本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CMU 在 AWS CloudHSM 集群中同步密钥
使用 c AWS CloudHSM loudhsm_mgmt_util 中的syncKey命令在集群内的 HSM 实例之间或克隆的集群之间手动同步密钥。通常,您不需要使用此命令,因为 HSM 集群中的实例会自动同步密钥。但是,跨克隆集群的密钥同步必须手动完成。为了简化全球扩展和灾难恢复流程,克隆集群通常在不同的 AWS 区域创建。
您不能使用 syncKey 跨任意集群同步密钥:一个集群必须已从其他集群的备份中创建。此外,这两个集群必须具有一致的 CO 和 CU 凭证,操作才能成功。有关更多信息,请参阅 HSM 用户。
要使用syncKey,必须先创建一个 AWS CloudHSM 配置文件,指定源集群中的一个 HSM 和目标集群中的一个 HSM。这将允许 cloudhsm_mgmt_util 连接到这两个 HSM 实例。使用此配置文件启动 cloudhsm_mgmt_util。然后,使用拥有您要同步的密钥的 CO 或 CU 的凭证登录。
用户类型
以下类型的用户均可运行此命令。
-
加密员(CO)
-
加密用户 (CU)
注意
COs 可以在任何按键syncKey上使用,而 CUs 只能在他们拥有的密钥上使用此命令。有关更多信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户类型。
先决条件
在开始之前,您必须知道要与目标 HSM 密钥同步的源 HSM 上的密钥的 key handle
。要查找 key handle
,请使用 listUsers 命令列出命名用户的所有标识符。然后,使用findAllKeys命令查找属于特定用户的所有密钥。
您还需要知道server IDs
分配给源和目标的值 HSMs,它们显示在启动时由 cloudhsm_mgmt_util 返回的跟踪输出中。它们的分配顺序与它们在配置文件中的 HSMs 显示顺序相同。
按照跨克隆的集群使用 CMU Across Cloned Clusters 中的说明进行操作,并使用新的配置文件初始化 cloudhsm_mgmt_util。然后,通过发出 server 命令在源 HSM 上进入服务器模式。
语法
注意
要运行 syncKey,请先在 HSM 上进入服务器模式,其中包含要同步的密钥。
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
用户类型:加密用户 (CU)
syncKey
<key handle>
<destination hsm>
示例
运行 server 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 server 0
是源 HSM。
aws-cloudhsm>
server 0
现在运行 syncKey 命令。在本示例中,我们假定密钥 261251
将同步到 server 1
。
syncKey success
aws-cloudhsm>
syncKey 261251 1
参数
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncKey
<key handle>
<destination hsm>
- <key handle>
-
指定要同步的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请在登录 HSM 服务器findAllKeys时使用。
必需:是
- <destination hsm>
-
指定要同步密钥的服务器的编号。
必需:是
相关 主题
-
描述中的集群 AWS CLI