建立叢集 - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立叢集

群集是個人的集合HSMs。 AWS CloudHSM 會同步每個叢集HSMs中的,以便它們以邏輯單元的方式運作。 AWS CloudHSM 提供了兩種類型的HSMs:hsm1. 中和 hsm2m建立叢集時,您可以選擇兩個叢集中的哪一個。如需每HSM種類型和叢集模式之間差異的詳細資訊,請參閱AWS CloudHSM 叢集模式和HSM類型

建立叢集時,請代表您為叢集建 AWS CloudHSM 立安全性群組。此安全性群組可控制叢集HSMs中的網路存取。它只允許從安全群組中的 Amazon 彈性運算雲端 (AmazonEC2) 執行個體傳入連線。在預設情況下,此安全群組不包含任何執行個體。稍後,您啟動用戶端執行個體設定叢集的安全性群組,以允許與HSM.

重要

建立叢集時, AWS CloudHSM 會建立名為 AWSServiceRoleForCloudHSM的服務連結角色。如果 AWS CloudHSM 無法建立角色或角色不存在,您可能無法建立叢集。如需詳細資訊,請參閱解決叢集建立失敗的問題。如需服務連結角色的詳細資訊,請參閱服務連結角色 AWS CloudHSM

您可以從AWS CloudHSM 主控台AWS Command Line Interface (AWS CLI) 或建立叢集 AWS CloudHSM API。

注意

如需叢集引數的詳細資訊APIs,請參閱《AWSCLI命令參考》create-cluster中的〈〉。

建立叢集 (主控台)

  1. 請在https://console.aws.amazon.com/cloudhsm/家中開啟 AWS CloudHSM 主機。

  2. 在導覽列上,使用區AWS 域選擇器選擇目前支援的其 AWS CloudHSM中一個區域。

  3. 選擇建立叢集

  4. 叢集組態區段中,執行下列操作:

    1. 對於 VPC,選取您VPC在中建立的項目建立虛擬私有雲端 (VPC)

    2. 對於可用區域,請在每個可用區域旁選擇您建立的私有子網路。

      注意

      即使指定 AWS CloudHSM 的可用區域不支援,效能也不會受到影響,因為叢集HSMs中所有區域間的負載 AWS CloudHSM 自動平衡。如需瞭解的可用區域支援 AWS 一般參考,請參閱中的區AWS CloudHSM 域和端點 AWS CloudHSM。

    3. 對於 HSMtype,請選取可在叢集中建立的HSM類型以及所需的叢集模式。若要查看每個區域支援哪些HSM類型,請參閱定AWS CloudHSM 價計算器

      重要

      建立叢集之後,無法變更HSM類型和叢集模式。如需適合您使用案例之類型和模式的資訊,請參閱AWS CloudHSM 叢集模式和HSM類型

    4. 針對叢集來源,指定是要建立新叢集還是從現有備份還原叢集。

      • 非FIPS模式下的叢集備份只能用於還原處於非FIPS模式的叢集。

      • FIPS模式中叢集的備份只能用於還原處於FIPS模式的叢集。

  5. 選擇 Next (下一步)

  6. 指定服務應保留備份的時間長度。

    注意

    接受預設保留期 90 天,或輸入介於 7 到 379 天之間的新值。服務會自動刪除此叢集中超過您在此指定值的備份。您之後可以變更這個設定。如需詳細資訊,請參閱設定備份保留原則

  7. 選擇下一步

  8. (選用) 輸入標籤索引鍵和選用標籤值。若要將多個標籤新增至叢集,請選擇新增標籤

  9. 選擇檢閱

  10. 檢閱您的叢集組態,然後選擇建立叢集

建立叢集 (AWS CLI)

  • 在命令提示中,執行 create-cluster 命令。指定要建立之子網路IDs的HSM執行個體類型、備份保留期間以HSMs及子網路。使用您所建立IDs之私人子網路的子網路。僅能對每個可用區域指定一個子網路。

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode FIPS

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm1.medium",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    注意

    ClusterMode是除 hsm1.medium 以外的所有 hsm 類型的必要參數。 --mode:

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS
建立叢集 (AWS CloudHSM API)

  • 傳送 CreateCluster 要求。指定要建HSMs立之子網路IDs的HSM執行個體類型、備份保留原則和子網路。使用您所建立IDs之私人子網路的子網路。僅能對每個可用區域指定一個子網路。

如果您嘗試建立叢集失敗,則可能與 AWS CloudHSM 服務連結角色的問題相關。如需解決失敗的協助,請參閱 解決叢集建立失敗的問題