Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung von AWS CloudHSM Clustern
Sie können Ihre AWS CloudHSM Cluster über die AWS CloudHSM
Konsole
Informationen zum Erstellen eines Clusters finden Sie unter Erste Schritte.
Clusterarchitektur
Wenn Sie einen Cluster erstellen, geben Sie eine Amazon Virtual Private Cloud (VPC) in Ihrem AWS Konto und ein oder mehrere Subnetze in dieser VPC an. Wir empfehlen, dass Sie in jeder Availability Zone (AZ) in der von Ihnen ausgewählten Region ein Subnetz erstellen. AWS Sie können private Subnetze erstellen, wenn Sie eine VPC erstellen. Weitere Informationen hierzu finden Sie unter Erstellen einer Virtual Private Cloud (VPC).
Jedes Mal, wenn Sie ein HSM-Cluster erstellen, geben Sie den Cluster und die Availability Zone für das HSM. Wenn Sie die HSMs in verschiedenen Availability Zones unterbringen, erhalten Sie Redundanz und hohe Verfügbarkeit, falls eine Availability Zone nicht verfügbar ist.
Wenn Sie ein HSM erstellen, AWS CloudHSM fügt es ein elastic network interface (ENI) in das angegebene Subnetz in Ihrem AWS Konto ein. Die Elastic Network-Schnittstelle ist die Schnittstelle für die Interaktion mit dem HSM. Das HSM befindet sich in einer separaten VPC in einem AWS Konto, das Eigentum von ist. AWS CloudHSM Das HSM und die entsprechende Netzwerkschnittstelle befinden sich in derselben Availability Zone.
Um mit den HSMs in einem Cluster zu interagieren, benötigen Sie die Client-Software. AWS CloudHSM Normalerweise installieren Sie den Client auf Amazon EC2-Instances, den so genannten Client-Instances, die sich in derselben VPC befinden wie die HSM ENIs, wie in der folgenden Abbildung gezeigt. Das ist technisch nicht erforderlich, Sie können den Client auf jedem kompatiblen Computer installieren, solange er eine Verbindung mit dem HSM ENIs einrichten kann. Der Client kommuniziert mit den einzelnen HSMs in Ihrem Cluster über ihre ENIs.
Die folgende Abbildung stellt einen AWS CloudHSM Cluster mit drei HSMs dar, die sich jeweils in einer anderen Availability Zone in der VPC befinden.
Synchronisierung von Clustern
AWS CloudHSM Hält in einem AWS CloudHSM Cluster die Schlüssel auf den einzelnen HSMs synchron. Sie brauchen die Schlüssel auf Ihren HSMs nicht manuell zu synchronisieren. Um die Benutzer und Richtlinien auf jedem HSM synchron zu halten, aktualisieren Sie die AWS CloudHSM Client-Konfigurationsdatei, bevor Sie HSM-Benutzer verwalten. Weitere Informationen finden Sie unter Aufrechthalten der Synchronität von HSM-Benutzern.
Wenn Sie einem Cluster ein neues HSM hinzufügen, AWS CloudHSM erstellt eine Sicherungskopie aller Schlüssel, Benutzer und Richtlinien auf einem vorhandenen HSM. Anschließend stellt es diese Sicherung auf dem neuen HSM wieder her. Auf diese Weise wird sichergestellt, dass die beiden HSMs synchronisiert bleiben.
Wenn die HSMs in einem Cluster nicht mehr synchronisiert AWS CloudHSM werden, werden sie automatisch neu synchronisiert. Um dies zu aktivieren, werden die Anmeldeinformationen des Appliance-Benutzers AWS CloudHSM verwendet. Dieser Benutzer ist auf allen HSMs vorhanden, die von bereitgestellt werden, AWS CloudHSM und verfügt über eingeschränkte Berechtigungen. Er kann einen Hash von Objekten auf dem HSM erhalten und maskierte (verschlüsselte) Objekte extrahieren und einfügen. AWS kann Ihre Benutzer oder Schlüssel weder anzeigen oder ändern, noch mit diesen Schlüsseln kryptografischen Operationen durchführen.
Hohe Verfügbarkeit und Load Balancing von Clustern
Wenn Sie einen AWS CloudHSM Cluster mit mehr als einem HSM erstellen, erhalten Sie automatisch einen Lastenausgleich. Load Balancing bedeutet, dass der AWS CloudHSM -Client kryptografische Operationen über alle HSMs in dem Cluster verteilt, basierend auf der Kapazität jedes HSM für zusätzliche Verarbeitungsleistungen.
Wenn Sie die HSMs in verschiedenen AWS Availability Zones erstellen, erhalten Sie automatisch Hochverfügbarkeit. Hohe Verfügbarkeit bedeutet, dass Sie die Zuverlässigkeit verbessern, da keines der HSMs für sich einen Single Point of Failure darstellt. Wir empfehlen, dass Sie mindestens zwei HSMs in jedem Cluster haben, wobei sich jedes HSM in verschiedenen Availability Zones innerhalb einer Region befindet. AWS
Die folgende Abbildung zeigt z. B. eine Oracle-Datenbankanwendung, die auf zwei verschiedene Availability Zones verteilt ist. Die Datenbank-Instances speichern ihre Masterschlüssel in einem Cluster, der in jeder Availability Zone ein HSM enthält. AWS CloudHSM synchronisiert die Schlüssel automatisch mit beiden HSMs, sodass sie sofort zugänglich und redundant sind.
