Parâmetros de configuração do Client SDK 5 do AWS CloudHSM

Adiciona o endereço IP especificado aos arquivos de configuração do SDK do cliente 5. Insira qualquer endereço IP ENI de um HSM do cluster. Para obter mais informações sobre como usar essa opção, consulte o Bootstrap o Client SDK 5.

Obrigatório: Sim

Caminho para o diretório que armazena o certificado da autoridade de certificação (CA) usado para conectar instâncias do cliente EC2 ao cluster. Esse é o arquivo que você criou ao inicializar o cluster. Por padrão, o sistema procura esse arquivo no seguinte local:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Para obter mais informações sobre como inicializar o cluster ou colocar o certificado, consulte Coloque um certificado de emissão em cada instância do EC2 e Inicializar o cluster no AWS CloudHSM.

Obrigatório: Não

Faz uma chamada DescribeClusters para encontrar todos os endereços IP da interface de rede elástica (ENI) do HSM no cluster associado ao ID do cluster. O sistema adiciona os endereços IP ENI aos arquivos de configuração AWS CloudHSM.

Obrigatório: Não

Especifique o endpoint do AWS CloudHSM da API usado para fazer a chamada DescribeClusters. Você deve definir essa opção em combinação com --cluster-id.

Obrigatório: Não

Especifique a região do seu cluster. Você deve definir essa opção em combinação com --cluster-id.

Se você não fornecer o parâmetro --region, o sistema escolherá a região tentando ler as variáveis de ambiente AWS_DEFAULT_REGION ou AWS_REGION. Se essas variáveis não estiverem definidas, o sistema verificará a região associada ao seu perfil no seu arquivo de AWS Config (normalmente ~/.aws/config), a menos que você tenha especificado um arquivo diferente na variável de ambiente AWS_CONFIG_FILE. Se nenhuma das opções acima for definida, o sistema usará a região us-east-1 como padrão.

Obrigatório: Não

Caminho para o certificado de cliente usado para autenticação mútua entre cliente e servidor TLS.

Use essa opção somente se não quiser usar a chave padrão e o certificado SSL/TLS que incluímos no Client SDK 5. Você deve definir essa opção em combinação com --server-client-key-file.

Obrigatório: Não

Caminho para a chave do cliente usada para autenticação mútua entre cliente e servidor TLS.

Use essa opção somente se não quiser usar a chave padrão e o certificado SSL/TLS que incluímos no Client SDK 5. Você deve definir essa opção em combinação com --server-client-cert-file.

Obrigatório: Não

Caminho para o certificado de cliente usado para autenticação mútua entre cliente TLS e HSM.

Use essa opção somente se você tiver registrado pelo menos uma âncora de confiança no HSM com a CLI do CloudHSM. Você deve definir essa opção em combinação com --client-key-hsm-tls-file.

Obrigatório: Não

Caminho para a chave do cliente usado para autenticação mútua entre cliente TLS e HSM.

Use essa opção somente se você tiver registrado pelo menos uma âncora de confiança no HSM com a CLI do CloudHSM. Você deve definir essa opção em combinação com --client-cert-hsm-tls-file.

Obrigatório: Não

Especifica o nível mínimo de registro que o sistema deve gravar no arquivo de log. Cada nível inclui os níveis anteriores, com erro como nível mínimo e rastreie o nível máximo. Isso significa que, se você especificar erros, o sistema só gravará erros no log. Se você especificar rastreamento, o sistema gravará mensagens de erros, avisos, informações (info) e de depuração no log. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

Especifica a frequência com que o sistema gira os logs. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

Especifica onde o sistema gravará o arquivo de log. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

Especifica se o sistema gravará o log em um arquivo ou terminal. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

Exibe ajuda.

Obrigatório: Não

Exibe a versão do .

Obrigatório: Não

Sinalize para desativar o quórum de disponibilidade de chaves. Use esse sinalizador para indicar se AWS CloudHSM deve desativar o quórum de disponibilidade de chaves e você pode usar chaves que existem em apenas um HSM no cluster. Para obter mais informações sobre como usar esse sinalizador para definir o quórum de disponibilidade de chaves, consulte Gerenciando as configurações de durabilidade de chave do cliente.

Obrigatório: Não

Sinalize para ativar o quórum de disponibilidade de chaves. Use esse sinalizador para indicar que AWS CloudHSM deve usar o quorum de disponibilidade de chaves e não permitir que você use chaves até que essas chaves existam em dois HSMs no cluster. Para obter mais informações sobre como usar esse sinalizador para definir o quórum de disponibilidade de chaves, consulte Gerenciando as configurações de durabilidade de chave do cliente.

Habilitada por padrão.

Obrigatório: Não

Melhora o desempenho especificando que você pode pular uma chamada de inicialização para verificar as permissões em uma chave para chamadas subsequentes. Use com cautela.

Antecedentes: Alguns mecanismos na biblioteca PKCS #11 oferecem suporte a operações de várias partes em que uma chamada de inicialização verifica se você pode usar a chave para chamadas subsequentes. Isso requer uma chamada de verificação para o HSM, o que adiciona latência à operação geral. Essa opção permite que você desative a chamada subseqüente e potencialmente melhore o desempenho.

Obrigatório: Não

Especifica que você deve usar uma chamada de inicialização para verificar as permissões em uma chave para chamadas subsequentes. Esta é a opção padrão. Use enable-validate-key-at-init para retomar essas chamadas de inicialização depois de usar disable-validate-key-at-init para suspendê-las.

Obrigatório: Não