本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 CMU 在 AWS CloudHSM 集群中同步密钥
使用 c AWS CloudHSM loudhsm\$1mgmt\$1util 中的**syncKey**命令在集群内的 HSM 实例之间或克隆的集群之间手动同步密钥。通常,您不需要使用此命令,因为 HSM 集群中的实例会自动同步密钥。但是,跨克隆集群的密钥同步必须手动完成。为了简化全球扩展和灾难恢复流程,克隆集群通常在不同的 AWS 区域创建。
您不能使用 **syncKey** 跨任意集群同步密钥:一个集群必须已从其他集群的备份中创建。此外,这两个集群必须具有一致的 CO 和 CU 凭证,操作才能成功。有关更多信息,请参阅 [HSM 用户](understanding-users-cmu.md)。
要使用**syncKey**,必须先[创建一个 AWS CloudHSM 配置文件](cloned-clusters.md),指定源集群中的一个 HSM 和目标集群中的一个 HSM。这将允许 cloudhsm\$1mgmt\$1util 连接到这两个 HSM 实例。使用此配置文件启动 cloudhsm\$1mgmt\$1util。然后,使用拥有您要同步的密钥的 CO 或 CU 的凭证登录。
## 用户类型
以下类型的用户均可运行此命令。
+ 加密员(CO)
+ 加密用户 (CU)
**注意**
COs 可以在任何按键**syncKey**上使用,而 CUs 只能在他们拥有的密钥上使用此命令。有关更多信息,请参阅 [AWS CloudHSM 管理实用程序的 HSM 用户类型](understanding-users-cmu.md)。
## 先决条件
在开始之前,您必须知道要与目标 HSM 密钥同步的源 HSM 上的密钥的 `key handle`。要查找 `key handle`,请使用 [listUsers](cloudhsm_mgmt_util-listUsers.md) 命令列出命名用户的所有标识符。然后,使用[findAllKeys](cloudhsm_mgmt_util-findAllKeys.md)命令查找属于特定用户的所有密钥。
您还需要知道`server IDs`分配给源和目标的值 HSMs,它们显示在启动时由 cloudhsm\$1mgmt\$1util 返回的跟踪输出中。它们的分配顺序与它们在配置文件中的 HSMs 显示顺序相同。
按照跨克隆的集群[使用 CMU Across Cloned Clusters ](cloned-clusters.md)中的说明进行操作,并使用新的配置文件初始化 cloudhsm\$1mgmt\$1util。然后,通过发出 [server](cloudhsm_mgmt_util-server.md) 命令在源 HSM 上进入服务器模式。
## 语法
**注意**
要运行 **syncKey**,请先在 HSM 上进入服务器模式,其中包含要同步的密钥。
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
**用户类型**:加密用户 (CU)
```
syncKey
```
## 示例
运行 **server** 命令登录到源 HSM,并进入服务器模式。对于此示例,我们假设 `server 0` 是源 HSM。
```
aws-cloudhsm> server 0
```
现在运行 **syncKey** 命令。在本示例中,我们假定密钥 `261251` 将同步到 `server 1`。
```
aws-cloudhsm> syncKey 261251 1
syncKey success
```
## 参数
由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。
```
syncKey
```
****
指定要同步的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请在登录 HSM 服务器[findAllKeys](cloudhsm_mgmt_util-findAllKeys.md)时使用。
是否必需:是
****
指定要同步密钥的服务器的编号。
是否必需:是
## 相关主题
+ [listUsers](cloudhsm_mgmt_util-listUsers.md)
+ [findAllKeys](cloudhsm_mgmt_util-findAllKeys.md)
+ [描述中的集群](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI
+ [服务器](cloudhsm_mgmt_util-server.md)