Clústeres clonados en AWS CloudHSM
Utilice la Utilidad de administración de AWS CloudHSM (CMU) para sincronizar un clúster en una región remota, si el clúster de esa región se creó originalmente a partir de la copia de seguridad de un clúster de otra región. Supongamos que ha copiado un clúster en otra región (destino) y, posteriormente, desea sincronizar los cambios del clúster original (origen). En escenarios como este, se utiliza la CMU para sincronizar los clústeres. Para ello, debe crear un nuevo archivo de configuración de la CMU, especificar los módulos de seguridad de hardware (HSM) de ambos clústeres del nuevo archivo y, a continuación, utilizar la CMU para conectarse al clúster con ese archivo.
Cómo usar CMU en clústeres clonados
-
Cree una copia del archivo de configuración actual y cambie el nombre de la copia por otro.
Por ejemplo, utilice las siguientes ubicaciones de archivos para buscar y crear una copia del archivo de configuración actual y, a continuación, cambie el nombre de la copia de
cloudhsm_mgmt_config.cfg
asyncConfig.cfg
.-
Linux:
/opt/cloudhsm/etc/cloudhsm_mgmt_config.cfg
-
Windows:
C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_config.cfg
-
-
En la copia cuyo nombre ha cambiado, añada la IP de la interfaz de red elástica (ENI) del HSM de destino (el HSM de la región extranjera que debe sincronizarse). Se recomienda añadir el HSM de destino debajo del HSM de origen.
{ ... "servers": [ { ... "hostname": "
<ENI Source IP>
", ... }, { ... "hostname": "<ENI Destination IP>
", ... } ] }Para obtener más información sobre los filtros de direcciones IP, consulte Obtención de una dirección IP para un HSM.
-
Inicialice la CMU con el nuevo archivo de configuración:
-
Compruebe los mensajes de estado devueltos con el fin de asegurarse de que está conectado a todos los HSM y determinar cuál de las direcciones IP de la ENI devueltas corresponde a cada clúster. Use syncUser y SyncKey para sincronizar manualmente los usuarios y las claves. Para obtener más información, consulte syncUser y syncKey.
Obtención de una dirección IP para un HSM
Utilice esta sección para obtener una dirección IP para un HSM.
Para obtener una dirección IP para un HSM (consola)
Abra la consola de AWS CloudHSM en https://console.aws.amazon.com/cloudhsm/home
. -
Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la página.
-
Para abrir la página de detalles del clúster, en la tabla de clústeres, elija el ID del clúster.
-
Para obtener la dirección IP, vaya a la pestaña HSM y elija una de las direcciones IP que aparecen en la lista Dirección IP de ENI.
Para obtener una dirección IP para un HSM (AWS CLI)
-
Obtenga la dirección IP de un HSM mediante el comando describe-clusters del AWS CLI. En el resultado del comando, la dirección IP de los HSM son los valores de
EniIp
.$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...