本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 AWS CloudHSM 集群
您可以通过控制AWS CloudHSM
台
要创建集群,请参阅 开始使用。
集群架构
创建集群时,您可以在账户中指定亚马逊虚拟私有云 (VPC),并在该 V AWS PC 中指定一个或多个子网。我们建议您在所选 AWS 区域的每个可用区 (AZ) 中创建一个子网。创建 VPC 时,您可创建私有子网。要了解更多信息,请参阅创建虚拟私有云(VPC)。
每当创建 HSM 时,您需要为该 HSM 指定群集和可用区。通过将 HSM 放入不同的可用区中,您可以实现冗余和高可用性,以防某个可用区不可用。
创建 HSM 时,在您 AWS 账户的指定子网中 AWS CloudHSM 放置一个弹性网络接口 (ENI)。该弹性网络接口是用于与 HSM 进行交互的接口。HSM 驻留在独立 VPC 中的一个 AWS 账户中,该账户归其 AWS CloudHSM所有。HSM 及其相应的网络接口位于同一可用区中。
要与集群中的 HSM 进行交互,您需要 AWS CloudHSM 客户端软件。通常情况下,您应该在与 HSM ENI 位于同一 VPC 中的 Amazon EC2 实例(称为客户端实例)上安装该客户端,如下图所示。但从技术上讲,此操作不是必需的;您可以在任何可以连接到 HSM ENI 的兼容计算机上安装该客户端。该客户端通过其 ENI 与您的群集中的各个 HSM 进行通信。
下图显示了一个包含三个 HSM 的 AWS CloudHSM 集群,每个 HSM 位于 VPC 的不同可用区。
集群同步
在集 AWS CloudHSM 群中, AWS CloudHSM 使各个 HSM 上的密钥保持同步。您无需执行任何操作即可使 HSM 上的密钥保持同步。要使每个 HSM 上的用户和策略保持同步,请在管理 HSM 用户之前更新 AWS CloudHSM 客户端配置文件。有关更多信息,请参阅 让 HSM 用户保持同步。
向集群添加新 HSM 时, AWS CloudHSM 会备份现有 HSM 上的所有密钥、用户和策略。然后,它将该备份还原到新 HSM 上。这将使两个 HSM 保持同步。
如果集群中的 HSM 无法同步,则 AWS CloudHSM 会自动对其进行重新同步。要启用此功能,请 AWS CloudHSM 使用设备用户的凭据。此用户存在于由提供的所有 HSM 上 AWS CloudHSM ,并且权限有限。该用户可以获取 HSM 上的对象的哈希,并且可以提取和插入遮蔽(加密)的对象。 AWS 无法查看或修改您的用户或密钥,并且无法使用这些密钥执行任何加密操作。
集群高可用性和负载均衡
当您创建包含多个 HSM 的 AWS CloudHSM 集群时,您会自动获得负载平衡。负载均衡意味着 AWS CloudHSM 客户端根据每个 HSM 的容量跨所有群集中的所有 HSM 分发加密操作以进行额外处理。
当您在不同的 AWS 可用区域创建 HSM 时,您将自动获得高可用性。高可用性意味着,您可以获得更高的可靠性,因为任何 HSM 均不会成为单点故障。我们建议您在每个集群中至少有两个 HSM,每个 HSM 位于一个 AWS 区域内的不同可用区。
例如,下图显示了分发到两个不同可用区的 Oracle Database 应用程序。数据库实例将其主密钥存储在集群中,每个可用区中都包含一个 HSM。 AWS CloudHSM 自动将两个 HSM 的密钥同步,以便它们可以立即访问和冗余。
