本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 中建立叢集 AWS CloudHSM
叢集是個別硬體安全模組 (HSMs) 的集合。 AWS CloudHSM 會同步每個叢集中的 HSMs,使其做為邏輯單位運作。 AWS CloudHSM 提供兩種 HSMs 類型:hsm1.medium 和 hsm2m.medium。建立叢集時,您可以選擇叢集中的兩個。如需每個 HSM 類型與叢集模式間差異的詳細資訊,請參閱 AWS CloudHSM 叢集模式。
當您建立叢集時, AWS CloudHSM 會代表您建立叢集的安全群組。此安全群組會控制對叢集中 HSM 的網路存取。該群組僅允許來自安全群組中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的傳入連接。在預設情況下,此安全群組不包含任何執行個體。您之後會啟動用戶端執行個體並設定叢集的安全群組,以允許與 HSM 進行通訊並連線。
您可以從 AWS CloudHSM
主控台、AWS Command Line Interface (AWS CLI) 或 AWS CloudHSM API 建立叢集。
如需叢集引數和 APIs,請參閱《 AWS CLI 命令參考》create-cluster中的 。
- Console
-
建立叢集 (主控台)
在 https://https://console.aws.amazon.com/cloudhsm/home 開啟 AWS CloudHSM 主控台。
-
在導覽列上,使用區域選擇器,選擇其中一個目前支援 AWS CloudHSM 的AWS 區域。
-
選擇建立叢集。
-
在叢集組態區段中,執行下列操作:
-
對於 VPC,請選取您在 建立 的虛擬私有雲端 (VPC) AWS CloudHSM 建立的 VPC。
-
對於可用區域,請在每個可用區域旁選擇您建立的私有子網路。
即使指定的可用區域 AWS CloudHSM 不支援 ,效能也不應受到影響,因為 AWS CloudHSM 會在叢集中的所有 HSMs 之間自動負載平衡。請參閱 中的AWS CloudHSM 區域和端點AWS 一般參考,以查看 的可用區域支援 AWS CloudHSM。
-
針對 HSM 類型,選取可在叢集中建立的 HSM 類型,以及叢集所需的模式。若要查看每個區域支援哪些 HSM 類型,請參閱 AWS CloudHSM 定價計算器。
-
針對網路類型,選擇用於存取 HSMs IP 地址通訊協定。IPv4 會將應用程式和 HSMs之間的通訊限制為僅限 IPv4。此為預設選項。雙堆疊可同時啟用 IPv4 和 IPv6 通訊。若要使用雙堆疊,請將 IPv4 和 IPv6 CIDRs 新增至您的 VPC 和子網路組態。網路類型在初始設定後很難變更。若要修改它,請建立現有叢集的備份,並使用所需的網路類型還原新的叢集。如需詳細資訊,請參閱從備份建立 AWS CloudHSM 叢集
-
針對叢集來源,指定您要建立新的叢集,還是從現有的備份還原叢集。
-
選擇下一步。
-
指定服務應保留備份的時間長度。
-
接受預設保留期 90 天,或輸入介於 7 到 379 天之間的新值。服務會自動刪除此叢集中超過您在此指定值的備份。您之後可以變更這個設定。如需詳細資訊,請參閱設定備份保留。
-
選擇下一步。
-
(選用) 輸入標籤索引鍵和選用標籤值。若要將多個標籤新增至叢集,請選擇新增標籤。
-
選擇檢閱。
-
檢閱您的叢集組態,然後選擇建立叢集。
如果您嘗試建立叢集失敗,這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助,請參閱 解決 AWS CloudHSM 叢集建立失敗。
- AWS CLI
-
-
在命令提示中,執行 create-cluster 命令。指定您計劃建立 HSM 所在子網路的 HSM 執行個體類型、備份保留時長和子網路 ID。使用您建立之私有子網路的子網路 ID。僅能對每個可用區域指定一個子網路。
$
aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value=<number of days>
\
--subnet-ids <subnet ID>
\
--mode <FIPS>
\
--network-type <IPV4>
{
"Cluster": {
"BackupPolicy": "DEFAULT",
"BackupRetentionPolicy": {
"Type": "DAYS",
"Value": 90
},
"VpcId": "vpc-50ae0636",
"SubnetMapping": {
"us-west-2b": "subnet-49a1bc00",
"us-west-2c": "subnet-6f950334",
"us-west-2a": "subnet-fd54af9b"
},
"SecurityGroup": "sg-6cb2c216",
"HsmType": "hsm2m.medium",
"NetworkType": "IPV4",
"Certificates": {},
"State": "CREATE_IN_PROGRESS",
"Hsms": [],
"ClusterId": "cluster-igklspoyj5v",
"ClusterMode": "FIPS",
"CreateTimestamp": 1502423370.069
}
}
ClusterMode
是所有 hsm 類型的必要參數,hsm1.medium 除外。--mode
:
$
aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value=<number of days>
\
--subnet-ids <subnet ID>
\
--mode NON_FIPS
如果您嘗試建立叢集失敗,這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助,請參閱 解決 AWS CloudHSM 叢集建立失敗。
- AWS CloudHSM API
-
如果您嘗試建立叢集失敗,這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助,請參閱 解決 AWS CloudHSM 叢集建立失敗。