在 中建立叢集 AWS CloudHSM

叢集是個別硬體安全模組 (HSMs) 的集合。 AWS CloudHSM 會同步每個叢集中的 HSMs，使其做為邏輯單位運作。 AWS CloudHSM 提供兩種 HSMs 類型：hsm1.medium 和 hsm2m.medium。建立叢集時，您可以選擇叢集中的兩個。如需每個 HSM 類型與叢集模式間差異的詳細資訊，請參閱 AWS CloudHSM 叢集模式。

當您建立叢集時， AWS CloudHSM 會代表您建立叢集的安全群組。此安全群組會控制對叢集中 HSM 的網路存取。該群組僅允許來自安全群組中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的傳入連接。在預設情況下，此安全群組不包含任何執行個體。您之後會啟動用戶端執行個體並設定叢集的安全群組，以允許與 HSM 進行通訊並連線。

考量事項

• 以下是在 中建立叢集時的一些考量 AWS CloudHSM：

  • 當您建立叢集時， AWS CloudHSM 會建立名為 AWSServiceRoleForCloudHSM 的服務連結角色。如果 AWS CloudHSM 無法建立角色或角色不存在，您可能無法建立叢集。如需詳細資訊，請參閱解決 AWS CloudHSM 叢集建立失敗。如需服務連結角色的詳細資訊，請參閱的服務連結角色 AWS CloudHSM。

  • 如果您使用AWS CloudHSM 雙堆疊端點 （即 cloudhsmv2.<region>.api.aws)，請確定您的 IAM 政策已更新以處理 IPv6。如需詳細資訊，請參閱安全性下的將 IAM 政策升級至 IPv6 一節。

您可以從 AWS CloudHSM 主控台、AWS Command Line Interface (AWS CLI) 或 AWS CloudHSM API 建立叢集。

如需叢集引數和 APIs，請參閱《 AWS CLI 命令參考》create-cluster中的 。

Console

建立叢集 (主控台)

1. 在 https：//https://console.aws.amazon.com/cloudhsm/home 開啟 AWS CloudHSM 主控台。

2. 在導覽列上，使用區域選擇器，選擇其中一個目前支援 AWS CloudHSM 的AWS 區域。

3. 選擇建立叢集。

4. 在叢集組態區段中，執行下列操作：

   1. 對於 VPC，請選取您在 建立 的虛擬私有雲端 (VPC) AWS CloudHSM 建立的 VPC。

   2. 對於可用區域，請在每個可用區域旁選擇您建立的私有子網路。

      注意

      即使指定的可用區域 AWS CloudHSM 不支援 ，效能也不應受到影響，因為 AWS CloudHSM 會在叢集中的所有 HSMs 之間自動負載平衡。請參閱 中的AWS CloudHSM 區域和端點AWS 一般參考，以查看 的可用區域支援 AWS CloudHSM。

   3. 針對 HSM 類型，選取可在叢集中建立的 HSM 類型，以及叢集所需的模式。若要查看每個區域支援哪些 HSM 類型，請參閱 AWS CloudHSM 定價計算器。

      重要

      建立叢集之後，就無法變更叢集模式。如需適合您使用案例的類型和模式的資訊，請參閱 AWS CloudHSM 叢集模式。

   4. 針對網路類型，選擇用於存取 HSMs IP 地址通訊協定。IPv4 會將應用程式和 HSMs之間的通訊限制為僅限 IPv4。此為預設選項。雙堆疊可同時啟用 IPv4 和 IPv6 通訊。若要使用雙堆疊，請將 IPv4 和 IPv6 CIDRs 新增至您的 VPC 和子網路組態。網路類型在初始設定後很難變更。若要修改它，請建立現有叢集的備份，並使用所需的網路類型還原新的叢集。如需詳細資訊，請參閱從備份建立 AWS CloudHSM 叢集

   5. 針對叢集來源，指定您要建立新的叢集，還是從現有的備份還原叢集。

      • 處於非 FIPS 模式的叢集備份只能用來還原處於非 FIPS 模式的叢集。

      • 處於 FIPS 模式的叢集備份只能用來還原處於 FIPS 模式的叢集。

5. 選擇下一步。

6. 指定服務應保留備份的時間長度。

   1. 接受預設保留期 90 天，或輸入介於 7 到 379 天之間的新值。服務會自動刪除此叢集中超過您在此指定值的備份。您之後可以變更這個設定。如需詳細資訊，請參閱設定備份保留。

7. 選擇下一步。

8. (選用) 輸入標籤索引鍵和選用標籤值。若要將多個標籤新增至叢集，請選擇新增標籤。

9. 選擇檢閱。

10. 檢閱您的叢集組態，然後選擇建立叢集。

如果您嘗試建立叢集失敗，這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助，請參閱 解決 AWS CloudHSM 叢集建立失敗。

AWS CLI

建立叢集 (AWS CLI)

• 在命令提示中，執行 create-cluster 命令。指定您計劃建立 HSM 所在子網路的 HSM 執行個體類型、備份保留時長和子網路 ID。使用您建立之私有子網路的子網路 ID。僅能對每個可用區域指定一個子網路。

  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                      --backup-retention-policy Type=DAYS,Value=<number of days> \
                      --subnet-ids <subnet ID> \
                      --mode <FIPS> \
                      --network-type <IPV4>
  
  {
      "Cluster": {
          "BackupPolicy": "DEFAULT",
          "BackupRetentionPolicy": {
              "Type": "DAYS",
              "Value": 90
           },
          "VpcId": "vpc-50ae0636",
          "SubnetMapping": {
              "us-west-2b": "subnet-49a1bc00",
              "us-west-2c": "subnet-6f950334",
              "us-west-2a": "subnet-fd54af9b"
          },
          "SecurityGroup": "sg-6cb2c216",
          "HsmType": "hsm2m.medium",
          "NetworkType": "IPV4",
          "Certificates": {},
          "State": "CREATE_IN_PROGRESS",
          "Hsms": [],
          "ClusterId": "cluster-igklspoyj5v",
          "ClusterMode": "FIPS",
          "CreateTimestamp": 1502423370.069
      }
  }
  

  注意

  ClusterMode 是所有 hsm 類型的必要參數，hsm1.medium 除外。--mode：

  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
    				--backup-retention-policy Type=DAYS,Value=<number of days> \
    				--subnet-ids <subnet ID> \
  				--mode NON_FIPS

如果您嘗試建立叢集失敗，這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助，請參閱 解決 AWS CloudHSM 叢集建立失敗。

AWS CloudHSM API

建立叢集 (AWS CloudHSM API)

• 傳送 CreateCluster 要求。指定您計劃建立 HSM 所在子網路的 HSM 執行個體類型、備份保留政策和子網路 ID。使用您建立之私有子網路的子網路 ID。僅能對每個可用區域指定一個子網路。

如果您嘗試建立叢集失敗，這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助，請參閱 解決 AWS CloudHSM 叢集建立失敗。