Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione dei cluster AWS CloudHSM
È possibile gestire i cluster AWS CloudHSM dalla console AWS CloudHSM
Per creare un cluster, consulta Nozioni di base.
Architettura cluster
Quando crei un cluster, devi specificare un cloud privato virtuale (VPC) nell'account AWS e una o più sottoreti all'interno del VPC. È consigliabile creare una sottorete in ciascuna zona di disponibilità scelta nella tua regione AWS di appartenenza. Quando crei un VPC, puoi creare le sottoreti private. Per ulteriori informazioni, vedi Crea un cloud privato virtuale (VPC).
Ogni volta che si crea un HSM, è necessario specificare il cluster e la zona di disponibilità per garantire l'HSM. Inserendo gli HSM in diverse zone di disponibilità, è possibile raggiungere ridondanza ed elevata disponibilità nel caso in cui una zona di disponibilità non sia disponibile.
Quando si crea un HSM, AWS CloudHSM offre un'interfaccia di rete elastica (ENI) nella sottorete specificata nell'account AWS. L'interfaccia di rete elastica è l'interfaccia per l'interazione con l'HSM. L'HSM risiede in un VPC separato, in un account AWS di proprietà di AWS CloudHSM. L'HSM e l'interfaccia di rete corrispondente si trovano nella stessa zona di disponibilità.
Per interagire con gli HSM in un cluster, è necessario il software client AWS CloudHSM. In genere, si installa il client su istanze Amazon EC2, note come istanze client, che si trovano nello stesso VPC degli ENI dell'HSM, come illustrato nella figura che segue. Tuttavia, questa operazione non è tecnicamente necessaria. È possibile installare il client su qualsiasi computer compatibile, purché sia in grado di connettersi agli ENI dell'HSM. Il client comunica con gli HSM singoli nel cluster tramite i rispettivi ENI.
La figura seguente rappresenta un cluster AWS CloudHSM con tre HSM, ognuno in una zona di disponibilità differente nel VPC.
Sincronizzazione del cluster
In un cluster AWS CloudHSM, AWS CloudHSM mantiene le chiavi sui singoli HSM sincronizzati. Non è necessaria alcuna operazione per sincronizzare le chiavi sugli HSM. Per mantenere gli utenti e le policy in ciascun HSM sincronizzati, aggiornare il file di configurazione del client AWS CloudHSM prima di gestire gli utenti HSM. Per ulteriori informazioni, consulta Sincronizzazione degli utenti HSM.
Quando si aggiunge un nuovo HSM a un cluster, AWS CloudHSM effettua un backup di tutte le chiavi, gli utenti e le policy su un HSM esistente. Quindi, ripristina il backup nel nuovo HSM. In questo modo i due HSM sono sincronizzati.
Se gli HSM in un cluster perdono la sincronizzazione, AWS CloudHSM li risincronizza automaticamente. Per abilitare questa operazione, AWS CloudHSM utilizza le credenziali dell'utente dell'appliance. Questo utente esiste su tutti gli HSM forniti da AWS CloudHSM e ha autorizzazioni limitate. È possibile ottenere un hash di oggetti in HSM ed estrarre e inserire oggetti mascherati (crittografati). AWS non è in grado di visualizzare o modificare utenti o chiavi e non è in grado di eseguire tutte le operazioni di crittografia utilizzando tali chiavi.
Cluster a elevata disponibilità e sistema di bilanciamento del carico
Quando si crea un cluster AWS CloudHSM con più di un HSM, si ottiene automaticamente il bilanciamento del carico. Bilanciamento del carico significa che il client AWS CloudHSM distribuisce le operazioni di crittografia su tutti gli HSM nel cluster in base alla capacità di ogni HSM di effettuare ulteriori elaborazioni.
Quando si creano gli HSM in zone di disponibilità AWS differenti, si ottiene automaticamente una disponibilità elevata. Elevata disponibilità significa che è possibile ottenere maggiore affidabilità, perché nessun HSM singolo rappresenta un singolo punto di errore. È consigliabile disporre di un minimo di due HSM in ogni cluster, con ogni HSM in diverse zone di disponibilità all'interno di una regione AWS.
Ad esempio, la figura riportata di seguito mostra un'applicazione del database Oracle che viene distribuito a due diverse zone di disponibilità. Le istanze di database memorizzano le chiavi master in un cluster che include un HSM in ciascuna zona di disponibilità. AWS CloudHSM sincronizza automaticamente le chiavi su entrambi gli HSM, in modo che siano immediatamente accessibili e ridondanti.
