使用 CMU 在 AWS CloudHSM 集群中同步密钥 - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 CMU 在 AWS CloudHSM 集群中同步密钥

使用 c AWS CloudHSM loudhsm_mgmt_util 中的syncKey命令在集群内的 HSM 实例之间或克隆的集群之间手动同步密钥。通常,您不需要使用此命令,因为 HSM 集群中的实例会自动同步密钥。但是,跨克隆集群的密钥同步必须手动完成。为了简化全球扩展和灾难恢复流程,克隆集群通常在不同的 AWS 区域创建。

您不能使用 syncKey 跨任意集群同步密钥:一个集群必须已从其他集群的备份中创建。此外,这两个集群必须具有一致的 CO 和 CU 凭证,操作才能成功。有关更多信息,请参阅 HSM 用户

要使用syncKey,必须先创建一个 AWS CloudHSM 配置文件,指定源集群中的一个 HSM 和目标集群中的一个 HSM。这将允许 cloudhsm_mgmt_util 连接到这两个 HSM 实例。使用此配置文件启动 cloudhsm_mgmt_util。然后,使用拥有您要同步的密钥的 CO 或 CU 的凭证登录。

用户类型

以下类型的用户均可运行此命令。

  • 加密员(CO)

  • 加密用户 (CU)

注意

COs 可以在任何按键syncKey上使用,而 CUs 只能在他们拥有的密钥上使用此命令。有关更多信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户类型

先决条件

在开始之前,您必须知道要与目标 HSM 密钥同步的源 HSM 上的密钥的 key handle。要查找 key handle,请使用 listUsers 命令列出命名用户的所有标识符。然后,使用findAllKeys命令查找属于特定用户的所有密钥。

您还需要知道server IDs分配给源和目标的值 HSMs,它们显示在启动时由 cloudhsm_mgmt_util 返回的跟踪输出中。它们的分配顺序与它们在配置文件中的 HSMs 显示顺序相同。

按照跨克隆的集群使用 CMU Across Cloned Clusters 中的说明进行操作,并使用新的配置文件初始化 cloudhsm_mgmt_util。然后,通过发出 server 命令在源 HSM 上进入服务器模式。

语法

注意

要运行 syncKey,请先在 HSM 上进入服务器模式,其中包含要同步的密钥。

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

用户类型:加密用户 (CU)

syncKey <key handle> <destination hsm>

示例

运行 server 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 server 0 是源 HSM。

aws-cloudhsm> server 0

现在运行 syncKey 命令。在本示例中,我们假定密钥 261251 将同步到 server 1

aws-cloudhsm> syncKey 261251 1 syncKey success

参数

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

syncKey <key handle> <destination hsm>
<key handle>

指定要同步的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请在登录 HSM 服务器findAllKeys时使用。

必需:是

<destination hsm>

指定要同步密钥的服务器的编号。

必需:是

相关 主题