本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 AWS CloudHSM 叢集
您可以從AWS CloudHSM
主控台
若要建立叢集,請參閱開始使用。
叢集架構
建立叢集時,您可以在 AWS 帳戶中指定 Amazon Virtual Private Cloud (VPC),並在該 VPC 中指定一個或多個子網路。建議您在所選區域的每個可用區 AWS 域 (AZ) 中建立一個子網路。您可以在建立 VPC 時建立私有子網路。如需進一步了解,請參閱建立虛擬私有雲端 (VPC)。
每次建立 HSM 時,您都需要指定 HSM 的叢集和可用區域。只要將 HSM 放在不同的可用區域,萬一某個可用區域無法使用,就能發揮備援和高可用性。
建立 HSM 時,會在 AWS 帳戶中的指定子網路中 AWS CloudHSM 放置 elastic network interface (ENI)。彈性網路界面是用來與 HSM 互動的界面。HSM 位於所擁有 AWS 帳戶中的個別 VPC 中。 AWS CloudHSM HSM 及其對應的網路界面位於相同的可用區域。
若要與叢集中的 HSM 互動,您需要 AWS CloudHSM 用戶端軟體。一般而言,您會將用戶端安裝在 Amazon EC2 執行個體 (稱為用戶端執行個體),而這些執行個體與 HSM ENI 位於相同的 VPC,如下圖所示。在技術上不必如此;在任何相容的電腦上,只要可連接到 HSM ENI,都可以安裝用戶端。用戶端會透過 ENI 來與叢集的個別 HSM 通訊。
下圖表示具有三個 HSM 的 AWS CloudHSM 叢集,每個 HSM 都位於 VPC 中的不同可用區域中。
叢集同步
在 AWS CloudHSM 叢集中, AWS CloudHSM 使個別 HSM 上的金鑰保持同步。您不需要做任何動作來同步 HSM 上的金鑰。若要讓每個 HSM 上的使用者和原則保持同步,請先更新用 AWS CloudHSM 戶端組態檔案,然後再管理 HSM 使用者。如需詳細資訊,請參閱 讓 HSM 使用者保持同步。
將新的 HSM 新增至叢集時,會備份現有 HSM 上的所有金鑰、 AWS CloudHSM 使用者和原則。然後將該備份還原到新的 HSM。這樣就可讓兩個 HSM 保持同步。
如果叢集中的 HSM 不同步化, AWS CloudHSM 會自動重新同步化它們。若要啟用此功能,請 AWS CloudHSM 使用設備使用者的認證。此使用者存在於由提供的所有 HSM 上, AWS CloudHSM 且權限有限。這個使用者可以取得 HSM 上的物件雜湊,並可以擷取和插入遮罩 (加密) 物件。 AWS 無法檢視或修改您的使用者或金鑰,也無法使用這些金鑰執行任何加密操作。
叢集高可用性和負載平衡
當您建立具有多個 HSM 的 AWS CloudHSM 叢集時,您會自動取得負載平衡。負載平衡表示 AWS CloudHSM 用戶端會根據每個 HSM 的額外處理能力,將密碼編譯操作分散給叢集中的所有 HSM 用戶端。
當您在不同的 AWS 可用區域中建立 HSM 時,您會自動取得高可用性。高可用性表示您可以獲得更高的可靠性,因為沒有任何一個 HSM 會發生單點失效。我們建議您在每個叢集中至少有兩個 HSM,每個 HSM 位於一個區域內的不同可用區域。 AWS
例如,下圖顯示 Oracle 資料庫應用程式分佈至兩個不同的可用區域。資料庫執行個體會將其主要金鑰儲存在每個可用區域中包含 HSM 的叢集中。 AWS CloudHSM 會自動將金鑰同步至兩個 HSM,以便立即存取和備援金鑰。
