AWS CloudHSM Parametri di configurazione del Client SDK 5 - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudHSM Parametri di configurazione del Client SDK 5

Di seguito è riportato un elenco di parametri per configurare AWS CloudHSM il Client SDK 5.

-a <ENI IP address>

Aggiunge l'indirizzo IP specificato ai file di configurazione del Client SDK 5. Immettere qualsiasi indirizzo ENI IP HSM di un utente del cluster. Per ulteriori informazioni su come utilizzare questa opzione, consulta Bootstrap Client SDK 5.

Campo obbligatorio: sì

--hsm-ca-cert <customerCA certificate file path>

Percorso della directory in cui è archiviato il certificato dell'autorità di certificazione (CA) utilizzato per connettere le istanze EC2 del client al cluster. Si tratta del file che crei quando inizializzi il cluster. Per impostazione predefinita, il sistema cerca questo file nella seguente posizione:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Per ulteriori informazioni sull'inizializzazione del cluster o sull'inserimento del certificato, vedi Posiziona il certificato di emissione su ogni istanza EC2 e Inizializza il cluster in AWS CloudHSM.

Campo obbligatorio: no

--cluster-id <cluster ID>

DescribeClustersEffettua una chiamata per trovare tutti gli indirizzi IP di HSM elastic network interface (ENI) nel cluster associato all'ID del cluster. Il sistema aggiunge gli indirizzi ENI IP ai file AWS CloudHSM di configurazione.

Nota

Se si utilizza il --cluster-id parametro da un'EC2istanza all'interno di un VPC che non ha accesso alla rete Internet pubblica, è necessario creare un VPC endpoint di interfaccia con AWS CloudHSM cui connettersi. Per ulteriori informazioni sugli VPC endpoint, consulta. AWS CloudHSM ed endpoint VPC

Campo obbligatorio: no

--endpoint <endpoint>

Specificare l' AWS CloudHSM APIendpoint utilizzato per effettuare la chiamata. DescribeClusters È necessario impostare questa opzione insieme a --cluster-id.

Campo obbligatorio: no

--region <region>

Specifica la regione del cluster. È necessario impostare questa opzione insieme a --cluster-id.

Se non indichi il parametro --region, il sistema sceglie la regione tentando di leggere le variabili di ambiente AWS_DEFAULT_REGION o AWS_REGION. Se queste variabili non sono impostate, il sistema controlla l'area associata al profilo nel file di AWS configurazione (in genere~/.aws/config) a meno che non sia stato specificato un file diverso nella variabile di AWS_CONFIG_FILE ambiente. Se non è stata impostata nessuna delle variabili precedenti, il sistema utilizza la regione us-east-1 per impostazione predefinita.

Campo obbligatorio: no

--server-client-cert-file <client certificate file path>

Percorso del certificato client utilizzato per l'autenticazione reciproca TLS client-server.

Utilizza questa opzione solo se non desideri utilizzare la chiave e il TLS certificato predefiniti inclusi nel Client SSL SDK 5. È necessario impostare questa opzione insieme a --server-client-key-file.

Campo obbligatorio: no

--server-client-key-file <client key file path>

Percorso della chiave client utilizzata per l'autenticazione reciproca TLS client-server.

Utilizza questa opzione solo se non desideri utilizzare la chiave e il TLS certificato predefiniti inclusi nel Client SSL SDK 5. È necessario impostare questa opzione insieme a --server-client-cert-file.

Campo obbligatorio: no

-- client-cert-hsm-tls -file <client certificate hsm tls path>

Percorso del certificato client utilizzato per l'autenticazione HSM reciproca tra TLS client.

Utilizza questa opzione solo se hai registrato almeno un trust anchor su HSM Cloud HSMCLI. È necessario impostare questa opzione insieme a --client-key-hsm-tls-file.

Campo obbligatorio: no

-- -file client-key-hsm-tls <client key hsm tls path>

Percorso della chiave client utilizzata per l'autenticazione HSM reciproca tra TLS client.

Utilizza questa opzione solo se hai registrato almeno un trust anchor su HSM Cloud HSMCLI. È necessario impostare questa opzione insieme a --client-cert-hsm-tls-file.

Campo obbligatorio: no

--log-level <error | warn | info | debug | trace>

Specifica il livello di log minimo che il sistema deve scrivere nel file di log. Ogni livello include i livelli precedenti, con errore come livello minimo e traccia il livello massimo. Ciò significa che se si specificano errori, il sistema scrive solo gli errori nel log. Se si specifica tracciamento, il sistema scrive errori, avvisi, messaggi informativi (info) e di debug nel log. Per ulteriori informazioni, consulta Client SDK 5 Logging.

Campo obbligatorio: no

--log-rotation <daily | weekly>

Specifica la frequenza con cui il sistema ruota i log. Per ulteriori informazioni, vedere Client SDK 5 Logging.

Campo obbligatorio: no

--log-file <file name with path>

Specifica dove il sistema scriverà il file di log. Per ulteriori informazioni, vedere Client SDK 5 Logging.

Campo obbligatorio: no

--log-type <term | file>

Specifica se il sistema scriverà il log su un file o su un terminale. Per ulteriori informazioni, vedere Client SDK 5 Logging.

Campo obbligatorio: no

-h | --aiuto

Visualizza aiuto.

Campo obbligatorio: no

-v, --versione

Visualizza versione.

Campo obbligatorio: no

--disable-key-availability-check

Contrassegna per disabilitare il quorum per la disponibilità delle chiavi. Utilizzate questo flag per indicare che è AWS CloudHSM necessario disabilitare il quorum di disponibilità delle chiavi ed è possibile utilizzare le chiavi che esistono solo su una delle HSM chiavi del cluster. Per ulteriori informazioni sull'utilizzo di questo flag per impostare il quorum per la disponibilità delle chiavi, vedi Gestire le impostazioni di durabilità delle chiavi del client.

Campo obbligatorio: no

--enable-key-availability-check

Contrassegna per abilitare il quorum della disponibilità delle chiavi. Utilizzate questo flag per indicare che AWS CloudHSM dovete utilizzare il quorum di disponibilità delle chiavi e non consentirvi di utilizzare le chiavi finché tali chiavi non esistono su due HSMs del cluster. Per ulteriori informazioni sull'utilizzo di questo flag per impostare il quorum per la disponibilità delle chiavi, vedi Gestire le impostazioni di durabilità delle chiavi del client.

Abilitata come impostazione predefinita.

Campo obbligatorio: no

-- -init disable-validate-key-at

Migliora le prestazioni specificando che è possibile saltare una chiamata di inizializzazione per verificare le autorizzazioni su una chiave per le chiamate successive. Utilizza questa soluzione con cautela.

Sfondo: alcuni meccanismi della libreria PKCS #11 supportano operazioni in più parti in cui una chiamata di inizializzazione verifica se è possibile utilizzare la chiave per le chiamate successive. Ciò richiede una chiamata di verifica aHSM, che aggiunge latenza all'operazione complessiva. Questa opzione consente di disabilitare la chiamata successiva e potenzialmente di migliorare le prestazioni.

Campo obbligatorio: no

-- enable-validate-key-at -init

Specifica che è necessario utilizzare una chiamata di inizializzazione per verificare le autorizzazioni su una chiave per le chiamate successive. Questa è l'opzione predefinita. Usa enable-validate-key-at-init per riprendere queste chiamate di inizializzazione dopo avere usato disable-validate-key-at-init per sospenderle.

Campo obbligatorio: no