Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar AWS CloudHSM clústeres
Puede administrar AWS CloudHSM los clústeres desde la AWS CloudHSM
consola
Para crear un clúster, consulte Introducción.
Arquitectura de clúster
Al crear un clúster, debe especificar una Amazon Virtual Private Cloud (VPC) en su AWS cuenta y una o más subredes en esa VPC. Le recomendamos que cree una subred en cada zona de disponibilidad (AZ) de la región que elija. AWS Puede crear subredes privadas al crear una VPC. Para obtener más información, consulte Cree una nube privada virtual (VPC)..
Cada vez que crea un HSM, debe especificar el clúster y la zona de disponibilidad del HSM. Al colocar los HSM en diferentes zonas de disponibilidad, obtiene redundancia y alta disponibilidad en el caso de que una zona de disponibilidad no esté disponible.
Al crear un HSM, AWS CloudHSM coloca una interfaz de red elástica (ENI) en la subred especificada de su AWS cuenta. La interfaz de red elástica es la que se usa para interactuar con el HSM. El HSM reside en una VPC independiente en AWS una cuenta que es propiedad de. AWS CloudHSM El HSM y su interfaz de red correspondiente se encuentran en la misma zona de disponibilidad.
Para interactuar con los HSM de un clúster, necesita el AWS CloudHSM software de cliente. Por lo general, se instala al cliente en instancias de Amazon EC2 denominadas instancias de cliente, que residen en la misma VPC que los ENI de los HSM, tal y como se muestra en la siguiente ilustración. Esto no es necesario desde el punto de vista técnico; puede instalar el cliente en cualquier equipo compatible, siempre que pueda conectarse a las ENI de los HSM. El cliente se comunica con cada uno de los HSM del clúster a través de sus ENI.
La siguiente figura representa un AWS CloudHSM clúster con tres HSM, cada uno en una zona de disponibilidad diferente de la VPC.
Sincronización de clúster
En un AWS CloudHSM clúster, AWS CloudHSM mantiene sincronizadas las claves de los HSM individuales. No tiene que hacer nada para sincronizar las claves en los HSM. Para mantener sincronizados los usuarios y las políticas de cada HSM, actualice el archivo de configuración del AWS CloudHSM cliente antes de administrar los usuarios del HSM. Para obtener más información, consulte Mantener sincronizados los usuarios de HSM.
Al añadir un HSM nuevo a un clúster, AWS CloudHSM hace una copia de seguridad de todas las claves, usuarios y políticas de un HSM existente. A continuación, restaura ese backup en el nuevo HSM. De este modo, los dos HSM permanecen sincronizados.
Si los HSM de un clúster no están sincronizados, los resincroniza AWS CloudHSM automáticamente. Para habilitarlo, AWS CloudHSM utiliza las credenciales del usuario del dispositivo. Este usuario existe en todos los HSM proporcionados por AWS CloudHSM y tiene permisos limitados. Puede obtener un hash de los objetos del HSM, así como insertar y extraer objetos enmascarados (cifrados). AWS no puede ver ni modificar los usuarios ni las claves y no puede realizar operaciones criptográficas utilizando estas claves.
Alta disponibilidad y balanceo de carga del clúster
Al crear un AWS CloudHSM clúster con más de un HSM, se obtiene automáticamente el equilibrio de carga. El balanceo de carga significa que el cliente de AWS CloudHSM distribuye las operaciones criptográficas entre todos los HSM del clúster en función de la capacidad de procesamiento adicional de cada uno de ellos.
Al crear los HSM en distintas zonas de AWS disponibilidad, se obtiene automáticamente una alta disponibilidad. Alta disponibilidad significa que obtiene mayor fiabilidad porque ningún HSM es un punto único de error. Se recomienda tener un mínimo de dos HSM en cada clúster, y que cada HSM se encuentre en distintas zonas de disponibilidad dentro de una región. AWS
Por ejemplo, en la figura siguiente se muestra una aplicación de base de datos Oracle que está distribuida en dos zonas de disponibilidad. Las instancias de base de datos almacenan sus claves maestras en un clúster que incluye un HSM en cada zona de disponibilidad. AWS CloudHSM sincroniza automáticamente las claves con ambos HSM para que sean inmediatamente accesibles y redundantes.
