本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
用戶端 SDK 3 設定工具
使用用戶端 SDK 3 設定工具啟動用戶端常駐程式並設定 CloudHSM 管理公用程式。
語法
configure -h | --help -a
<ENI IP address>
-m [-i<daemon_id>
] --ssl --pkey<private key file>
--cert<certificate file>
--cmu<ENI IP address>
範例
這些範例會示範如何使用 configure 工具。
範例 :更新用 AWS CloudHSM 戶端和金鑰的 HSM 資料
此範例使用的-a
參數configure來更新用 AWS CloudHSM 戶端和 key_mgmt_util 的 HSM 資料。若要使用此 -a
參數,您必須擁有叢集中其中一個 HSM 的 IP 地址。使用主控台或 AWS CLI 取得 IP 地址。
取得 HSM (主控台) 的 IP 位址
開啟主 AWS CloudHSM 控台,網址為 https://console.aws.amazon.com/cloudhsm/home
。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
若要開啟叢集詳細資訊頁面,請在叢集表格中選擇叢集 ID。
-
若要取得 IP 地址,請在 HSM 索引標籤上,選擇 ENI IP 地址下列出的其中一個 IP 地址。
取得 HSM 的 IP 位址 ()AWS CLI
-
使用 AWS CLI中的 describe-clusters 命令取得 HSM 的 IP 地址。在命令輸出中,HSM 的 IP 地址是
EniIp
的值。$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...
:更新 HSM 資料
-
更新
-a
參數之前,請停止用 AWS CloudHSM 戶端。這可防止在 configure 編輯用戶端的組態檔案時可能發生的衝突。如果用戶端已停止,而此命令不會帶來任何影響,因此您可以在指令碼中使用它。 -
此步驟使用 configure 的
-a
參數,來將10.0.0.9
ENI IP 地址新增至組態檔案。 -
接下來,重新啟動 AWS CloudHSM 用戶端。用戶端啟動時,會使用組態檔案中的 ENI IP 地址來查詢叢集。接著會將叢集中所有 HSM 的 ENI IP 地址新增至
cluster.info
檔案。當命令完成時, AWS CloudHSM 用戶端和 key_mgmt_util 使用的 HSM 資料會完整且正確。
範例 :從用戶端 SDK 3.2.1 及更早版本更新 CMU 的 HSM 資料
此範例使用 -m
configure 命令,將來自 cluster.info
檔案的更新 HSM 資料複製到 cloudhsm_mgmt_util 使用的 cloudhsm_mgmt_util.cfg
檔案。請搭配用戶端 SDK 3.2.1 及更早版本隨附的 CMU 使用此功能。
-
執行之前
-m
,請停止用 AWS CloudHSM 戶端、執行-a
命令,然後重新啟動 AWS CloudHSM 用戶端,如前面的範例所示。這可確保從cluster.info
檔案複製到cloudhsm_mgmt_util.cfg
檔案的資料既完整且準確。
範例 :從用戶端 SDK 3.3.0 及更新版本更新 CMU 的 HSM 資料
此範例使用 configure 的 --cmu
參數來更新 CMU 的 HSM 資料。請搭配用戶端 SDK 3.3.0 及更新版本隨附的 CMU 使用此功能。如需有關使用 CMU 的詳細資訊,請參閱使用 CloudHSM 管理公用程式 (CMU) 管理使用者和使用用戶端 SDK 3.2.1 及更早版本隨附的 CMU。
-
使用此
--cmu
參數傳遞叢集中 HSM 的 IP 地址。
參數
- -h | --help
-
顯示命令的語法。
必要:是
- -a
<ENI IP address>
-
將指定的 HSM 彈性網路界面 (ENI) IP 地址新增至 AWS CloudHSM 組態檔案。輸入叢集中任何一個 HSM 的 ENI IP 地址。選擇哪一個都可以。
若要取得叢集中 HSM 的 ENI IP 位址,請使用DescribeClusters作業、描述叢集命令或 AWS CLI 指令程式。Get-HSM2Cluster PowerShell
注意
執行
-a
configure命令之前,請先停止用 AWS CloudHSM 戶端。然後,當-a
命令完成時,重新啟動用 AWS CloudHSM 戶端。如需詳細資訊,請參閱範例。此參數會編輯以下組態檔案:
-
/opt/cloudhsm/etc/cloudhsm_client.cfg
:由用 AWS CloudHSM 戶端和密鑰使用。 -
/opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
:由 cloudhsm_mgmt_util 使用。
用 AWS CloudHSM 戶端啟動時,會使用其組態檔案中的 ENI IP 位址來查詢叢集,並使用叢集中所有 HSM 的正確 ENI IP 位址更新
cluster.info
檔案 (/opt/cloudhsm/daemon/1/cluster.info
)。必要:是
-
- -m
-
更新 CMU 所使用組態檔案中的 HSM ENI IP 地址。
注意
此
-m
參數可與用戶端 SDK 3.2.1 及更早版本的 CMU 搭配使用。對於用戶端 SDK 3.3.0 及更新版本的 CMU,請參閱--cmu
參數,該參數可簡化更新 CMU 的 HSM 資料的程序。當您更新的
-a
參數configure並啟動 AWS CloudHSM 用戶端時,用戶端精靈會查詢叢集,並使用叢集中所有 HSM 的正確 HSM IP 位址更新cluster.info
檔案。將 HSM IP 地址從cluster.info
複製到 cloudhsm_mgmt_util 使用的cloudhsm_mgmt_util.cfg
組態檔案,從而執行-m
configure 命令並完成更新。執行
-a
configure命令之前,請務必執行命令並重新啟動 AWS CloudHSM 用戶端。-m
這可確保從cluster.info
複製到cloudhsm_mgmt_util.cfg
檔案的資料既完整且準確。必要:是
- -i
-
指定替代的用戶端常駐程式。預設值代表 AWS CloudHSM 用戶端。
預設:
1
必要:否
- --ssl
-
以指定的私有金鑰和憑證取代叢集的 SSL 金鑰和憑證。使用此參數時,需要
--pkey
和--cert
參數。必要:否
- --pkey
-
指定新的私有金鑰。輸入包含私有金鑰之檔案的路徑和名稱。
必要:如果指定的是 -ssl,則為是。否則不應使用此項目。
- --cert
-
指定新的憑證。輸入包含憑證之檔案的路徑和名稱。此憑證應會鏈結至
customerCA.crt
憑證,即用於初始化叢集的自簽憑證。如需詳細資訊,請參閱初始化叢集。必要:如果指定的是 -ssl,則為是。否則不應使用此項目。
- --cmu
<ENI IP address>
-
將
-a
和-m
參數合併為一個參數。將指定的 HSM elastic network interface (ENI) IP 位址新增至 AWS CloudHSM 組態檔,然後更新 CMU 組態檔案。輸入叢集中任何 HSM 的任何 IP 地址。如需用戶端 SDK 3.2.1 及更早版本,請參閱使用用戶端 SDK 3.2.1 及更早版本隨附的 CMU。必要:是