Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudHSM best practice per la gestione dei cluster

Segui le best practice riportate in questa sezione durante la creazione, l'accesso e la AWS CloudHSM gestione del cluster.

Scala il tuo cluster per gestire i picchi di traffico

Diversi fattori possono influenzare il throughput massimo che il cluster è in grado di gestire, tra cui la dimensione dell'istanza del client, la dimensione del cluster, la topografia della rete e le operazioni crittografiche necessarie per il caso d'uso.

Come punto di partenza, consulta l'argomento AWS CloudHSM informazioni sulle prestazioni per le stime delle prestazioni sulle dimensioni e le configurazioni più comuni dei cluster. Ti consigliamo di testare il carico di carico del cluster con il carico di picco previsto per determinare se l'architettura attuale è resiliente e sulla giusta scala.

Progetta il tuo cluster per un'elevata disponibilità

Aggiungi la ridondanza alla manutenzione: AWS puoi sostituire la tua HSM per la manutenzione programmata o se rileva un problema. Come regola generale, la dimensione del cluster deve avere almeno +1 di ridondanza. Ad esempio, se ne occorrono due HSMs per far funzionare il servizio nelle ore di punta, la dimensione ideale del cluster sarà tre. Se segui le migliori pratiche relative alla disponibilità, queste HSM sostituzioni non dovrebbero influire sul servizio. Tuttavia, le operazioni in corso sull'oggetto sostituito HSM potrebbero non riuscire e devono essere ritentate.

Distribuisci il tuo servizio HSMs su più zone di disponibilità: valuta in che modo il tuo servizio sarà in grado di funzionare durante un'interruzione della zona di disponibilità. AWS consiglia di distribuirla HSMs su quante più zone di disponibilità possibile. Per un cluster con treHSMs, è necessario HSMs distribuirlo su tre zone di disponibilità. A seconda del sistema in uso, potrebbe essere necessaria una ridondanza aggiuntiva.

Disponetene almeno tre HSMs per garantire la durabilità delle chiavi appena generate

Per le applicazioni che richiedono la durabilità delle chiavi appena generate, consigliamo di averne almeno tre HSMs distribuite in diverse zone di disponibilità in una regione.

Accesso sicuro al cluster

Usa le sottoreti private per limitare l'accesso alla tua istanza: avvia le tue istanze HSMs e quelle client nelle sottoreti private della tua. VPC Ciò limita l'accesso al tuo HSMs account dal mondo esterno.

Usa VPC gli endpoint per accedere APIs: il piano AWS CloudHSM dati è stato progettato per funzionare senza bisogno di accedere a Internet o. AWS APIs Se l'istanza client richiede l'accesso a AWS CloudHSM API, è possibile utilizzare gli VPC endpoint per accedervi API senza richiedere l'accesso a Internet sull'istanza client. Per ulteriori informazioni, consulta AWS CloudHSM ed endpoint VPC.

Riconfigurazione SSL per proteggere la comunicazione client-server: AWS CloudHSM utilizza TLS per stabilire una connessione al tuo. HSM Dopo aver inizializzato il cluster, è possibile sostituire il TLS certificato e la chiave predefiniti utilizzati per stabilire la connessione esterna. TLS Per ulteriori informazioni, consulta Migliora la sicurezza del tuo server web conSSL/TLSoffload in AWS CloudHSM.

Riduci i costi adattandolo alle tue esigenze

Non sono previsti costi iniziali di utilizzo. AWS CloudHSM Paghi una tariffa oraria per ogni HSM avvio fino alla chiusura del. HSM Se il servizio non richiede l'uso continuo di AWS CloudHSM, puoi ridurre i costi riducendo (eliminando) i tuoi servizi HSMs a zero quando non sono necessari. Quando HSMs sono nuovamente necessari, puoi ripristinarli HSMs da un backup. Se, ad esempio, hai un carico di lavoro che richiede di firmare il codice una volta al mese, in particolare l'ultimo giorno del mese, puoi prima scalare il cluster verso l'alto, ridimensionarlo eliminandolo HSMs dopo il completamento del lavoro e quindi ripristinare il cluster per eseguire nuovamente le operazioni di firma alla fine del mese successivo.

AWS CloudHSM esegue automaticamente backup periodici del file nel HSMs cluster. Quando ne aggiungi uno nuovo HSM in un secondo momento, AWS CloudHSM ripristinerà il backup più recente sul nuovo HSM in modo da poter riprendere l'utilizzo dalla stessa posizione in cui lo hai lasciato. Per calcolare i costi AWS CloudHSM dell'architettura, consulta la sezione AWS CloudHSM Prezzi.

Risorse correlate: