本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
syncKey
您可以使用 cloudhsm_mgmt_util 中的 syncKey 命令可跨集群中的 HSM 实例或跨克隆的集群同步密钥。通常,您不需要使用此命令,因为 HSM 集群中的实例会自动同步密钥。但是,跨克隆集群的密钥同步必须手动完成。为了简化全球扩展和灾难恢复流程,克隆集群通常在不同的 AWS 区域创建。
您不能使用 syncKey 跨任意集群同步密钥:一个集群必须已从其他集群的备份中创建。此外,这两个集群必须具有一致的 CO 和 CU 凭证,操作才能成功。有关更多信息,请参阅 HSM 用户。
要使用syncKey,必须先创建一个 AWS CloudHSM 配置文件,指定源集群中的一个 HSM 和目标集群中的一个 HSM。这将允许 cloudhsm_mgmt_util 连接到这两个 HSM 实例。使用此配置文件启动 cloudhsm_mgmt_util。然后,使用拥有您要同步的密钥的 CO 或 CU 的凭证登录。
用户类型
以下类型的用户均可运行此命令。
-
加密员(CO)
-
加密用户 (CU)
注意
CO 可以在任何密钥上使用 syncKey,而 CU 只能在自己的密钥上使用此命令。有关更多信息,请参阅 了解 HSM 用户。
先决条件
在开始之前,您必须知道要与目标 HSM 密钥同步的源 HSM 上的密钥的 key handle。要查找 key handle,请使用 listUsers 命令列出命名用户的所有标识符。然后,使用findAllKeys命令查找属于特定用户的所有密钥。
您还需要知道分配给源和目标 HSM 的 server IDs,这些值显示在 cloudhsm_mgmt_util 启动时返回的跟踪输出中。这些分配的顺序与 HSM 在配置文件中显示的顺序相同。
按照跨克隆的集群使用 CMU Across Cloned Clusters 中的说明进行操作,并使用新的配置文件初始化 cloudhsm_mgmt_util。然后,通过发出 server 命令在源 HSM 上进入服务器模式。
语法
注意
要运行 syncKey,请先在 HSM 上进入服务器模式,其中包含要同步的密钥。
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
用户类型:加密用户 (CU)
syncKey<key handle><destination hsm>
示例
运行 server 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 server 0 是源 HSM。
aws-cloudhsm>server 0
现在运行 syncKey 命令。在本示例中,我们假定密钥 261251 将同步到 server 1。
syncKey successaws-cloudhsm>syncKey 261251 1
参数
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncKey<key handle><destination hsm>
- <key handle>
-
指定要同步的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请在登录 HSM 服务器findAllKeys时使用。
必需:是
- <destination hsm>
-
指定要同步密钥的服务器的编号。
必需:是
相关 主题
-
描述中的集群 AWS CLI
