本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 跨 AWS CloudHSM 叢集同步金鑰 CMU
使用 AWS CloudHSM cloudhsm_mgmt_util 中的 syncKey命令,在叢集內的HSM執行個體或複製的叢集之間手動同步金鑰。一般而言,您不需要使用此命令,因為叢集同步金鑰內的HSM執行個體會自動執行。但是您須手動同步複製叢集之間的金鑰。複製的叢集通常在不同 AWS 區域中建立,以簡化全域擴展和災難復原程序。
您不能用 syncKey 在任意叢集之間同步金鑰:其中一個叢集必須是從另一個叢集的備份建立而來。此外,兩個叢集必須擁有一致的 CO 和 CU 登入資料,操作才能成功。如需詳細資訊,請參閱HSM使用者 。
若要使用 syncKey,您必須先建立組態檔案,從來源叢集指定一個組態檔案,從目的地叢集指定一個 AWS CloudHSM 組態檔案。 HSM這將允許 cloudhsm_mgmt_util 連線到這兩個HSM執行個體。使用此組態檔案啟動 cloudhsm_mgmt_util。然後,使用擁有您要同步金鑰的 CO 或 CU 登入資料登入。
使用者類型
下列類型的使用者可以執行此命令。
-
加密管理員 (CO)
-
加密使用者 (CU)
注意
COs 可以在任何金鑰syncKey上使用 ,而 CUs只能在其擁有的金鑰上使用此命令。如需詳細資訊,請參閱HSM AWS CloudHSM Management Utility 的使用者類型。
必要條件
在開始之前,您必須知道來源上HSM要與目的地 同步key handle的金鑰的 HSM。若要尋找 key handle,請使用 listUsers命令列出具名使用者的所有識別符。然後,使用 findAllKeys命令來尋找屬於特定使用者的所有金鑰。
您也需要知道server IDs指派給來源和目的地 的 HSMs,這些 會顯示在啟動時 cloudhsm_mgmt_util 傳回的追蹤輸出中。這些指派順序與 HSMs出現在組態檔案中的順序相同。
請遵循CMU跨 Cloned Clusters 中的指示,並使用新的組態檔案初始化 cloudhsm_mgmt_util。然後,HSM透過發出伺服器命令在來源上進入伺服器模式。
語法
注意
若要執行 syncKey,請先在 上進入伺服器模式HSM,其中包含要同步的金鑰。
因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。
使用者類型:加密使用者 (CU)
syncKey<key handle><destination hsm>
範例
執行伺服器命令以登入來源HSM並進入伺服器模式。在此範例中,我們假設 server 0是來源 HSM。
aws-cloudhsm>server 0
現在執行 syncKey 命令。在這個範例中,我們假設金鑰 261251 要同步到 server 1。
syncKey successaws-cloudhsm>syncKey 261251 1
引數
因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。
syncKey<key handle><destination hsm>
- <key handle>
-
指定要同步金鑰的金鑰控制代碼。每一個命令中只能指定一個金鑰。若要取得金鑰的金鑰控制碼,請在登入HSM伺服器findAllKeys時使用 。
必要:是
- <destination hsm>
-
指定您要同步金鑰的伺服器數量。
必要:是
相關主題
-
describe-clusters in AWS CLI
