Escale su clúster para gestionar los picos de tráfico.Diseñe su clúster para conseguir una alta disponibilidad.Tenga, al menos, tres HSM para garantizar la durabilidad de las claves recién generadas.Acceso seguro a su clúster Reduzca los costos escalando en función de sus necesidades.

Prácticas recomendadas de administración de clústeres de AWS CloudHSM

Siga las prácticas recomendadas de esta sección para crear su clúster de AWS CloudHSM, acceder a él y administrarlo.

Escale su clúster para gestionar los picos de tráfico.

Existen varios factores que pueden influir en el rendimiento máximo que puede gestionar su clúster, tales como el tamaño de la instancia de cliente, el tamaño del clúster, la topografía de la red y las operaciones criptográficas que necesite para su caso de uso.

Como punto de partida, consulte el tema Información de desempeño de AWS CloudHSM para obtener más información sobre las estimaciones de rendimiento en los tamaños y configuraciones de clúster más comunes. Le recomendamos que realice una prueba de carga de su clúster con la carga máxima prevista para determinar si su arquitectura actual es resiliente y tiene la escala adecuada.

Diseñe su clúster para conseguir una alta disponibilidad.

Añada redundancia para tener en cuenta el mantenimiento: AWS puede sustituir su HSM en caso de mantenimiento programado o si detecta un problema. Como regla general, el tamaño del clúster debe tener una redundancia de, al menos, +1. Por ejemplo, si necesita dos HSM para que su servicio funcione en las horas punta, el tamaño ideal de su clúster será de tres. Si sigue las prácticas de disponibilidad recomendadas, estas sustituciones de HSM no deberían afectar a su servicio. Sin embargo, es posible que las operaciones en curso en el HSM sustituido fallen. En tal caso, deberán realizarse de nuevo.

Distribuya sus HSM en distintas zonas de disponibilidad: considere cómo funcionará su servicio si se produce una interrupción en la zona de disponibilidad. AWSrecomienda que distribuya sus HSM en tantas zonas de disponibilidad como sea posible. En el caso de un clúster con tres HSM, debería distribuir los HSM en tres zonas de disponibilidad. En función de su sistema, es posible que necesite redundancia adicional.

Tenga, al menos, tres HSM para garantizar la durabilidad de las claves recién generadas.

En el caso de las aplicaciones que requieren la durabilidad de las claves recién generadas, le recomendamos al menos tres instancias de HSM distribuidas en todas las zonas de disponibilidad de una región.

Acceso seguro a su clúster

Use subredes privadas para limitar el acceso a su instancia: lance sus HSM e instancias de cliente en las subredes privadas de su VPC. Esto limita el acceso a sus HSM desde el exterior.

Use puntos de conexión de VPC para acceder a las API: el plano de datos de AWS CloudHSM está diseñado para funcionar sin necesidad de acceso a internet o a las API de AWS. Si su instancia de cliente necesita acceder a la API de AWS CloudHSM, puede usar puntos de conexión de VPC para acceder a la API sin necesidad de contar con acceso a internet en su instancia de cliente. Para obtener más información, consulte AWS CloudHSM y los puntos de enlace de la VPC.

Reduzca los costos escalando en función de sus necesidades.

Su uso de AWS CloudHSM no conlleva costos iniciales. Usted paga una tarifa por hora por cada HSM que lance hasta que cancele el HSM. Si su servicio no requiere un uso continuado de AWS CloudHSM, puede reducir los costos reduciendo verticalmente (eliminando) los HSM a cero cuando no los necesite. Cuando vuelva a necesitar los HSM, podrá restaurarlos a partir de una copia de seguridad. Si, por ejemplo, tiene una carga de trabajo que requiere que firme el código una vez al mes, concretamente el último día del mes, puede escalar su clúster antes, reducirlo verticalmente eliminando los HSM una vez finalizado el trabajo y, a continuación, restaurar el clúster para realizar de nuevo las operaciones de firma a finales del mes siguiente.

AWS CloudHSM realiza automáticamente copias de seguridad periódicas de los HSM del clúster. Cuando añada un nuevo HSM con posterioridad, AWS CloudHSM restaurará la última copia de seguridad en el nuevo HSM para que pueda reanudar su uso desde el mismo lugar en el que lo dejó. Para calcular los costos de su arquitectura de AWS CloudHSM, consulte los Precios de AWS CloudHSM.

Recursos relacionados:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas

Administración de usuarios