在 AWS CloudHSM 中创建集群 - AWS CloudHSM

在 AWS CloudHSM 中创建集群

集群是各硬件安全模块(HSM)的集合。AWS CloudHSM 同步每个集群中的 HSM,使其作为逻辑单元运行。AWS CloudHSM提供两种类型的 HSM:hsm1.mediumhsm2m.medium。创建集群时,您可以选择将两者中的哪一个加入到您的集群中。有关每种 HSM 类型和集群模式之间的差异的详细信息,请参阅 AWS CloudHSM 集群模式

创建集群时,AWS CloudHSM 将代表您为集群创建安全组。此安全组控制对集群中的 HSM 的网络访问。它仅允许来自安全组中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例的入站连接。默认情况下,安全组不包含任何实例。稍后,您可以启动客户端实例配置集群的安全组以允许与 HSM 的通信和连接。

重要

在创建集群时,AWS CloudHSM 将创建名为 AWSServiceRoleForCloudHSM 的服务相关角色。如果 AWS CloudHSM 无法创建角色或角色不存在,则可能无法创建集群。有关更多信息,请参阅 解决 AWS CloudHSM 集群创建失败。有关服务相关角色的更多信息,请参阅AWS CloudHSM 的服务相关角色

重要

如果您使用的是 AWS CloudHSM 双堆栈端点(如 cloudhsmv2.region.api.aws),请确保更新您的 IAM 策略以处理 IPv6。有关更多信息,请参阅“安全性”下的“将 IAM 策略升级到 IPv6”部分

可以通过 AWS CloudHSM 控制台AWS Command Line Interface (AWS CLI) 或 AWS CloudHSM API 创建集群。

注意

有关集群参数和 API 的详细信息,请参阅《AWS CLI 命令参考》中的 create-cluster

Console
创建集群 (控制台)

  1. 打开位于 https://console.aws.amazon.com/cloudhsm/home 的 AWS CloudHSM 控制台。

  2. 在导航栏上,使用区域选择器选择 AWS CloudHSM 当前支持的 AWS 区域之一

  3. 选择创建集群

  4. 集群配置部分中,执行以下操作:

    1. 对于 VPC,选择您在 为 AWS CloudHSM 中创建虚拟私有云(VPC) 中创建的 VPC。

    2. 对于可用区,在可用区旁边选择您创建的私有子网。

      注意

      即使给定可用区中不支持 AWS CloudHSM,性能也不应受到影响,因为 AWS CloudHSM 将跨集群中的所有 HSM 自动进行负载均衡。请参阅 AWS CloudHSM 中的 AWS 一般参考 区域和终端节点,了解 AWS CloudHSM 的可用区支持。

    3. 对于 HSM 类型,选择可以在集群中创建的 HSM 类型以及所需的集群模式。要查看每个区域所支持的 HSM 类型,请参阅 AWS CloudHSM定价计算器

      重要

      集群创建后,无法更改 HSM 类型和集群模式。有关适合您的使用场景的类型和模式的信息,请参阅 AWS CloudHSM 集群模式

    4. 对于集群源,指定您是要创建新集群还是从现有备份中还原一个集群。

      • 处于非 FIPS 模式的集群备份只能用于还原处于非 FIPS 模式的集群。

      • 处于 FIPS 模式的集群备份只能用于还原处于 FIPS 模式的集群。

  5. 选择下一步

  6. 指定服务的备份保留期。

    注意

    接受 90 天的默认保留期或键入一个介于 7 到 379 天之间的新值。该服务将自动删除此集群中早于您在此处所指定的值的备份。您以后可以更改此值。有关更多信息,请参阅 配置备份保留

  7. 选择下一步

  8. (可选) 键入标签键和一个可选标签值。要向集群添加多个标签,请选择 添加标签

  9. 选择审核

  10. 检查您的集群配置,然后选择 创建集群

如果您尝试创建集群失败,可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决 AWS CloudHSM 集群创建失败

AWS CLI
创建集群 (AWS CLI)

  • 在命令提示符下,运行 create-cluster 命令。指定 HSM 实例类型、备份保留期和计划在其中创建 HSM 的子网 ID。使用您创建的私有子网的子网 ID。每个可用区仅指定一个子网。

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode FIPS

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm1.medium",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    注意

    ClusterMode 是除 hsm1.medium.--mode 之外的所有 hsm 类型的必需参数:

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS

如果您尝试创建集群失败,可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决 AWS CloudHSM 集群创建失败

AWS CloudHSM API
创建集群 (AWS CloudHSM API)

  • 发送 CreateCluster 请求。指定 HSM 实例类型、备份保策略和计划在其中创建 HSM 的子网 ID。使用您创建的私有子网的子网 ID。每个可用区仅指定一个子网。

如果您尝试创建集群失败,可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决 AWS CloudHSM 集群创建失败