As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciando AWS CloudHSM clusters
Você pode gerenciar seus AWS CloudHSM clusters a partir do AWS CloudHSM
console
Para criar um cluster, consulte Conceitos básicos.
Arquitetura do cluster
Ao criar um cluster, você especifica uma Amazon Virtual Private Cloud (VPC) em sua AWS conta e uma ou mais sub-redes nessa VPC. Recomendamos que você crie uma sub-rede em cada Zona de Disponibilidade (AZ) na AWS região escolhida. Você pode criar sub-redes privadas ao criar uma VPC. Para saber mais, consulte Crie uma nuvem privada virtual (VPC)..
Toda vez que criar um HSM, especifique o cluster e a zona de disponibilidade para o HSM. Ao colocar os HSMs em diferentes zonas de disponibilidade, você alcançará redundância e alta disponibilidade caso uma zona de disponibilidade não esteja disponível.
Ao criar um HSM, AWS CloudHSM coloca uma interface de rede elástica (ENI) na sub-rede especificada em sua conta. AWS A interface de rede elástica é a interface para interação com o HSM. O HSM reside em uma VPC separada em uma AWS conta de propriedade da. AWS CloudHSM O HSM, e sua interface de rede correspondente, estão na mesma zona de disponibilidade.
Para interagir com os HSMs em um cluster, você precisa do software AWS CloudHSM cliente. Normalmente, o cliente é instalado em instâncias do Amazon EC2, conhecidas como instâncias cliente, que residem na mesma VPC que ENIs de HSM, conforme mostrado na figura a seguir. No entanto, isto não é tecnicamente necessário; é possível instalar o cliente em qualquer computador compatível, desde que ele possa ser conectado a ENIs de HSM. O cliente se comunica com HSMs individuais no cluster por meio dos ENIs respectivos.
A figura a seguir representa um AWS CloudHSM cluster com três HSMs, cada um em uma zona de disponibilidade diferente na VPC.
Sincronização do cluster
Em um AWS CloudHSM cluster, AWS CloudHSM mantém as chaves dos HSMs individuais sincronizadas. Você não precisa fazer nada para sincronizar as chaves nos HSMs. Para manter os usuários e as políticas em cada HSM sincronizados, atualize o arquivo de configuração do AWS CloudHSM cliente antes de gerenciar os usuários do HSM. Para ter mais informações, consulte Manter os usuários do HSM em sincronia.
Quando você adiciona um novo HSM a um cluster, AWS CloudHSM faz um backup de todas as chaves, usuários e políticas em um HSM existente. Depois, restaura esse backup no novo HSM. Isso mantém os dois HSMs em sincronia.
Se os HSMs em um cluster ficarem fora de sincronização, eles AWS CloudHSM serão ressincronizados automaticamente. Para habilitar isso, AWS CloudHSM usa as credenciais do usuário do equipamento. Esse usuário existe em todos os HSMs fornecidos por AWS CloudHSM e tem permissões limitadas. Ele pode obter um hash de objetos no HSM e extrair e inserir objetos mascarados (criptografados). O AWS não consegue visualizar nem modificar os usuários ou as chaves, além de não poder executar qualquer operação criptográfica usando essas chaves.
Alta disponibilidade e balanceamento de carga do cluster
Ao criar um AWS CloudHSM cluster com mais de um HSM, você obtém automaticamente o balanceamento de carga. Balanceamento de carga significa que o cliente do AWS CloudHSM distribui as operações criptográficas por todos os HSM no cluster com base na capacidade de processamento adicional de cada HSM.
Ao criar os HSMs em diferentes zonas de AWS disponibilidade, você obtém automaticamente alta disponibilidade. Alta disponibilidade significa obter maior confiabilidade, pois nenhum HSM individual é um ponto único de falha. Recomendamos que você tenha no mínimo dois HSMs em cada cluster, com cada HSM em diferentes zonas de disponibilidade dentro de uma AWS região.
Por exemplo, a figura a seguir mostra um aplicativo de banco de dados Oracle que é distribuído para duas diferentes zonas de disponibilidade. As instâncias do banco de dados armazenam suas chaves mestras em um cluster que inclui um HSM em cada zona de disponibilidade. AWS CloudHSM sincroniza automaticamente as chaves com os dois HSMs para que fiquem imediatamente acessíveis e redundantes.
