本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
集群是各个硬件安全模块 (HSMs) 的集合。 AWS CloudHSM 同步每个群集 HSMs 中的,以便它们充当逻辑单元。 AWS CloudHSM 提供两种类型HSMs:hsm1.medium 和 hsm2m.med ium。创建集群时,您可以选择将两者中的哪一个加入到您的集群中。有关每种 HSM 类型和集群模式之间的差异的详细信息,请参阅 AWS CloudHSM 集群模式。
创建集群时, AWS CloudHSM 会代表您为该集群创建一个安全组。此安全组控制对集群 HSMs 中的的网络访问。它仅允许来自安全组中的亚马逊弹性计算云 (Amazon EC2) 实例的入站连接。默认情况下,安全组不包含任何实例。稍后,您可以启动客户端实例和配置集群的安全组以允许与 HSM 的通信和连接。
重要
创建集群时, AWS CloudHSM 会创建一个名为 AWSService RoleForCloud HSM 的服务相关角色。如果 AWS CloudHSM 无法创建角色或角色尚不存在,则可能无法创建集群。有关更多信息,请参阅 解决 AWS CloudHSM 集群创建失败的问题。有关服务相关角色的更多信息,请参阅的服务相关角色 AWS CloudHSM。
重要
如果您使用的是AWS CloudHSM 双堆栈终端节点(即 cloudhsmv2. <region>.api.aws),请确保更新您的 IAM 政策以进行处理。 IPv6有关更多信息,请参阅 “安全性” 下的 “将 IAM 策略升级为 IPv6 ” 部分。
可以通过 AWS CloudHSM
控制台
注意
有关集群参数和的详细信息 APIs,请参阅 AWS CLI 命令参考create-cluster中的。
创建集群 (控制台)
在家中打开https://console.aws.amazon.com/cloudhsm/主 AWS CloudHSM
机。 -
在导航栏上,使用区域选择器选择当前支持的AWS 区域之一。 AWS CloudHSM
-
选择创建集群。
-
在集群配置部分中,执行以下操作:
-
对于 VPC,选择您在 为创建虚拟私有云 (VPC) AWS CloudHSM 中创建的 VPC。
-
对于可用区,在可用区旁边选择您创建的私有子网。
注意
即使给定可用区 AWS CloudHSM 不支持,性能也不应受到影响,因为集群 HSMs 中的所有可用区 AWS CloudHSM 会自动进行负载平衡。请参阅中的AWS CloudHSM 区域和终端节点 AWS 一般参考,以查看对可用区的支持 AWS CloudHSM。
-
对于 HSM 类型,选择可以在集群中创建的 HSM 类型以及所需的集群模式。要查看每个区域所支持的 HSM 类型,请参阅 AWS CloudHSM 定价计算器
。 重要
集群创建后,无法更改集群模式。有关哪种类型和模式适合您的用例的信息,请参阅AWS CloudHSM 集群模式。
-
在 “网络类型” 中,选择用于访问您的 IP 地址协议 HSMs。 IPv4 将您的应用程序之间的通信限制 HSMs 为 “ IPv4 仅限”。这是默认选项。双栈同时支持 IPv4 和 IPv6 通信。要使用双堆栈,请将 IPv4 和 IPv6 CIDRs 添加到您的 VPC 和子网配置中。初始设置后很难更改网络类型。要对其进行修改,请创建现有集群的备份,然后使用所需的网络类型还原一个新集群。有关更多信息,请参阅通过备份创建 AWS CloudHSM 集群
-
对于集群源,指定您是要创建新集群还是从现有备份中还原一个集群。
处于非 FIPS 模式的集群备份只能用于还原处于非 FIPS 模式的集群。
处于 FIPS 模式的集群备份只能用于还原处于 FIPS 模式的集群。
-
-
选择下一步。
-
指定服务的备份保留期。
注意
接受 90 天的默认保留期或键入一个介于 7 到 379 天之间的新值。该服务将自动删除此集群中早于您在此处所指定的值的备份。您以后可以更改此值。有关更多信息,请参阅 配置备份保留。
-
选择下一步。
-
(可选) 键入标签键和一个可选标签值。要向集群添加多个标签,请选择 添加标签。
-
选择审核。
-
检查您的集群配置,然后选择 创建集群。
如果您尝试创建集群失败,则可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决 AWS CloudHSM 集群创建失败的问题。
