创建集群 - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建集群

集群是个人的集合HSMs。 AWS CloudHSM 同步每个群集HSMs中的,以便它们充当逻辑单元。 AWS CloudHSM 提供两种类型HSMs:hsm1.medium 和 hsm2m.med ium。创建集群时,您可以选择两个集群中的哪一个将位于您的集群中。有关每HSM种类型和集群模式之间差异的详细信息,请参阅AWS CloudHSM 集群模式和HSM类型

创建集群时,代表您为集群 AWS CloudHSM 创建安全组。此安全组控制对集群HSMs中的的网络访问。它仅允许来自安全组中的亚马逊弹性计算云 (AmazonEC2) 实例的入站连接。默认情况下,安全组不包含任何实例。稍后,您将启动一个客户端实例,并将集群的安全组配置为允许与进行通信和连接HSM。

重要

创建集群时, AWS CloudHSM 会创建一个名 AWSServiceRoleForCloudHSM为的服务相关角色。如果 AWS CloudHSM 无法创建角色或角色尚不存在,则可能无法创建集群。有关更多信息,请参阅 解决集群创建失败问题。有关服务相关角色的更多信息,请参阅的服务相关角色 AWS CloudHSM

您可以通过AWS CloudHSM 控制台AWS Command Line Interface (AWS CLI) 或创建集群 AWS CloudHSM API。

注意

有关集群参数和的详细信息APIs,请参阅《AWSCLI命令参考》create-cluster中的。

创建集群 (控制台)

  1. 在家中打开https://console.aws.amazon.com/cloudhsm/主 AWS CloudHSM机。

  2. 在导航栏上,使用区域选择器选择当前支持的AWS 区域之一。 AWS CloudHSM

  3. 选择创建集群

  4. 集群配置部分中,执行以下操作:

    1. 对于 VPCVPC,请选择您在中创建的创建虚拟私有云(VPC)

    2. 对于可用区,在可用区旁边选择您创建的私有子网。

      注意

      即使给定可用区 AWS CloudHSM 不支持,性能也不应受到影响,因为集群HSMs中的所有可用区 AWS CloudHSM 会自动进行负载平衡。要查看可用区支持的内容 AWS 一般参考,请参阅中的AWS CloudHSM 区域和终端节点 AWS CloudHSM。

    3. 对于HSM类型,选择可以在您的集群中创建的HSM类型以及所需的集群模式。要查看每个地区支持哪些HSM类型,请参阅定AWS CloudHSM 价计算器

      重要

      集群创建后,无法更改集群HSM类型和集群模式。有关哪种类型和模式适合您的用例的信息,请参阅AWS CloudHSM 集群模式和HSM类型

    4. 对于集群源,请指定是要创建新集群还是要从现有备份中恢复集群。

      • 非FIPS模式群集的备份只能用于还原处于非FIPS模式的群集。

      • FIPS模式下集群的备份只能用于还原处于FIPS模式的集群。

  5. 选择下一步

  6. 指定服务的备份保留期。

    注意

    接受 90 天的默认保留期或键入一个介于 7 到 379 天之间的新值。该服务将自动删除此集群中早于您在此处所指定的值的备份。您以后可以更改此值。有关更多信息,请参阅 配置备份保留

  7. 选择下一步

  8. (可选) 键入标签键和一个可选标签值。要向集群添加多个标签,请选择 添加标签

  9. 选择审核

  10. 检查您的集群配置,然后选择 创建集群

创建集群 (AWS CLI)

  • 在命令提示符下,运行 create-cluster 命令。指定您计划在其中创建HSMs的子网IDs的HSM实例类型、备份保留期和子网。使用您创建IDs的私有子网的子网。每个可用区仅指定一个子网。

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode FIPS

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm1.medium",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    注意

    ClusterMode是除了 hsm1.medium 之外的所有 hsm 类型的必填参数。 --mode:

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS
创建集群 (AWS CloudHSM API)

  • 发送 CreateCluster 请求。指定您计划在其中创建HSMs的子网IDs的HSM实例类型、备份保留策略和子网。使用您创建IDs的私有子网的子网。每个可用区仅指定一个子网。

如果您尝试创建集群失败,可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决集群创建失败问题