AWS CloudHSM Klien SDK 5 parameter konfigurasi

Menambahkan alamat IP yang ditentukan ke file konfigurasi Klien SDK 5. Masukkan alamat ENI IP apa pun HSM dari cluster. Untuk informasi selengkapnya tentang cara menggunakan opsi ini, lihat Bootstrap Client SDK 5.

Wajib: Ya

Path ke direktori yang menyimpan sertifikat certificate authority (CA) yang digunakan untuk menghubungkan instance EC2 klien ke cluster. Anda membuat file ini ketika Anda menginisialisasi klaster. Secara default, sistem mencari file ini di lokasi berikut:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Untuk informasi lebih lanjut tentang menginisialisasi klaster atau menempatkan sertifikat, lihat Tempatkan sertifikat penerbitan pada setiap instance EC2 dan Inisialisasi cluster di AWS CloudHSM.

Wajib: Tidak

Membuat DescribeClusters panggilan untuk menemukan semua alamat IP HSM elastic network interface (ENI) di cluster yang terkait dengan ID cluster. Sistem menambahkan alamat ENI IP ke file AWS CloudHSM konfigurasi.

Wajib: Tidak

Tentukan AWS CloudHSM API titik akhir yang digunakan untuk melakukan DescribeClusters panggilan. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Wajib: Tidak

Tentukan wilayah klaster Anda. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Jika Anda tidak menyediakan parameter --region, sistem memilih wilayah dengan mencoba untuk membaca variabel lingkungan AWS_DEFAULT_REGION atau AWS_REGION. Jika variabel tersebut tidak disetel, maka sistem memeriksa wilayah yang terkait dengan profil Anda di file AWS konfigurasi Anda (biasanya~/.aws/config) kecuali Anda menentukan file yang berbeda dalam variabel AWS_CONFIG_FILE lingkungan. Jika tidak ada variabel di atas yang diatur, sistem default ke wilayah us-east-1.

Wajib: Tidak

Jalur ke sertifikat klien yang digunakan untuk otentikasi timbal balik TLS client-server.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default SSL dan/atau TLS sertifikat yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-key-file.

Wajib: Tidak

Jalur ke kunci klien yang digunakan untuk otentikasi timbal balik TLS client-server.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default SSL dan/atau TLS sertifikat yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-cert-file.

Wajib: Tidak

Jalur ke sertifikat klien yang digunakan untuk otentikasi HSM timbal balik TLS klien.

Gunakan opsi ini hanya jika Anda telah mendaftarkan setidaknya satu jangkar kepercayaan ke HSM Cloud HSMCLI. Anda harus menetapkan pilihan ini dalam kombinasi dengan --client-key-hsm-tls-file.

Wajib: Tidak

Jalur ke kunci klien yang digunakan untuk otentikasi HSM timbal balik TLS klien.

Gunakan opsi ini hanya jika Anda telah mendaftarkan setidaknya satu jangkar kepercayaan ke HSM Cloud HSMCLI. Anda harus menetapkan pilihan ini dalam kombinasi dengan --client-cert-hsm-tls-file.

Wajib: Tidak

Menentukan tingkat pencatatan minimum yang harus ditulis sistem ke berkas log. Setiap tingkat termasuk tingkat sebelumnya, dengan kesalahan sebagai tingkat minimum dan melacak tingkat maksimum. Ini berarti bahwa jika Anda menentukan kesalahan, sistem hanya menulis kesalahan ke log. Jika Anda menentukan jejak, sistem menulis kesalahan, peringatan, informasi (info), dan pesan debug ke log. Untuk informasi selengkapnya, lihat Client SDK 5 Logging.

Wajib: Tidak

Menentukan frekuensi sistem memutar log. Untuk informasi selengkapnya, lihat Client SDK 5 Logging.

Wajib: Tidak

Menentukan tempat sistem akan menulis berkas log. Untuk informasi selengkapnya, lihat Client SDK 5 Logging.

Wajib: Tidak

Menentukan apakah sistem akan menulis log ke file atau terminal. Untuk informasi selengkapnya, lihat Client SDK 5 Logging.

Wajib: Tidak

Menampilkan bantuan.

Wajib: Tidak

Menampilkan versi.

Wajib: Tidak

Tandai untuk menonaktifkan kuorum ketersediaan kunci. Gunakan tanda ini untuk menunjukkan AWS CloudHSM harus menonaktifkan kuorum ketersediaan kunci dan Anda dapat menggunakan kunci yang ada hanya pada satu HSM di cluster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.

Wajib: Tidak

Tandai untuk mengaktifkan kuorum ketersediaan kunci. Gunakan tanda ini untuk menunjukkan AWS CloudHSM harus menggunakan kuorum ketersediaan kunci dan tidak mengizinkan Anda menggunakan kunci sampai kunci tersebut ada pada dua HSMs di cluster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.

Diaktifkan secara default.

Wajib: Tidak

Meningkatkan performa dengan menentukan bahwa Anda dapat melewatkan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Berhati-hatilah saat menggunakannya.

Latar Belakang: Beberapa mekanisme di pustaka PKCS #11 mendukung operasi multi-bagian di mana panggilan inisialisasi memverifikasi apakah Anda dapat menggunakan kunci untuk panggilan berikutnya. Ini memerlukan panggilan verifikasi keHSM, yang menambahkan latensi ke keseluruhan operasi. Opsi ini memungkinkan Anda untuk menonaktifkan panggilan berikutnya dan berpotensi meningkatkan performa.

Wajib: Tidak

Menentukan bahwa Anda harus menggunakan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Ini adalah pilihan default. Gunakan enable-validate-key-at-init untuk melanjutkan panggilan inisialisasi ini setelah Anda menggunakan disable-validate-key-at-init untuk menangguhkan mereka.

Wajib: Tidak