Crie um cluster em AWS CloudHSM - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um cluster em AWS CloudHSM

Um cluster é uma coleção de módulos individuais de segurança de hardware (HSMs). AWS CloudHSM sincroniza os HSMs em cada cluster para que funcionem como uma unidade lógica. AWS CloudHSM oferece dois tipos deHSMs: hsm1.medium e hsm2m.medium. Ao criar um cluster, você escolhe qual dos dois estará no cluster. Para obter detalhes sobre as diferenças entre cada tipo de HSM e modo de cluster, consulte Modos de cluster do AWS CloudHSM.

Quando você cria um cluster, AWS CloudHSM cria um grupo de segurança para o cluster em seu nome. Esse grupo de segurança controla o acesso à rede HSMs no cluster. Ele permite conexões de entrada somente de instâncias do Amazon Elastic Compute Cloud EC2 (Amazon) que estão no grupo de segurança. Por padrão, o security group não contém instâncias. Posteriormente, você inicia uma instância do cliente e configura o grupo de segurança do cluster para permitir a comunicação e as conexões com o HSM.

Importante

Quando você cria um cluster, AWS CloudHSM cria uma função vinculada ao serviço chamada AWSService RoleForCloud HSM. Se você AWS CloudHSM não conseguir criar a função ou se a função ainda não existir, talvez você não consiga criar um cluster. Para obter mais informações, consulte Resolvendo falhas na criação de AWS CloudHSM clusters. Para obter mais informações sobre funções vinculadas ao serviço, consulte Funções vinculadas a serviços para AWS CloudHSM.

Importante

Se você estiver usando o endpoint de AWS CloudHSM pilha dupla (ou seja, cloudhsmv2). region.api.aws), certifique-se de que suas políticas do IAM estejam atualizadas para serem processadas. IPv6 Para obter mais informações, consulte a IPv6 seção Atualizar políticas do IAM para Segurança.

Você pode criar um cluster do console do AWS CloudHSM, a AWS Command Line Interface (AWS CLI) ou a API do AWS CloudHSM .

nota

Para obter detalhes sobre argumentos de cluster APIs, consulte a Referência create-clusterde Comandos da CLI da AWS.

Console
Para criar um cluster (console)

  1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/casa.

  2. Na barra de navegação, use o seletor de região para escolher uma das AWS regiões em que AWS CloudHSM há suporte no momento.

  3. Selecione Create cluster (Criar cluster).

  4. Na seção Configuração de cluster, faça o seguinte:

    1. Em VPC, selecione a VPC que você criou em Crie uma nuvem privada virtual (VPC) para AWS CloudHSM.

    2. Em Availability Zone(s), ao lado de cada Zona de disponibilidade, escolha a sub-rede privada que você criou.

      nota

      Mesmo que não AWS CloudHSM haja suporte em uma determinada zona de disponibilidade, o desempenho não deve ser afetado, pois balanceia AWS CloudHSM automaticamente a carga em tudo HSMs em um cluster. Consulte AWS CloudHSM Regiões e endpoints em Referência geral da AWSpara ver o suporte da zona de disponibilidade para AWS CloudHSM.

    3. Para o tipo de HSM, selecione o tipo de HSM que pode ser criado em seu cluster junto com o modo desejado do cluster. Para ver quais tipos de HSM são compatíveis em cada região, consulte a calculadora AWS CloudHSM de preços.

      Importante

      Depois que o cluster for criado, o modo cluster não pode ser alterado. Para obter informações sobre qual tipo e modo são adequados para seu caso de uso, consulteModos de cluster do AWS CloudHSM.

    4. Em Tipo de rede, escolha os protocolos de endereço IP para acessar seu HSMs. IPv4 limita a comunicação entre seu aplicativo e HSMs IPv4 apenas a. Esta é a opção padrão. O Dual-Stack permite a comunicação e IPv4 a comunicação. IPv6 Para usar o dual-stack, adicione ambos IPv4 e às IPv6 CIDRs suas configurações de VPC e sub-rede. É difícil alterar o tipo de rede após a configuração inicial. Para modificá-lo, crie um backup do seu cluster existente e restaure um novo cluster com o tipo de rede desejado. Para obter mais informações, consulte Criação de clusters do AWS CloudHSM a partir de backups

    5. Para a Origem do cluster, especifique se você deseja criar um cluster ou restaurar um de um backup existente.

      • Backups de clusters no modo não FIPS podem ser usados apenas para restaurar clusters que estão no modo não FIPS.

      • Backups de clusters no modo FIPS podem ser usados apenas para restaurar clusters que estão no modo FIPS.

  5. Escolha Próximo.

  6. Especifique por quanto tempo o serviço deve reter os backups.

    nota

    Aceite o período de retenção padrão de 90 dias ou digite um novo valor entre 7 e 379 dias. O serviço excluirá automaticamente os backups presentes nesse cluster que sejam mais antigos do que o valor especificado. Você pode alterar esse valor depois. Para obter mais informações, consulte Configurar a retenção de backup.

  7. Escolha Próximo.

  8. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma tag ao cluster, selecione Adicionar tag.

  9. Escolha Review (Revisar).

  10. Reveja sua configuração de cluster e escolha Create cluster (Criar cluster).

Se suas tentativas de criar um cluster falharem, isso pode estar relacionado a problemas com as funções AWS CloudHSM vinculadas ao serviço. Para obter ajuda para resolver essa falha, consulte Resolvendo falhas na criação de AWS CloudHSM clusters.

AWS CLI
Para criar um cluster (AWS CLI)

  • Em um prompt de comando, execute o comando create-cluster. Especifique o tipo de instância do HSM, o período de retenção de backup e a sub-rede IDs das sub-redes em que você planeja criar. HSMs Use a sub-rede IDs das sub-redes privadas que você criou. Especifique apenas uma sub-rede por zona de disponibilidade. 

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                    --backup-retention-policy Type=DAYS,Value=<number of days> \
                    --subnet-ids <subnet ID> \
                    --mode <FIPS> \
                    --network-type <IPV4>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm2m.medium",
        "NetworkType": "IPV4",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    nota

    ClusterMode é um parâmetro obrigatório para todos os tipos de hsm, exceto hsm1.medium.--mode:

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS

Se suas tentativas de criar um cluster falharem, isso pode estar relacionado a problemas com as funções AWS CloudHSM vinculadas ao serviço. Para obter ajuda para resolver essa falha, consulte Resolvendo falhas na criação de AWS CloudHSM clusters.

AWS CloudHSM API
Para criar um cluster (AWS CloudHSM API)

  • Envie uma solicitação CreateCluster solicitação. Especifique o tipo de instância do HSM, a política de retenção de backup e a sub-rede IDs das sub-redes em que você planeja criar. HSMs Use a sub-rede IDs das sub-redes privadas que você criou. Especifique apenas uma sub-rede por zona de disponibilidade.

Se suas tentativas de criar um cluster falharem, isso pode estar relacionado a problemas com as funções AWS CloudHSM vinculadas ao serviço. Para obter ajuda para resolver essa falha, consulte Resolvendo falhas na criação de AWS CloudHSM clusters.