Ubah pengaturan daya tahan kunci AWS CloudHSM klien - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ubah pengaturan daya tahan kunci AWS CloudHSM klien

Sinkronisasi kunci sebagian besar merupakan proses otomatis, tetapi Anda dapat mengelola pengaturan daya tahan kunci sisi klien. Pengaturan daya tahan kunci sisi klien bekerja secara berbeda di Klien SDK 5 dan Klien SDK 3.

  • Di Klien SDK 5, kami memperkenalkan konsep kuorum ketersediaan kunci yang mengharuskan Anda menjalankan cluster dengan minimal dua. HSMs Anda dapat menggunakan pengaturan daya tahan tombol sisi klien untuk memilih keluar dari dua HSM persyaratan. Untuk informasi selengkapnya tentang kuorum, lihat Klien SDK 5 konsep.

  • Di Klien SDK 3, Anda menggunakan pengaturan daya tahan kunci sisi klien untuk menentukan jumlah HSMs pembuatan kunci mana yang harus berhasil agar keseluruhan operasi dianggap berhasil.

Di Klien SDK 5, sinkronisasi kunci adalah proses yang sepenuhnya otomatis. Dengan kuorum ketersediaan kunci, kunci yang baru dibuat harus ada pada dua HSMs di cluster sebelum aplikasi Anda dapat menggunakan kunci. Untuk menggunakan kuorum ketersediaan kunci, klaster Anda harus memiliki minimal dua. HSMs

Jika konfigurasi klaster Anda tidak memenuhi persyaratan daya tahan utama, setiap upaya untuk membuat atau menggunakan kunci token akan gagal dengan pesan galat berikut di log:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

Anda dapat menggunakan pengaturan konfigurasi klien untuk memilih keluar dari kuorum ketersediaan kunci. Anda mungkin ingin memilih keluar untuk menjalankan cluster dengan satuHSM, misalnya.

Klien SDK 5 konsep

Kuorum Ketersediaan Utama

AWS CloudHSM menentukan jumlah HSMs dalam cluster di mana kunci harus ada sebelum aplikasi Anda dapat menggunakan kunci. Membutuhkan cluster dengan minimal duaHSMs.

Mengelola pengaturan daya tahan kunci klien

Untuk mengelola pengaturan daya tahan kunci klien, Anda harus menggunakan alat konfigurasi untuk Klien SDK 5.

PKCS #11 library
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows

  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows

  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows

  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

Di Klien SDK 3, sinkronisasi kunci sebagian besar merupakan proses otomatis, tetapi Anda dapat menggunakan pengaturan daya tahan kunci klien untuk membuat kunci lebih tahan lama. Anda menentukan jumlah HSMs pembuatan kunci mana yang harus berhasil agar keseluruhan operasi dianggap sukses. Sinkronisasi sisi klien selalu melakukan upaya terbaik untuk mengkloning kunci ke setiap HSM klaster, apa pun pengaturan yang Anda pilih. Pengaturan Anda memberlakukan pembuatan kunci pada nomor yang HSMs Anda tentukan. Jika Anda menentukan nilai dan sistem tidak dapat mereplikasi kunci ke jumlah ituHSMs, maka sistem secara otomatis membersihkan materi kunci yang tidak diinginkan dan Anda dapat mencoba lagi.

penting

Jika Anda tidak mengatur pengaturan daya tahan kunci klien (atau jika Anda menggunakan nilai default 1), kunci Anda rentan terhadap kehilangan. Jika saat ini HSM gagal sebelum layanan sisi server mengkloning kunci itu ke yang lainHSM, Anda kehilangan materi kunci.

Untuk memaksimalkan daya tahan kunci, pertimbangkan untuk menentukan setidaknya dua HSMs untuk sinkronisasi sisi klien. Ingatlah bahwa tidak peduli berapa banyak yang HSMs Anda tentukan, beban kerja di klaster Anda tetap sama. Sinkronisasi sisi klien selalu melakukan upaya terbaik untuk mengkloning kunci ke setiap klaster. HSM

Rekomendasi

  • Minimum: Dua HSMs per cluster

  • Maksimum: Satu kurang dari jumlah total HSMs di cluster Anda

Jika sinkronisasi sisi klien gagal, layanan klien membersihkan kunci yang tidak diinginkan yang mungkin telah dibuat dan sekarang tidak diinginkan. Pembersihan ini adalah respon upaya terbaik yang mungkin tidak selalu bekerja. Jika pembersihan gagal, Anda mungkin harus menghapus materi kunci yang tidak diinginkan. Untuk informasi selengkapnya, lihat Kegagalan Sinkronisasi Kunci.

Menyiapkan file konfigurasi untuk daya tahan kunci klien

Untuk menentukan pengaturan daya tahan kunci klien, Anda harus mengedit cloudhsm_client.cfg.

Untuk mengedit konfigurasi klien

  1. Buka cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. Di client simpul file, tambahkan create_object_minimum_nodes dan tentukan nilai untuk jumlah HSMs minimum yang AWS CloudHSM harus berhasil membuat kunci agar operasi pembuatan kunci berhasil.

    "create_object_minimum_nodes" : 2
    catatan

    Alat baris perintah key_mgmt_util (KMU) memiliki pengaturan tambahan untuk daya tahan kunci klien. Untuk informasi selengkapnya, silakan lihat KMUdan sinkronisasi sisi klien

Referensi konfigurasi

Ini adalah properti sinkronisasi sisi klien, ditampilkan dalam kutipan cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Menentukan jumlah minimum yang HSMs diperlukan untuk menganggap pembuatan kunci, impor kunci, atau operasi pembukaan kunci sukses. Default diatur ke 1. Ini berarti bahwa untuk setiap operasi pembuatan kunci, layanan sisi klien mencoba membuat kunci HSM pada setiap cluster, tetapi untuk mengembalikan kesuksesan, hanya perlu membuat satu kunci pada satu HSM di cluster.

KMUdan sinkronisasi sisi klien

Jika Anda membuat kunci dengan alat baris perintah key_mgmt_util (KMU), Anda menggunakan parameter baris perintah opsional (-min_srv) untuk membatasi jumlah tombol untuk mengkloning. HSMs Jika Anda menentukan parameter baris perintah dan nilai dalam file konfigurasi, AWS CloudHSM menghormati dua LARGER nilai.

Untuk informasi selengkapnya, lihat topik berikut.