本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要使用用戶端 SDK 5 或用戶端 3 SDK 連線到叢集,您必須先執行兩件事:
-
在EC2執行個體上備妥發行憑證
-
將用戶端引導SDK至叢集
在每個EC2執行個體上放置發行憑證
您可以在初始化叢集時建立發行憑證。將發行憑證複製到連線到叢集之每個EC2執行個體上平台的預設位置。
/opt/cloudhsm/etc/
customerCA.crt
指定憑證的位置。
使用用戶端 SDK 5,您可以使用設定工具來指定發行憑證的位置。
將發行憑證放置在 Linux for Client SDK 5
-
使用設定工具指定簽發憑證的位置。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert<customerCA certificate file>
將發行憑證放置在 Windows for Client SDK 5
-
使用設定工具指定簽發憑證的位置。
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert
<customerCA certificate file>
如需詳細資訊,請參閱設定工具。
如需有關初始化叢集或建立和簽署憑證的詳細資訊,請參閱初始化叢集。
引導用戶端 SDK
引導程序會根據SDK您使用的用戶端版本而有所不同,但您必須在叢集中擁有其中一個硬體安全模組的 IP 地址 (HSM)。您可以使用HSM連接到叢集之任何 的 IP 地址。用戶端SDK連線後,它會擷取任何其他 的 IP 地址,HSMs並執行負載平衡和用戶端金鑰同步操作。
取得 HSM(主控台) 的 IP 地址
https://console.aws.amazon.com/cloudhsm/在家中
開啟 AWS CloudHSM 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選取器。
-
若要開啟叢集詳細資訊頁面,請在叢集表格中選擇叢集 ID。
-
若要取得 IP 地址,請前往 HSMs索引標籤。對於IPv4叢集,請選擇地址下列出的ENIIPv4地址。對於雙堆疊叢集,請使用 ENIIPv4或ENIIPv6地址地址。
取得 HSM(AWS CLI) 的 IP 地址
-
HSM 使用 describe-clusters命令,從 取得 的 IP 地址 AWS CLI。在 命令的輸出中, 的 IP 地址HSMs是
EniIp
和 的值EniIpV6
(如果是雙堆疊叢集)。$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733", ...
如需有關啟動程序的詳細資訊,請參閱設定工具。
注意
您可以使用 –-cluster-id
參數來代替 -a <HSM_IP_ADDRESSES>
。若要查看使用 –-cluster-id
的需求,請參閱 AWS CloudHSM 用戶端 SDK 5 設定工具。
為用戶端 3 引導 Linux SDK EC2執行個體
-
使用 configure指定叢集HSM中 的 IP 地址。
sudo /opt/cloudhsm/bin/configure -a
<IP address>
為用戶端 3 啟動 Windows SDK EC2執行個體
-
使用 configure指定叢集HSM中 的 IP 地址。
C:\Program Files\Amazon\CloudHSM\bin\
configure-jce.exe -a
<HSM IP address>
如需設定的詳細資訊,請參閱 AWS CloudHSM 設定工具。