查看 AWS CloudHSM 中集群的安全组
在创建集群时,AWS CloudHSM 将创建一个名为 cloudhsm-cluster- 的安全组。此安全组包含一个预配置的 TCP 规则,允许集群安全组内通过端口 2223-2225 进行的入站和出站通信。此 SG 允许您的 EC2 实例使用您的 VPC 与集群中的 HSM 通信。clusterID-sg
警告
请勿删除或修改预配置的 TCP 规则,该规则填充在集群安全组中。此规则可以防止连接问题以及对 HSM 的未经授权的访问。
集群安全组可以防止对 HSM 进行未经授权的访问。可访问安全组中的实例的任何人均可访问您的 HSM。大多数操作需要用户登录到 HSM。但可以将 HSM 清零而无需进行身份验证,这可能会销毁密钥材料、证书和其他数据。在发生这种情况时,在最新备份后创建或修改的数据将会丢失且无法恢复。要防止未经授权的访问,请确保仅受信任的管理员能够修改或访问默认安全组中的实例。
hsm2m.medium 集群引入了 mTLS 功能来限制未经授权的用户连接到集群。未经授权的用户在尝试零化之前需要有效的 mTLS 凭证才能成功连接到集群。
在下一步骤中,您可以启动一个 Amazon EC2 实例并将它连接到 HSM,方式是向它附加集群安全组。
