Parámetros de configuración de Client SDK 5 de AWS CloudHSM - AWS CloudHSM

Parámetros de configuración de Client SDK 5 de AWS CloudHSM

A continuación, se presenta una lista de parámetros para configurar Client SDK 5 de AWS CloudHSM.

-a <ENI IP address>

Agregue la dirección IP especificada a los archivos de configuración de SDK 5 de cliente. Introduzca cualquier dirección IP de ENI de un HSM del clúster. Para obtener más información acerca de cómo usar esta opción, consulte Iniciar SDK 5 de cliente.

Obligatorio: sí

--hsm-ca-cert <customerCA certificate file path>

Ruta al directorio que almacena el certificado de la entidad de certificación (CA) que se utiliza para conectar las instancias de cliente de EC2 al clúster. Este archivo se crea al inicializar el clúster. De forma predeterminada, el sistema busca este archivo en la siguiente ubicación:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Para obtener más información sobre la inicialización del clúster o la colocación del certificado, consulte Colocación del certificado de emisión en cada instancia de EC2 yInicializar el clúster en AWS CloudHSM.

Requerido: no

--cluster-id <cluster ID>

Realiza una llamada DescribeClusters para buscar todas las direcciones IP de la interfaz de red elástica (ENI) de HSM en el clúster asociado al ID del clúster. El sistema agrega las direcciones IP de la ENI a los archivos de configuración de AWS CloudHSM.

nota

Si utiliza el parámetro --cluster-id de una instancia EC2 dentro de una VPC que no tiene acceso a la Internet pública, usted debe crear un punto de conexión de VPC de interfaz con el cual conectarse con AWS CloudHSM. Para obtener más información acerca de los puntos de conexión de VPC, consulte AWS CloudHSM y los puntos de enlace de la VPC.

Requerido: no

--punto de conexión <endpoint>

Especifique el punto de conexión de la API de AWS CloudHSM utilizada para realizar la llamada DescribeClusters. Debe configurar esta opción en combinación con --cluster-id.

Requerido: no

--region <region>

Especifique la región de su clúster. Debe configurar esta opción en combinación con --cluster-id.

Si no proporciona el parámetro --region, el sistema elige la región intentando leer las variables de entorno AWS_DEFAULT_REGION o AWS_REGION. Si esas variables no están configuradas, el sistema comprueba la región asociada a su perfil en el archivo AWS Config (normalmente ~/.aws/config), a menos que haya especificado un archivo diferente en la variable de entorno de AWS_CONFIG_FILE. Si no se establece ninguna de las opciones anteriores, el sistema utilizará la región us-east-1 de forma predeterminada.

Requerido: no

--server-client-cert-file <client certificate file path>

Ruta al certificado de cliente utilizado para la autenticación mutua de TLS cliente-servidor.

Utilice esta opción únicamente si no desea utilizar la clave y el certificado SSL/TLS predeterminados que incluimos en SDK 5 de cliente. Debe configurar esta opción en combinación con --server-client-key-file.

Requerido: no

--server-client-key-file <client key file path>

Ruta a la clave de cliente utilizada para la autenticación mutua cliente-servidor de TLS.

Utilice esta opción únicamente si no desea utilizar la clave y el certificado SSL/TLS predeterminados que incluimos en SDK 5 de cliente. Debe configurar esta opción en combinación con --server-client-cert-file.

Requerido: no

--client-cert-hsm-tls-file <client certificate hsm tls path>

Ruta al certificado de cliente usado para la autenticación mutua cliente-servidor de TLS.

Use esta opción solo si ha registrado al menos un anclaje de veracidad en el HSM con la CLI de CloudHSM. Debe configurar esta opción en combinación con --client-key-hsm-tls-file.

Requerido: no

--client-key-hsm-tls-file <client key hsm tls path>

Ruta a la clave de cliente usada para la autenticación mutua cliente-servidor de TLS.

Use esta opción solo si ha registrado al menos un anclaje de veracidad en el HSM con la CLI de CloudHSM. Debe configurar esta opción en combinación con --client-cert-hsm-tls-file.

Requerido: no

--log-level <error | warn | info | debug | trace>

Especifica el nivel de registro mínimo que el sistema debe escribir en el archivo de registro. Cada nivel incluye los niveles anteriores, con el error como nivel mínimo y el seguimiento como nivel máximo. Esto significa que si especifica errores, el sistema solo escribirá los errores en el registro. Si especifica el seguimiento, el sistema escribe los errores, las advertencias y los mensajes informativos (información) y de depuración en el registro. Para obtener más información, consulte Registro de Cliente SDK 5.

Requerido: no

--log-rotation <daily | weekly>

Especifica la frecuencia con la que el sistema rota los registros. Para obtener más información, consulte Registro de Cliente SDK 5.

Requerido: no

--log-file <file name with path>

Especifica dónde escribirá el sistema el archivo de registro. Para obtener más información, consulte Registro de Cliente SDK 5.

Requerido: no

--log-type <term | file>

Especifica si el sistema escribirá el registro en un archivo o terminal. Para obtener más información, consulte Registro de Cliente SDK 5.

Requerido: no

-h | --help

Muestra ayuda.

Requerido: no

-v | --versión

Muestra la versión.

Requerido: no

--disable-key-availability-check

Marcador para deshabilitar el cuórum de disponibilidad de claves. Use este marcador para indicar que AWS CloudHSM debe deshabilitar el cuórum de disponibilidad de claves y usted puede usar claves que solo existan en un HSM del clúster. Para obtener más información sobre el uso de este marcador para establecer el cuórum de disponibilidad de claves, consulte Gestión de la configuración de durabilidad de la clave del cliente.

Requerido: no

--enable-key-availability-check

Marcador para habilitar el cuórum de disponibilidad de claves. Use este marcador para indicar que AWS CloudHSM debe utilizarse el cuórum de disponibilidad de claves y no permitirle usar claves hasta que esas claves estén en dos HSM del clúster. Para obtener más información sobre el uso de este marcador para establecer el cuórum de disponibilidad de claves, consulte Gestión de la configuración de durabilidad de la clave del cliente.

Está habilitado de forma predeterminada.

Requerido: no

--disable-validate-key-at-init

Mejora el rendimiento al especificar que puede omitir una llamada de inicialización para comprobar los permisos de una clave en llamadas posteriores. Utilice esta opción con precaución.

Antecedentes: algunos mecanismos de la biblioteca PKCS #11 admiten operaciones de varias partes, en las que una llamada de inicialización verifica si se puede utilizar la clave para llamadas posteriores. Esto requiere una llamada de verificación al HSM, lo que añade latencia a la operación general. Esta opción le permite deshabilitar la llamada posterior y, potencialmente, mejorar el rendimiento.

Requerido: no

--enable-validate-key-at-init

Especifica que debe usar una llamada de inicialización para verificar los permisos de una clave para las llamadas posteriores. Esta es la opción predeterminada. Utilice enable-validate-key-at-init para reanudar estas llamadas de inicialización después de utilizar disable-validate-key-at-init para suspenderlas.

Requerido: no