Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurationstool für Client SDK 5
Verwenden Sie das Client SDK 5-Konfigurationstool, um die clientseitigen Konfigurationsdateien zu aktualisieren.
Jede Komponente in Client SDK 5 enthält ein Konfigurationstool mit einer Bezeichnung der Komponente im Dateinamen des Konfigurationstools. Die Bibliothek PKCS #11 für Client SDK 5 enthält beispielsweise ein Konfigurationstool, das configure-pkcs11
unter Linux oder configure-pkcs11.exe
Windows benannt ist.
Syntax
Erweiterte -Konfigurationen
Eine Liste der erweiterten Konfigurationen, die speziell für das Client SDK 5-Konfigurationstool gelten, finden Sie unter Erweiterte Konfigurationen für das Client SDK 5-Konfigurationstool.
Wichtig
Nachdem Sie Änderungen an Ihrer Konfiguration vorgenommen haben, müssen Sie Ihre Anwendung neu starten, damit die Änderungen wirksam werden.
Beispiele
Diese Beispiele zeigen, wie das Konfigurationstool für Client SDK 5 verwendet wird.
In diesem Beispiel wird der -a
Parameter verwendet, um die HSM Daten für Client SDK 5 zu aktualisieren. Um den -a
Parameter verwenden zu können, benötigen Sie die IP-Adresse eines der Geräte HSMs in Ihrem Cluster.
Anmerkung
Sie können den –-cluster-id
-Parameter anstelle von -a <HSM_IP_ADDRESSES>
verwenden. Informationen zu den Anforderungen für die Verwendung von –-cluster-id
finden Sie unter Konfigurationstool für Client SDK 5.
Weitere Informationen zum Parameter -a
erhalten Sie unter Parameter.
In diesem Beispiel wird der cluster-id
Parameter verwendet, um Client SDK 5 durch einen DescribeClusters
Aufruf zu booten.
Sie können die Parameter --region
und --endpoint
in Kombination mit dem cluster-id
-Parameter verwenden, um anzugeben, wie das System den DescribeClusters
-Aufruf durchführt. Wenn sich die Region des Clusters beispielsweise von der als AWS CLI Standard konfigurierten unterscheidet, sollten Sie den --region
Parameter verwenden, um diese Region zu verwenden. Darüber hinaus haben Sie die Möglichkeit, den AWS CloudHSM API Endpunkt anzugeben, der für den Anruf verwendet werden soll. Dies kann für verschiedene Netzwerkkonfigurationen erforderlich sein, z. B. für die Verwendung von VPC Schnittstellenendpunkten, für die nicht der DNS Standard-Hostname verwendet wird. AWS CloudHSM
Weitere Hinweise zu den Parametern --cluster-id
, --region
und --endpoint
finden Sie unter Parameter.
Dieses Beispiel zeigt, wie die --server-client-key-file
Parameter --server-client-cert-file
und zur Neukonfiguration verwendet werden, SSL indem ein benutzerdefinierter Schlüssel und ein benutzerdefiniertes Zertifikat für angegeben werden SSL AWS CloudHSM
Weitere Hinweise zu den Parametern --server-client-cert-file
und --server-client-key-file
finden Sie unter Parameter.
Dieses Beispiel zeigt, wie die --client-key-hsm-tls-file
Parameter --client-cert-hsm-tls-file
und zur Neukonfiguration verwendet werden, SSL indem ein benutzerdefinierter Schlüssel und ein benutzerdefiniertes SSL Zertifikat für angegeben werden AWS CloudHSM
Weitere Hinweise zu den Parametern --client-cert-hsm-tls-file
und --client-key-hsm-tls-file
finden Sie unter Parameter.
In diesem Beispiel wird der --disable-key-availability-check
-Parameter verwendet, um die Einstellungen für die Haltbarkeit von Clientschlüsseln zu deaktivieren. Um einen Cluster mit einem einzigen Cluster auszuführenHSM, müssen Sie die Einstellungen für die Haltbarkeit von Client-Schlüsseln deaktivieren.
Weitere Informationen zum Parameter --disable-key-availability-check
erhalten Sie unter Parameter.
Client SDK 5 verwendet die log-type
Parameterlog-file
,log-level
, undlog-rotation
, um die Protokollierung zu verwalten.
Anmerkung
Um Ihre SDK für serverlose Umgebungen wie AWS Fargate oder AWS Lambda zu konfigurieren, empfehlen wir Ihnen, Ihren AWS CloudHSM Protokolltyp auf zu konfigurieren. term
Die Client-Logs werden in der CloudWatch Logs-Protokollgruppe ausgegeben stderr
und dort erfasst, die für diese Umgebung konfiguriert ist.
Weitere Informationen über die Parameter log-file
, log-level
, log-rotation
und log-type
finden Sie unter Parameter.
In diesem Beispiel wird der --hsm-ca-cert
Parameter verwendet, um den Speicherort des ausstellenden Zertifikats für Client SDK 5 zu aktualisieren.
Weitere Informationen zum Parameter --hsm-ca-cert
erhalten Sie unter Parameter.
Parameter
- -a
<ENI IP address>
-
Fügt die angegebene IP-Adresse zu den Konfigurationsdateien von Client SDK 5 hinzu. Geben Sie eine beliebige ENI IP-Adresse eines HSM Clusters ein. Weitere Informationen zur Verwendung dieser Option finden Sie unter Bootstrap Client SDK 5.
Erforderlich: Ja
- --hsm-ca-cert
<customerCA certificate file path>
-
Pfad zu dem Verzeichnis, in dem das Zertifikat der Zertifizierungsstelle (CA) gespeichert ist, mit dem EC2 Client-Instances mit dem Cluster verbunden werden. Sie erstellen diese Datei, wenn Sie den Cluster initialisieren. Standardmäßig sucht das System am folgenden Speicherort nach dieser Datei:
Linux
/opt/cloudhsm/etc/
customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\
customerCA.crt
Weitere Informationen zur Initialisierung des Clusters oder zum Platzieren des Zertifikats finden Sie unter Platzieren Sie das ausstellende Zertifikat auf jeder EC2-Instance und Initialisieren des Clusters.
Erforderlich: Nein
- --cluster-id
<cluster ID>
-
Führt einen
DescribeClusters
Aufruf durch, um alle HSM elastic network interface (ENI) -IP-Adressen im Cluster zu finden, die der Cluster-ID zugeordnet sind. Das System fügt die ENI IP-Adressen zu den AWS CloudHSM Konfigurationsdateien hinzu.Anmerkung
Wenn Sie den
--cluster-id
Parameter von einer EC2 Instanz innerhalb einer Instanz aus verwendenVPC, die keinen Zugriff auf das öffentliche Internet hat, müssen Sie einen VPC Schnittstellenendpunkt erstellen, mit dem Sie eine Verbindung herstellen können AWS CloudHSM. Weitere Informationen zu VPC Endpunkten finden Sie unterAWS CloudHSM und Endpunkte VPC.Erforderlich: Nein
- --endpoint
<endpoint>
-
Geben Sie den AWS CloudHSM API Endpunkt an, der für den
DescribeClusters
Anruf verwendet wird. Sie müssen diese Option in Kombination mit--cluster-id
festlegen.Erforderlich: Nein
- --Region
<region>
-
Geben Sie die Region Ihres Clusters an. Sie müssen diese Option in Kombination mit
--cluster-id
festlegen.Wenn Sie den
--region
-Parameter nicht angeben, wählt das System die Region aus, indem es versucht, die UmgebungsvariablenAWS_DEFAULT_REGION
oderAWS_REGION
zu lesen. Wenn diese Variablen nicht gesetzt sind, überprüft das System die Region, die Ihrem Profil in Ihrer AWS Konfigurationsdatei zugeordnet ist (normalerweise~/.aws/config
), sofern Sie in derAWS_CONFIG_FILE
Umgebungsvariablen keine andere Datei angegeben haben. Wenn keine der oben genannten Optionen festgelegt ist, verwendet das System standardmäßig dieus-east-1
-Region.Erforderlich: Nein
- --server-client-cert-file
<client certificate file path>
-
Pfad zum Client-Zertifikat, das für die gegenseitige TLS Client-Server-Authentifizierung verwendet wird.
Verwenden Sie diese Option nur, wenn Sie nicht den Standardschlüssel und das TLS StandardzertifikatSSL/verwenden möchten, die in Client SDK 5 enthalten sind. Sie müssen diese Option in Kombination mit
--server-client-key-file
festlegen.Erforderlich: Nein
- --server-client-key-file
<client key file path>
-
Pfad zum Client-Schlüssel, der für die gegenseitige TLS Client-Server-Authentifizierung verwendet wird.
Verwenden Sie diese Option nur, wenn Sie nicht den Standardschlüssel und das TLS StandardzertifikatSSL/verwenden möchten, die in Client SDK 5 enthalten sind. Sie müssen diese Option in Kombination mit
--server-client-cert-file
festlegen.Erforderlich: Nein
- - client-cert-hsm-tls - -Datei
<client certificate hsm tls path>
-
Pfad zum Client-Zertifikat, das für die HSM gegenseitige TLS Client-Authentifizierung verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker HSM bei Cloud registriert haben HSMCLI. Sie müssen diese Option in Kombination mit
--client-key-hsm-tls-file
festlegen.Erforderlich: Nein
- - client-key-hsm-tls - -Datei
<client key hsm tls path>
-
Pfad zum Client-Schlüssel, der für die HSM gegenseitige TLS Client-Authentifizierung verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker HSM bei Cloud registriert haben HSMCLI. Sie müssen diese Option in Kombination mit
--client-cert-hsm-tls-file
festlegen.Erforderlich: Nein
- --log-level
<error | warn | info | debug | trace>
-
Gibt die Mindestprotokollierungsebene an, die das System in die Protokolldatei schreiben soll. Jede Stufe umfasst die vorherigen Stufen, wobei Fehler die Mindeststufe und Trace die Höchststufe ist. Das heißt, wenn Sie Fehler angeben, schreibt das System nur Fehler in das Protokoll. Wenn Sie trace angeben, schreibt das System Fehler, Warnungen, Informations- (Info-) und Debugmeldungen in das Protokoll. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.
Erforderlich: Nein
- --log-rotation
<daily | weekly>
-
Gibt die Häufigkeit an, mit der das System Protokolle rotiert. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.
Erforderlich: Nein
- --log-Datei
<file name with path>
-
Gibt an, wo das System die Protokolldatei schreiben wird. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.
Erforderlich: Nein
- --log-type
<term | file>
-
Gibt an, ob das System das Protokoll in eine Datei oder ein Terminal schreibt. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.
Erforderlich: Nein
- -h | --help
-
Zeigt Hilfe an.
Erforderlich: Nein
- -v | --version
-
Zeigt die Version an.
Erforderlich: Nein
- --disable-key-availability-check
-
Markierung, um das Quorum für die Schlüsselverfügbarkeit zu deaktivieren. Verwenden Sie dieses Flag, um anzugeben, dass das Schlüsselverfügbarkeitsquorum deaktiviert werden AWS CloudHSM soll und dass Sie Schlüssel verwenden können, die nur auf einem HSM im Cluster vorhanden sind. Weitere Hinweise zur Verwendung dieses Flags zum Festlegen eines Quorums für Schlüsselverfügbarkeit finden Sie unter Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln.
Erforderlich: Nein
- --enable-key-availability-check
-
Markierung, um das Quorum für die Schlüsselverfügbarkeit zu aktivieren. Verwenden Sie dieses Flag, um anzugeben, dass das Schlüsselverfügbarkeitsquorum verwendet werden AWS CloudHSM soll und dass Sie Schlüssel erst verwenden dürfen, wenn diese Schlüssel auf zwei HSMs im Cluster vorhanden sind. Weitere Hinweise zur Verwendung dieses Flags zum Festlegen eines Quorums für Schlüsselverfügbarkeit finden Sie unter Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln.
Standardmäßig aktiviert.
Erforderlich: Nein
- -- -init disable-validate-key-at
-
Verbessert die Leistung, indem angegeben wird, dass Sie einen Initialisierungsaufruf überspringen können, um die Berechtigungen für einen Schlüssel für nachfolgende Aufrufe zu überprüfen. Verwenden Sie es mit Bedacht.
Hintergrund: Einige Mechanismen in der PKCS #11 -Bibliothek unterstützen mehrteilige Operationen, bei denen ein Initialisierungsaufruf überprüft, ob Sie den Schlüssel für nachfolgende Aufrufe verwenden können. Dies erfordert einen Bestätigungsaufruf an dieHSM, was die Latenz des gesamten Vorgangs erhöht. Mit dieser Option können Sie den nachfolgenden Aufruf deaktivieren und möglicherweise die Leistung verbessern.
Erforderlich: Nein
- -- enable-validate-key-at -init
-
Gibt an, dass Sie einen Initialisierungsaufruf verwenden sollten, um die Berechtigungen für einen Schlüssel für nachfolgende Aufrufe zu überprüfen. Dies ist die Standardoption. Verwenden Sie
enable-validate-key-at-init
, um diese Initialisierungsrufe wieder aufzunehmen, nachdem Sie mitdisable-validate-key-at-init
sie unterbrochen haben.Erforderlich: Nein