AWS CloudHSM Paramètres de configuration du client SDK 5 - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudHSM Paramètres de configuration du client SDK 5

La liste suivante répertorie les paramètres permettant de configurer AWS CloudHSM le Client SDK 5.

-a <ENI IP address>

Ajoute l'adresse IP spécifiée aux fichiers de configuration du Client SDK 5. Entrez n'importe quelle adresse ENI IP d'une adresse IP HSM provenant du cluster. Pour plus d'informations sur l'utilisation de cette option, consultez Bootstrap Client SDK 5.

Obligatoire : oui

--hsm-ca-cert <customerCA certificate file path>

Chemin d'accès au répertoire stockant le certificat d'autorité de certification (CA) utilisé pour connecter les instances EC2 clientes au cluster. Il s'agit du fichier que vous avez créé lorsque vous avez initialisé le cluster. Par défaut, le système recherche ce fichier dans l'emplacement suivant :

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Pour plus d'informations sur l'initialisation du cluster ou le placement du certificat, consultez Placez le certificat émetteur sur chaque EC2 instance et Initialisez le cluster dans AWS CloudHSM.

Obligatoire : non

--identifiant de cluster <cluster ID>

Effectue un DescribeClusters appel pour rechercher toutes les adresses IP HSM Elastic Network Interface (ENI) du cluster associées à l'ID du cluster. Le système ajoute les adresses ENI IP aux fichiers AWS CloudHSM de configuration.

Note

Si vous utilisez le --cluster-id paramètre à partir d'une EC2 instance VPC qui n'a pas accès à l'Internet public, vous devez créer un point de VPC terminaison d'interface auquel vous connecter AWS CloudHSM. Pour plus d'informations sur les points de terminaison VPC, consultez AWS CloudHSM et points de VPC terminaison.

Obligatoire : non

--point de terminaison <endpoint>

Spécifiez le AWS CloudHSM API point de terminaison utilisé pour effectuer l'DescribeClustersappel. Vous devez définir cette option en combinaison avec --cluster-id.

Obligatoire : non

--région <region>

Spécifiez la région de votre cluster. Vous devez définir cette option en combinaison avec --cluster-id.

Si vous ne fournissez pas le paramètre --region, le système choisit la région en essayant de lire les variables d'environnement AWS_DEFAULT_REGION ou AWS_REGION. Si ces variables ne sont pas définies, le système vérifie la région associée à votre profil dans votre fichier de AWS configuration (généralement~/.aws/config) sauf si vous avez spécifié un autre fichier dans la variable d'AWS_CONFIG_FILEenvironnement. Si aucune des options ci-dessus n'est définie, le système utilise par défaut la région us-east-1.

Obligatoire : non

--server-client-cert-file <client certificate file path>

Chemin d'accès au certificat client utilisé pour l'authentification mutuelle TLS client-serveur.

N'utilisez cette option que si vous ne souhaitez pas utiliser la clé par défaut et le TLS certificatSSL/que nous incluons dans Client SDK 5. Vous devez définir cette option en combinaison avec --server-client-key-file.

Obligatoire : non

--server-client-key-file <client key file path>

Chemin d'accès à la clé client utilisée pour l'TLSauthentification mutuelle client-serveur.

N'utilisez cette option que si vous ne souhaitez pas utiliser la clé par défaut et le TLS certificatSSL/que nous incluons dans Client SDK 5. Vous devez définir cette option en combinaison avec --server-client-cert-file.

Obligatoire : non

-- client-cert-hsm-tls -fichier <client certificate hsm tls path>

Chemin d'accès au certificat client utilisé pour l'authentification HSM mutuelle entre TLS clients.

N'utilisez cette option que si vous avez enregistré au moins une ancre de HSM confiance sur Cloud HSMCLI. Vous devez définir cette option en combinaison avec --client-key-hsm-tls-file.

Obligatoire : non

-- client-key-hsm-tls -fichier <client key hsm tls path>

Chemin d'accès à la clé client utilisée pour l'authentification HSM mutuelle entre TLS clients.

N'utilisez cette option que si vous avez enregistré au moins une ancre de HSM confiance sur Cloud HSMCLI. Vous devez définir cette option en combinaison avec --client-cert-hsm-tls-file.

Obligatoire : non

--log-level <error | warn | info | debug | trace>

Spécifie le niveau de journalisation minimal que le système doit écrire dans le fichier journal. Chaque niveau inclut les niveaux précédents, où « error » est le niveau minimum et « trace » le niveau maximum. Cela signifie que si vous spécifiez des erreurs, le système écrit uniquement les erreurs dans le journal. Si vous spécifiez le suivi, le système écrit les erreurs, les avertissements, les messages d'information (info) et de débogage dans le journal. Pour plus d'informations, consultez la section Journalisation du client SDK 5.

Obligatoire : non

--log-rotation <daily | weekly>

Spécifie la fréquence à laquelle le système fait pivoter les journaux. Pour plus d'informations, consultez la section Journalisation du client SDK 5.

Obligatoire : non

--fichier journal <file name with path>

Spécifie l'endroit où le système écrira le fichier journal. Pour plus d'informations, consultez la section Journalisation du client SDK 5.

Obligatoire : non

--log-type <term | file>

Spécifie si le système doit écrire le journal dans un fichier ou un terminal. Pour plus d'informations, consultez la section Journalisation du client SDK 5.

Obligatoire : non

-h | --help

Affiche l'aide.

Obligatoire : non

-v | --version

Affiche la version.

Obligatoire : non

--disable-key-availability-check

Drapeau pour désactiver le quorum de disponibilité des clés. Utilisez cet indicateur pour indiquer que le quorum de disponibilité des clés AWS CloudHSM doit être désactivé et que vous pouvez utiliser des clés qui n'existent que sur une HSM seule clé du cluster. Pour plus d'informations sur l'utilisation de cet indicateur pour définir le quorum de disponibilité des clés, consultez Gestion des paramètres de durabilité des clés du client.

Obligatoire : non

--enable-key-availability-check

Drapeau pour activer le quorum de disponibilité des clés. Utilisez cet indicateur pour indiquer que vous AWS CloudHSM devez utiliser le quorum de disponibilité des clés et ne pas vous autoriser à utiliser des clés tant que ces clés n'existent pas sur deux HSMs des deux membres du cluster. Pour plus d'informations sur l'utilisation de cet indicateur pour définir le quorum de disponibilité des clés, consultez Gestion des paramètres de durabilité des clés du client.

Activée par défaut.

Obligatoire : non

-- disable-validate-key-at -init

Améliore les performances en spécifiant que vous pouvez ignorer un appel d'initialisation afin de vérifier les autorisations sur une clé pour les appels suivants. À utiliser avec précaution.

Contexte : Certains mécanismes de la bibliothèque PKCS #11 prennent en charge les opérations en plusieurs parties dans le cadre desquelles un appel d'initialisation vérifie si vous pouvez utiliser la clé pour les appels suivants. Cela nécessite un appel de vérification auHSM, ce qui ajoute de la latence à l'opération globale. Cette option vous permet de désactiver l'appel suivant et d'améliorer potentiellement les performances.

Obligatoire : non

-- enable-validate-key-at -init

Spécifie que vous devez utiliser un appel d'initialisation pour vérifier les autorisations sur une clé pour les appels suivants. Il s’agit de l’option par défaut. Utilisez enable-validate-key-at-init pour reprendre ces appels d'initialisation après les avoir suspendus via disable-validate-key-at-init.

Obligatoire : non