用户。这是一个包括两个步骤的过程:首先,从 HSM 中删除这些材料。接下来,删除所有现有备份。按照此过程可确保您在通过备份初始化新集群时不会恢复已删除信息。有关更多信息,请参阅 删除和还原备份。
考虑灾难恢复
从备份创建集群。您可能需要执行此操作为集群设置恢复点。指定一个包含恢复点所需的所有用户、密钥材料和证书的备份,然后使用该备份创建新集群。有关从备份创建集群的更多信息,请参阅 使用备份创建集群。
您还可以将集群的备份复制到不同的区域,在那里创建一个新的集群作为原始集群的克隆。您可能出于多种原因希望这样做,包括简化灾难恢复过程。有关将备份复制到区域的更多信息,请参阅 跨区域复制备份。
