Sincronizar claves en todo el clúster del AWS CloudHSM mediante la CMU - AWS CloudHSM

Sincronizar claves en todo el clúster del AWS CloudHSM mediante la CMU

Use el comando syncKey en la cloudhsm_mgmt_util del AWS CloudHSM para sincronizar manualmente las claves entre las instancias del HSM en un clúster o entre clústeres clonados. En general, no es preciso utilizar este comando, puesto que las instancias de HSM dentro de un clúster sincronizan las claves automáticamente. Sin embargo, la sincronización de claves entre clústeres clonados debe realizarse manualmente. Los clústeres clonados suelen crearse en diferentes regiones de AWS con el fin de simplificar el escalado global y los procesos de recuperación de desastres.

No puede utilizar syncKey para sincronizar claves entre clústeres arbitrarios: uno de los clústeres debe haberse creado a partir de una copia de seguridad del otro. Además, ambos clústeres deben tener las credenciales de CO y CU coherentes para que la operación se lleve a cabo correctamente. Para obtener más información, consulte Usuarios de HSM.

Para utilizar syncKey, primero debe crear un archivo de configuración de AWS CloudHSM en el que se especifique un HSM correspondiente al clúster de origen y uno correspondiente al de destino. Esto permitirá a cloudhsm_mgmt_util conectarse a ambas instancias de HSM. Utilice este archivo de configuración para iniciar cloudhsm_mgmt_util. A continuación, inicie sesión con las credenciales de un CO o un CU que tenga las claves que desea sincronizar.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Responsables de criptografía (CO)

  • Usuarios de criptografía (CU)

nota

Los CO pueden utilizar syncKey con todas las claves; en cambio, los CU solo pueden utilizar este comando con las claves que les pertenecen. Para obtener más información, consulte Tipos de usuarios del HSM en la utilidad de administración de AWS CloudHSM.

Requisitos previos

Antes de comenzar, debe conocer el key handle de la clave del HSM de origen que hay que sincronizar con el HSM de destino. Si desea buscar el key handle, utilice el comando listUsers para enumerar todos los identificadores de los usuarios designados. A continuación, utilice el comando findAllKeys para encontrar todas las claves que pertenecen a un usuario determinado.

También debe conocer los server IDs asignados a los HSM de origen y de destino, que se muestran en la salida de rastreo devuelta por cloudhsm_mgmt_util al iniciarse. Estos se asignan en el mismo orden con que aparecen los HSM en el archivo de configuración.

Siga las instrucciones de Uso de CMU en clústeres clonados e inicialice cloudhsm_mgmt_util con el archivo de configuración nuevo. A continuación, entre en el modo de servidor en el HSM; para ello, ejecute el comando server.

Sintaxis

nota

Para ejecutar syncKey, en primer lugar, entre en el modo de servidor en el HSM que contiene la clave que se va a sincronizar.

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

Tipo de usuario: usuario de criptografía (CU)

syncKey <key handle> <destination hsm>

Ejemplo

Ejecute el comando server para iniciar sesión en el HSM de origen y entrar en el modo de servidor. En este ejemplo, se supone que server 0 es el HSM de origen.

aws-cloudhsm> server 0

A continuación, ejecute el comando syncKey. En este ejemplo, se supone que la clave 261251 se va a sincronizar con server 1.

aws-cloudhsm> syncKey 261251 1 syncKey success

Argumentos

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

syncKey <key handle> <destination hsm>
<key handle>

Especifica el identificador de la clave que se va a sincronizar. Puede especificar una única clave en cada comando. Para obtener el identificador de una clave, utilice findAllKeys mientras tiene una sesión iniciada en un servidor de HSM.

Obligatorio: sí

<destination hsm>

Especifica el número del servidor con el que se va a sincronizar una clave.

Obligatorio: sí

Temas relacionados de