AWS CloudHSM Parametri di configurazione di Client SDK 5 - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudHSM Parametri di configurazione di Client SDK 5

Di seguito è riportato un elenco di parametri per configurare AWS CloudHSM Client SDK 5.

-a <ENI IP address>

Aggiunge l'indirizzo IP specificato ai file di configurazione di Client SDK 5. Inserire qualsiasi indirizzo IP ENI di un HSM dal cluster. Per ulteriori informazioni su come utilizzare questa opzione, vedi Bootstrap del Client SDK 5.

Campo obbligatorio: sì

--hsm-ca-cert <customerCA certificate file path>

Percorso della directory in cui è archiviato il certificato dell'autorità di certificazione (CA) utilizzato per connettere le istanze EC2 del client al cluster. Si tratta del file che crei quando inizializzi il cluster. Per impostazione predefinita, il sistema cerca questo file nella seguente posizione:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Per ulteriori informazioni sull'inizializzazione del cluster o sull'inserimento del certificato, vedi Posiziona il certificato di emissione su ogni istanza EC2 e Inizializza il cluster in AWS CloudHSM.

Campo obbligatorio: no

--cluster-id <cluster ID>

Effettua una chiamata DescribeClusters per trovare tutti gli indirizzi IP a interfaccia di rete elastica (ENI) dell’HSM nel cluster associati all'ID del cluster. Il sistema aggiunge gli indirizzi IP ENI ai file di configurazione. AWS CloudHSM

Nota

Se utilizzi il --cluster-id parametro da un' EC2 istanza all'interno di un VPC che non ha accesso alla rete Internet pubblica, devi creare un endpoint VPC di interfaccia con cui connetterti. AWS CloudHSM Per ulteriori informazioni su endpoint VPC, vedi AWS CloudHSM ed endpoint VPC.

Campo obbligatorio: no

--endpoint <endpoint>

Specificare l'endpoint AWS CloudHSM API utilizzato per effettuare la chiamata. DescribeClusters È necessario impostare questa opzione insieme a --cluster-id.

Campo obbligatorio: no

--region <region>

Specifica la regione del cluster. È necessario impostare questa opzione insieme a --cluster-id.

Se non indichi il parametro --region, il sistema sceglie la regione tentando di leggere le variabili di ambiente AWS_DEFAULT_REGION o AWS_REGION. Se queste variabili non sono impostate, il sistema controlla la regione associata al tuo profilo indicata nel tuo file di AWS Config (generalmente ~/.aws/config) a meno che non sia stato specificato un file diverso nella variabile di ambiente AWS_CONFIG_FILE. Se non è stata impostata nessuna delle variabili precedenti, il sistema utilizza la regione us-east-1 per impostazione predefinita.

Campo obbligatorio: no

--server-client-cert-file <client certificate file path>

Percorso del certificato client utilizzato per l'autenticazione reciproca client-server TLS.

Utilizza questa opzione solo se non desideri utilizzare la chiave predefinita e il certificato SSL/TLS inclusi in Client SDK 5. È necessario impostare questa opzione insieme a --server-client-key-file.

Campo obbligatorio: no

--server-client-key-file <client key file path>

Percorso della chiave client utilizzata per l'autenticazione reciproca client-server TLS.

Utilizza questa opzione solo se non desideri utilizzare la chiave predefinita e il certificato SSL/TLS inclusi in Client SDK 5. È necessario impostare questa opzione insieme a --server-client-cert-file.

Campo obbligatorio: no

-- -file client-cert-hsm-tls <client certificate hsm tls path>

Percorso del certificato client utilizzato per l'autenticazione reciproca TLS Client-HSM.

Utilizza questa opzione solo se hai registrato almeno un trust anchor su HSM con CloudHSM CLI. È necessario impostare questa opzione insieme a --client-key-hsm-tls-file.

Campo obbligatorio: no

-- -file client-key-hsm-tls <client key hsm tls path>

Percorso della chiave client utilizzata per l'autenticazione reciproca TLS Client-HSM.

Utilizza questa opzione solo se hai registrato almeno un trust anchor su HSM con CloudHSM CLI. È necessario impostare questa opzione insieme a --client-cert-hsm-tls-file.

Campo obbligatorio: no

--log-level <error | warn | info | debug | trace>

Specifica il livello di log minimo che il sistema deve scrivere nel file di log. Ogni livello include i livelli precedenti, con errore come livello minimo e traccia il livello massimo. Ciò significa che se si specificano errori, il sistema scrive solo gli errori nel log. Se si specifica tracciamento, il sistema scrive errori, avvisi, messaggi informativi (info) e di debug nel log. Per ulteriori informazioni, vedi Logging con Client SDK 5.

Campo obbligatorio: no

--log-rotation <daily | weekly>

Specifica la frequenza con cui il sistema ruota i log. Per ulteriori informazioni, vedi Logging con Client SDK 5.

Campo obbligatorio: no

--file-log <file name with path>

Specifica dove il sistema scriverà il file di log. Per ulteriori informazioni, vedi Logging con Client SDK 5.

Campo obbligatorio: no

--tipo-log <term | file>

Specifica se il sistema scriverà il log su un file o su un terminale. Per ulteriori informazioni, vedi Logging con Client SDK 5.

Campo obbligatorio: no

-h | --aiuto

Visualizza aiuto.

Campo obbligatorio: no

-v, --versione

Visualizza versione.

Campo obbligatorio: no

--disable-key-availability-check

Contrassegna per disabilitare il quorum per la disponibilità delle chiavi. Usa questo flag per indicare che AWS CloudHSM devi disabilitare il quorum di disponibilità delle chiavi e puoi usare le chiavi che esistono solo su un HSM nel cluster. Per ulteriori informazioni sull'utilizzo di questo flag per impostare il quorum per la disponibilità delle chiavi, vedi Gestire le impostazioni di durabilità delle chiavi del client.

Campo obbligatorio: no

--enable-key-availability-check

Contrassegna per abilitare il quorum della disponibilità delle chiavi. Utilizzate questo flag per indicare che AWS CloudHSM dovete utilizzare il quorum di disponibilità delle chiavi e non consentirvi di utilizzare le chiavi finché tali chiavi non sono presenti su due del cluster. HSMs Per ulteriori informazioni sull'utilizzo di questo flag per impostare il quorum per la disponibilità delle chiavi, vedi Gestire le impostazioni di durabilità delle chiavi del client.

Abilitata come impostazione predefinita.

Campo obbligatorio: no

-- -init disable-validate-key-at

Migliora le prestazioni specificando che è possibile saltare una chiamata di inizializzazione per verificare le autorizzazioni su una chiave per le chiamate successive. Utilizza questa soluzione con cautela.

Background: alcuni meccanismi della libreria PKCS #11 supportano operazioni in più parti in cui una chiamata di inizializzazione verifica se è possibile utilizzare la chiave per chiamate successive. Ciò richiede una chiamata di verifica all'HSM, che aggiunge latenza all'operazione complessiva. Questa opzione consente di disabilitare la chiamata successiva e potenzialmente di migliorare le prestazioni.

Campo obbligatorio: no

-- -init enable-validate-key-at

Specifica che è necessario utilizzare una chiamata di inizializzazione per verificare le autorizzazioni su una chiave per le chiamate successive. Questa è l'opzione predefinita. Usa enable-validate-key-at-init per riprendere queste chiamate di inizializzazione dopo avere usato disable-validate-key-at-init per sospenderle.

Campo obbligatorio: no