Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cloud HSM terintegrasi dengan AWS Resource Access Manager (AWS RAM) untuk mengaktifkan berbagi sumber daya. AWS RAM adalah layanan yang memungkinkan Anda untuk berbagi beberapa HSM sumber daya Cloud dengan yang lain Akun AWS atau melalui AWS Organizations. Dengan AWS RAM, Anda berbagi sumber daya yang Anda miliki dengan membuat pembagian sumber daya. Pembagian sumber daya menentukan sumber daya yang akan dibagikan, dan konsumen yang akan dibagikan. Konsumen dapat mencakup:
-
Khusus Akun AWS di dalam atau di luar organisasinya di AWS Organizations
-
Unit organisasi di dalam organisasinya di AWS Organizations
-
Seluruh organisasi di AWS Organizations
Untuk informasi selengkapnya AWS RAM, lihat Panduan AWS RAM Pengguna.
Topik ini menjelaskan cara berbagi sumber daya yang Anda miliki, dan cara menggunakan sumber daya yang dibagikan dengan Anda.
Daftar Isi
Prasyarat untuk berbagi cadangan
-
Untuk berbagi cadangan, Anda harus memilikinya di Anda Akun AWS. Ini berarti bahwa sumber daya harus dialokasikan atau disediakan di akun Anda. Anda tidak dapat membagikan cadangan yang telah dibagikan dengan Anda.
-
Untuk berbagi cadangan, itu harus di READYnegara bagian.
-
Untuk berbagi cadangan dengan organisasi Anda atau unit organisasi di AWS Organizations, Anda harus mengaktifkan berbagi dengan AWS Organizations. Untuk informasi selengkapnya, lihat Mengaktifkan Berbagi dengan AWS Organizations di Panduan AWS RAM Pengguna.
Berbagi cadangan
Ketika Anda berbagi cadangan dengan yang lain Akun AWS, Anda memungkinkan mereka untuk memulihkan cluster dari cadangan yang berisi kunci dan pengguna yang disimpan dalam cadangan.
Untuk membagikan cadangan, Anda harus menambahkannya ke berbagi sumber daya. Pembagian sumber daya adalah AWS RAM sumber daya yang memungkinkan Anda berbagi sumber daya Anda Akun AWS. Pembagian sumber daya menentukan sumber daya yang akan dibagikan, dan konsumen yang akan berbagi dengan mereka. Saat membagikan cadangan menggunakan HSM konsol Cloud, Anda menambahkannya ke pembagian sumber daya yang ada. Untuk menambahkan cadangan ke pembagian sumber daya baru, Anda harus terlebih dahulu membuat pembagian sumber daya menggunakan AWS RAM
konsol
Jika Anda adalah bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, konsumen di organisasi Anda secara otomatis diberikan akses ke cadangan bersama. Jika tidak, konsumen menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke cadangan bersama setelah menerima undangan.
Anda dapat membagikan cadangan yang Anda miliki menggunakan AWS RAM konsol atau AWS CLI.
Untuk berbagi cadangan yang Anda miliki menggunakan AWS RAM konsol
Lihat Membuat Sumber Daya Bersama di Panduan Pengguna AWS RAM .
Untuk berbagi cadangan yang Anda miliki (AWS RAM perintah)
Gunakan perintah create-resource-share.
Untuk berbagi cadangan yang Anda miliki (HSMperintah Cloud)
penting
Meskipun Anda dapat membagikan cadangan menggunakan HSM PutResourcePolicy operasi Cloud, sebaiknya gunakan AWS Resource Access Manager (AWS RAM) sebagai gantinya. Menggunakan AWS RAM memberikan banyak manfaat karena menciptakan kebijakan untuk Anda, memungkinkan beberapa sumber daya untuk dibagikan sekaligus, dan meningkatkan kemampuan menemukan sumber daya bersama. Jika Anda menggunakan PutResourcePolicy dan ingin konsumen dapat menjelaskan cadangan yang Anda bagikan dengan mereka, Anda harus mempromosikan cadangan ke Pembagian AWS RAM Sumber Daya standar menggunakan operasi. AWS RAM PromoteResourceShareCreatedFromPolicy API
Gunakan perintah put-resource-policy.
-
Buat file bernama
policy.json
dan salin kebijakan berikut ke dalamnya.{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS":"
<consumer-aws-account-id-or-user>
" }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"<arn-of-backup-to-share>
" }] } -
Perbarui
policy.json
dengan cadangan ARN dan pengidentifikasi untuk dibagikan. Contoh berikut memberikan akses read-only ke pengguna root untuk AWS akun yang diidentifikasi oleh 123456789012.{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS": [ "
account-id
" ] }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123" }] }penting
Anda hanya dapat memberikan izin untuk DescribeBackups di tingkat akun. Ketika Anda berbagi cadangan dengan pelanggan lain, prinsipal apa pun yang memiliki DescribeBackups izin di akun itu dapat menjelaskan cadangan.
-
Jalankan perintah put-resource-policy.
$
aws cloudhsmv2 put-resource-policy --resource-arn
<resource-arn>
--policy file://policy.jsoncatatan
Pada titik ini, konsumen dapat menggunakan cadangan tetapi tidak akan muncul dalam DescribeBackups respons dengan parameter bersama. Langkah selanjutnya menjelaskan cara mempromosikan pembagian AWS RAM sumber daya agar cadangan dimasukkan dalam respons.
-
Dapatkan pembagian AWS RAM sumber dayaARN.
$
aws ram list-resources --resource-owner SELF --resource-arns
<backup-arn>
Ini mengembalikan respons yang mirip dengan ini:
{ "resources": [ { "arn": "
<project-arn>
", "type": "<type>
", "resourceShareArn": "<resource-share-arn>
", "creationTime": "<creation-time>
", "lastUpdatedTime": "<last-update-time>
" } ] }Dari tanggapan, salin
<resource-share-arn>
nilai untuk digunakan pada langkah selanjutnya. -
Jalankan perintah AWS RAM promote-resource-share-created-from-policy.
$
aws ram promote-resource-share-created-from-policy --resource-share-arn
<resource-share-arn>
-
Untuk memvalidasi bahwa pembagian sumber daya telah dipromosikan, Anda dapat menjalankan AWS RAM get-resource-sharesperintah.
$
aws ram get-resource-shares --resource-owner SELF --resource-share-arns
<resource-share-arn>
Ketika kebijakan telah dipromosikan, yang
featureSet
tercantum dalam tanggapan adalahSTANDARD
. Ini juga berarti cadangan dapat dijelaskan oleh akun baru dalam kebijakan.
Membatalkan berbagi cadangan bersama
Saat Anda membatalkan pembagian sumber daya, konsumen mungkin tidak lagi menggunakannya untuk memulihkan kluster. Konsumen masih dapat mengakses cluster apa pun yang mereka pulihkan dari cadangan bersama.
Untuk membatalkan pembagian cadangan bersama yang Anda miliki, Anda harus menghapusnya dari pembagian sumber daya. Anda dapat melakukan ini menggunakan AWS RAM konsol atau AWS CLI.
Untuk membatalkan pembagian cadangan bersama yang Anda miliki menggunakan konsol AWS RAM
Lihat Memperbarui Sumber Daya Bersama di Panduan Pengguna AWS RAM .
Untuk membatalkan pembagian cadangan bersama yang Anda miliki (AWS RAM perintah)
Gunakan perintah disassociate-resource-share.
Untuk membatalkan pembagian cadangan bersama yang Anda miliki (HSMperintah Cloud)
Gunakan perintah delete-resource-policy.
$
aws cloudhsmv2 delete-resource-policy --resource-arn
<resource-arn>
Mengidentifikasi cadangan bersama
Konsumen dapat mengidentifikasi cadangan yang dibagikan dengan mereka menggunakan HSM konsol Cloud dan AWS CLI.
Untuk mengidentifikasi cadangan yang dibagikan dengan Anda menggunakan konsol Cloud HSM
Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Cadangan.
-
Dalam tabel, pilih tab Cadangan bersama.
Untuk mengidentifikasi cadangan yang dibagikan dengan Anda menggunakan AWS CLI
Gunakan perintah deskripsi-cadangan dengan --shared
parameter untuk mengembalikan cadangan yang dibagikan dengan Anda.
Izin untuk cadangan bersama
Izin untuk pemilik
Pemilik cadangan dapat mendeskripsikan dan mengelola cadangan bersama serta menggunakannya untuk memulihkan klaster.
Izin untuk konsumen
Konsumen cadangan tidak dapat memodifikasi cadangan bersama, tetapi mereka dapat mendeskripsikannya dan menggunakannya untuk memulihkan cluster.
Tagihan dan pengukuran
Tidak ada biaya tambahan untuk berbagi cadangan.