Sincronizar chaves em todo o cluster do AWS CloudHSM usando o CMU - AWS CloudHSM

Sincronizar chaves em todo o cluster do AWS CloudHSM usando o CMU

Use o comando syncKey no cloudhsm_mgmt_util do AWS CloudHSM para sincronizar manualmente as chaves entre as instâncias do HSM em um cluster ou entre clusters clonados. Em geral, você não precisa usar esse comando, pois as instâncias do HSM em um cluster sincronizam as chaves automaticamente. No entanto, a sincronização de chaves entre clusters clonados deve ser feita manualmente. Para simplificar a escalabilidade global e os processos de recuperação de desastres, os clusters clonados normalmente são criados em regiões diferentes da AWS.

Você não pode usar syncKey para sincronizar chaves entre clusters arbitrários: um dos clusters deve ter sido criado a partir de um backup do outro. Além disso, para que a operação seja bem-sucedida, os dois clusters devem ter credenciais CO e CU consistentes. Para obter mais informações, consulte Usuários do HSM.

Para usar syncKey, primeiro você deve criar um arquivo de configuração do AWS CloudHSM que especifique um HSM do cluster de origem e um do cluster de destino. Isso permitirá que cloudhsm_mgmt_util se conecte às duas instâncias do HSM. Use esse arquivo de configuração para iniciar o cloudhsm_mgmt_util. Depois, faça login usando as credenciais de um CO ou de um CU que tenha as chaves que você deseja sincronizar.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Responsáveis pela criptografia (CO)

  • Usuários de criptografia (CU)

nota

Os COs podem usar syncKey em qualquer chave; enquanto os CUs só podem usar esse comando em chaves que possuem. Para ter mais informações, consulte Tipos de usuários do HSM para o AWS CloudHSM Management Utility.

Pré-requisitos

Antes de começar, você deve saber o key handle da chave no HSM de origem a ser sincronizada com o HSM de destino. Para encontrar o key handle, use o comando listUsers para relacionar todos os identificadores dos usuários nomeados. Depois, use o comando findAllKeys para encontrar todas as chaves que pertencem a um determinado usuário.

Você também precisa saber o server IDs atribuído aos HSMs de origem e de destino, que são mostrados na saída do rastreamento retornado pelo cloudhsm_mgmt_util na inicialização. Eles são atribuídos na mesma ordem em que os HSMs aparecem no arquivo de configuração.

Siga as instruções em Uso da CMU entre clusters clonados e inicialize a cloudhsm_mgmt_util com o novo arquivo de configuração. Depois, entre no modo de servidor no HSM de origem emitindo o comando server.

Sintaxe

nota

Para executar syncKey, primeiro entre no modo de servidor no HSM que contém a chave a ser sincronizada.

Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.

Tipo de usuário: usuário de criptografia (CU)

syncKey <key handle> <destination hsm>

Exemplo

Execute o comando server para fazer login no HSM de origem e digite o modo do servidor. Para este exemplo, estamos supondo que server 0 é o HSM de origem.

aws-cloudhsm> server 0

Agora, execute o comando syncKey. Neste exemplo, estamos supondo que 261251 deve ser sincronizado com a chave server 1.

aws-cloudhsm> syncKey 261251 1 syncKey success

Argumentos

Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.

syncKey <key handle> <destination hsm>
<key handle>

Especifica o identificador de chave da chave a ser sincronizada. Você pode especificar apenas uma chave em cada comando. Para obter o identificador de uma chave, use findAllKeys enquanto estiver conectado a um servidor do HSM.

Obrigatório: Sim

<destination hsm>

Especifica o número do servidor com o qual você está sincronizando uma chave.

Obrigatório: Sim

Tópicos relacionados da