本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CMU 在 AWS CloudHSM 集群中同步密钥
使用 c AWS CloudHSM loudhsm_mgmt_util 中的syncKey命令在集群内的 HSM 实例之间或克隆的集群之间手动同步密钥。通常,您不需要使用此命令,因为 HSM 集群中的实例会自动同步密钥。但是,跨克隆集群的密钥同步必须手动完成。为了简化全球扩展和灾难恢复流程,克隆集群通常在不同的 AWS 区域创建。
您不能使用 syncKey 跨任意集群同步密钥:一个集群必须已从其他集群的备份中创建。此外,这两个集群必须具有一致的 CO 和 CU 凭证,操作才能成功。有关更多信息,请参阅 HSM 用户。
要使用syncKey,必须先创建一个 AWS CloudHSM 配置文件,指定源集群中的一个 HSM 和目标集群中的一个 HSM。这将允许 cloudhsm_mgmt_util 连接到这两个 HSM 实例。使用此配置文件启动 cloudhsm_mgmt_util。然后,使用拥有您要同步的密钥的 CO 或 CU 的凭证登录。
用户类型
以下类型的用户均可运行此命令。
-
加密员(CO)
-
加密用户 (CU)
注意
COs 可以在任何按键syncKey上使用,而 CUs 只能在他们拥有的密钥上使用此命令。有关更多信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户类型。
先决条件
在开始之前,您必须知道要与目标 HSM 密钥同步的源 HSM 上的密钥的 key handle。要查找 key handle,请使用 listUsers 命令列出命名用户的所有标识符。然后,使用findAllKeys命令查找属于特定用户的所有密钥。
您还需要知道server IDs分配给源和目标的值 HSMs,它们显示在启动时由 cloudhsm_mgmt_util 返回的跟踪输出中。它们的分配顺序与它们在配置文件中的 HSMs 显示顺序相同。
按照跨克隆的集群使用 CMU Across Cloned Clusters 中的说明进行操作,并使用新的配置文件初始化 cloudhsm_mgmt_util。然后,通过发出 server 命令在源 HSM 上进入服务器模式。
语法
注意
要运行 syncKey,请先在 HSM 上进入服务器模式,其中包含要同步的密钥。
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
用户类型:加密用户 (CU)
syncKey<key handle><destination hsm>
示例
运行 server 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 server 0 是源 HSM。
aws-cloudhsm>server 0
现在运行 syncKey 命令。在本示例中,我们假定密钥 261251 将同步到 server 1。
syncKey successaws-cloudhsm>syncKey 261251 1
参数
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
syncKey<key handle><destination hsm>
- <key handle>
-
指定要同步的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请在登录 HSM 服务器findAllKeys时使用。
必需:是
- <destination hsm>
-
指定要同步密钥的服务器的编号。
必需:是
相关 主题
-
描述中的集群 AWS CLI
