Conectar el cliente SDK al AWS CloudHSM clúster - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conectar el cliente SDK al AWS CloudHSM clúster

Para conectarse al clúster con el Cliente SDK 5 o el Cliente SDK 3, primero debe hacer dos cosas:

  • Contar con un certificado de emisión en la EC2 instancia

  • Inicie el cliente en SDK el clúster

Coloque el certificado de emisión en cada instancia EC2

Crea el certificado de emisión al inicializar el clúster. Copie el certificado de emisión en la ubicación predeterminada de la plataforma en cada EC2 instancia que se conecte al clúster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Especifique la ubicación del certificado de emisión.

Con el Cliente SDK 5, se utiliza la herramienta de configuración para especificar la ubicación del certificado de emisión.

PKCS #11 library
Para colocar el certificado de emisión en Linux para el Cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Para colocar el certificado de emisión en Windows para el cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Para colocar el certificado de emisión en Linux para el Cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
Key Storage Provider (KSP)
Para colocar el certificado de emisión en Windows para el cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    "C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --hsm-ca-cert <customerCA certificate file>
JCE provider
Para colocar el certificado de emisión en Linux para el Cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Para colocar el certificado de emisión en Windows para el cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Para colocar el certificado de emisión en Linux para el Cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Para colocar el certificado de emisión en Windows para el cliente SDK 5
  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión.

    "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Para obtener más información, consulte Herramienta de configuración.

Para obtener más información sobre la inicialización del clúster o la creación y firma del certificado, consulte Inicializar el clúster.

Inicie el cliente SDK

El proceso de arranque es diferente según la versión del cliente SDK que utilice, pero debe tener la dirección IP de uno de los módulos de seguridad de hardware (HSM) del clúster. Puede usar la dirección IP de cualquier dirección IP HSM conectada al clúster. Una vez que el cliente SDK se conecta, recupera las direcciones IP de las demás HSMs y realiza las operaciones de equilibrio de carga y sincronización de claves del lado del cliente.

Para obtener una dirección IP para una HSM (consola)
  1. Abre la AWS CloudHSM consola en https://console.aws.amazon.com/cloudhsm/casa.

  2. Para cambiar la región de AWS, utilice el Region selector (Selector de regiones) en la esquina superior derecha de la página.

  3. Para abrir la página de detalles del clúster, en la tabla de clústeres, elija el ID del clúster.

  4. Para obtener la dirección IP, vaya a la HSMs pestaña. Para IPv4 los clústeres, elija una dirección que aparezca en la lista ENIIPv4Dirección. Para los clústeres de doble pila, utilice la dirección ENI IPv4 o la ENIIPv6dirección.

Para obtener una dirección IP para un HSM ()AWS CLI
  • Obtenga la dirección IP de an HSM mediante el describe-clusters comando de AWS CLI. En el resultado del comando, la dirección IP de HSMs son los valores de EniIp y EniIpV6 (si se trata de un clúster de doble pila).

    $ aws cloudhsmv2 describe-clusters { "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733", ...

Para obtener más información sobre las acciones de arranque, consulte la Herramienta de configuración.

PKCS #11 library
Para iniciar una EC2 instancia de Linux para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de un miembro HSM de su clúster.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Para iniciar una EC2 instancia de Windows para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de un miembro HSM de su clúster.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Para iniciar una EC2 instancia de Linux para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de un miembro HSM de su clúster.

    $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
Key Storage Provider (KSP)
Para iniciar una EC2 instancia de Windows para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de un miembro HSM de su clúster.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a <HSM IP addresses>
JCE provider
Para iniciar una EC2 instancia de Linux para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de un miembro HSM de su clúster.

    $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Para iniciar una EC2 instancia de Windows para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de un miembro HSM de su clúster.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Para iniciar una EC2 instancia de Linux para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de los HSM miembros del clúster.

    $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IPv4 / IPv6 addresses of the HSMs>
Para iniciar una EC2 instancia de Windows para el Cliente 5 SDK
  • Use la herramienta de configuración para especificar la dirección IP de los HSM miembros del clúster.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IPv4 / IPv6 addresses of the HSMs>
nota

puede usar el parámetro –-cluster-id en lugar de -a <HSM_IP_ADDRESSES>. Para ver los requisitos de uso de –-cluster-id, consulte AWS CloudHSM Herramienta de configuración Client SDK 5.

Para iniciar una EC2 instancia de Linux para el Cliente 3 SDK
  • Se usa configure para especificar la dirección IP de un miembro HSM de su clúster.

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Para iniciar una EC2 instancia de Windows para el Cliente 3 SDK
  • Se usa configure para especificar la dirección IP de un miembro HSM del clúster.

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Para obtener más información sobre la configuración, consulte AWS CloudHSM herramienta de configuración.