本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
syncKey
您可使用 cloudhsm_mgmt_util 中的 syncKey 命令,在一個叢集或複製叢集間的 HSM 執行個體間同步金鑰。一般而言,您不需要使用此命令,這是因為叢集中的 HSM 執行個體會自動同步金鑰。但是您須手動同步複製叢集之間的金鑰。複製的叢集通常會在不同的 AWS 區域中建立,以簡化全域擴展和災難復原程序。
您不能用 syncKey 在任意叢集之間同步金鑰:其中一個叢集必須是從另一個叢集的備份建立而來。此外,兩個叢集必須擁有一致的 CO 和 CU 登入資料,操作才能成功。如需詳細資訊,請參閱 HSM 使用者。
若要使用syncKey,您必須先建立一個 AWS CloudHSM 組態檔,從來源叢集指定一個 HSM,另一個從目的地叢集指定一個 HSM。這可讓 cloudhsm_mgmt_util 連線到兩個 HSM 執行個體。使用此組態檔案啟動 cloudhsm_mgmt_util。然後,使用擁有您要同步金鑰的 CO 或 CU 登入資料登入。
使用者類型
下列類型的使用者可以執行此命令。
-
加密管理員 (CO)
-
加密使用者 (CU)
注意
CO 可以在任何金鑰上使用 syncKey,而 CU 只能在他們擁有的金鑰上使用此命令。如需詳細資訊,請參閱 了解 HSM 使用者。
必要條件
開始之前,您須知道來源 HSM 上要與目標 HSM 同步之金鑰的 key handle。如要尋找 key handle,請使用 listUsers 命令列出具名使用者的所有識別符。然後,使用findAllKeys命令尋找屬於特定使用者的所有金鑰。
您也需了解指派給來源及目標 HSM 的 server IDs,這會顯示在啟動時由 cloudhsm_mgmt_util 所傳回的追蹤輸出中的具體內容。這些項目的指派順序就是 HSM 顯示在組態檔案中的順序。
遵循複製叢集間使用 CMU 的說明,並使用新的組態檔案初始化 cloudhsm_mgmt_util。然後,發出 server 命令,在來源 HSM 上進入伺服器模式。
語法
注意
若要執行 syncKey,請先在包含要同步金鑰的 HSM 上進入伺服器模式。
因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。
使用者類型:加密使用者 (CU)
syncKey<key handle><destination hsm>
範例
執行 server 命令,登入來源 HSM 並進入伺服器模式。在該範例中,我們假設 server 0 是來源 HSM。
aws-cloudhsm>server 0
現在執行 syncKey 命令。在這個範例中,我們假設金鑰 261251 要同步到 server 1。
syncKey successaws-cloudhsm>syncKey 261251 1
引數
因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。
syncKey<key handle><destination hsm>
- <key handle>
-
指定要同步金鑰的金鑰控制代碼。每一個命令中只能指定一個金鑰。若要取得金鑰的金鑰控制代碼,請findAllKeys在登入 HSM 伺服器時使用。
必要:是
- <destination hsm>
-
指定您要同步金鑰的伺服器數量。
必要:是
相關主題
-
描述叢集 AWS CLI
