在 AWS CloudHSM 中激活集群

当您激活 AWS CloudHSM 群集后，该群集的状态将从已初始化变为活动。然后，您可以管理硬件安全模块 (HSM) 用户并使用 HSM。

重要

在激活集群之前，您必须首先将颁发证书复制到连接到集群的每个 EC2 实例上平台的默认位置（您在初始化集群时所创建的颁发证书）。

Linux


/opt/cloudhsm/etc/customerCA.crt

Windows


C:\ProgramData\Amazon\CloudHSM\customerCA.crt

放置颁发证书后，安装 CloudHSM CLI 并在您的第一个 HSM 上运行 cluster activate 命令。您会注意到集群中第一个 HSM 上的管理员账户具有未激活的管理员角色。这是一个临时角色，仅存在于集群激活之前。激活集群后，未激活的管理员角色将变为管理员。

激活集群

连接到之前已启动的客户端实例。有关更多信息，请参阅启动 Amazon EC2 客户端实例，以便与 AWS CloudHSM 交互。您可以启动 Linux 实例或 Windows Server。

在交互模式下运行 CloudHSM CLI。

（可选）使用 user list 命令显示现有用户。


aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "unactivated-admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

使用 cluster activate 命令设置初始管理员密码。
```
aws-cloudhsm > cluster activate
Enter password:<NewPassword>
Confirm password:<NewPassword>
{
  "error_code": 0,
  "data": "Cluster activation successful"
}
```
我们建议您在密码工作表上记下新密码。切勿丢失该工作表。我们建议您打印一份密码工作表，用它来记录您的重要 HSM 密码，然后将其存储在安全位置。此外，建议您在安全的异地存储设施中存储此工作表的一个副本。

（可选）使用 user list 命令验证用户的类型是否已更改为管理员/CO。


aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
       {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

使用 quit 命令停止 CloudHSM CLI 工具。
```
aws-cloudhsm > quit
```

有关使用 CloudHSM CLI 或 CMU 的更多信息，请参阅了解 HSM 用户和使用 CMU 了解 HSM 用户管理。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

安装 CloudHSM CLI

设置 mTLS（推荐）