本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 的用戶端 Amazon EC2 執行個體安全群組 AWS CloudHSM
當您在 中啟動叢集的 Amazon EC2 執行個體時 AWS CloudHSM,您會將其與預設的 Amazon VPC 安全群組建立關聯。本主題說明如何將叢集安全群組與 EC2 執行個體建立關聯。此關聯允許在 EC2 執行個體上執行的 AWS CloudHSM 用戶端與您的 HSMs 通訊。若要將 EC2 執行個體連線至 AWS CloudHSM 叢集,您必須正確設定 VPC 預設安全群組,*並將*叢集安全群組與執行個體建立關聯。
使用下列步驟來完成組態變更。
**Topics**
+ [步驟 1. 修改預設安全群組](#configure-sg-client-instance-modify-default-security-group)
+ [步驟 2. 將 Amazon EC2 執行個體連接至 AWS CloudHSM 叢集](#configure-sg-client-instance-connect-the-ec2-instance-to-the-HSM-cluster)
## 步驟 1. 修改預設安全群組
您需要修改預設安全群組,允許 SSH 或 RDP 連線,以便下載及安裝用戶端軟體,並與您的 HSM 互動。
**修改預設安全群組**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 **EC2 儀表板**。
1. 選取**執行個體 (執行中)**,然後選取您要安裝 AWS CloudHSM 用戶端之 EC2 執行個體旁的核取方塊。
1. 在**安全**標籤下方,選擇名稱為**預設**的安全群組。
1. 在頁面頂端,依序選擇 **Actions (動作)** 和 **Edit Inbound Rules (編輯傳入規則)**。
1. 選取 **Add Rule (新增規則)**。
1. 針對 **Type (類型)**,執行下列其中一項操作:
+ 若是 Windows Server Amazon EC2 執行個體,請選擇 **RDP**。即會自動填入連接埠 `3389`。
+ 若是 Linux EC2 執行個體,請選擇 **SSH**。即會自動填入連接埠範圍 `22`。
1. 對於任意一個選項,請將**來源**設定為**我的 IP**,以便與 Amazon EC2 執行個體進行通訊。
**重要**
請不要將 0.0.0.0/0 指定為 CIDR 範圍,避免其他人存取您的執行個體。
1. 選擇**儲存**。
## 步驟 2. 將 Amazon EC2 執行個體連接至 AWS CloudHSM 叢集
您必須將叢集安全群組連接到 EC2 執行個體,以便 EC2 執行個體可以與叢集中的 HSM 通訊。叢集安全群組包含預先設定的規則,其允許透過連接埠 2223-2225 的傳入通訊。
**將 EC2 執行個體連線至 AWS CloudHSM 叢集**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 **EC2 儀表板**。
1. 選取**執行個體 (執行中)**,然後選取您要安裝 AWS CloudHSM 用戶端之 EC2 執行個體的核取方塊。
1. 在頁面頂端,依序選擇**動作**、**聯網**和**變更安全群組**。
1. 選取群組名稱符合您叢集 ID 的安全群組,例如 `cloudhsm-cluster--sg`。
1. 選擇**新增安全群組**。
1. 選取**儲存**。
**注意**
您最多可以指派 5 個安全群組給 Amazon EC2 執行個體。如果您已達到上限,則必須修改 Amazon EC2 執行個體的預設安全群組和叢集安全群組:
在預設安全群組中,執行下列動作:
新增傳入規則,允許使用 TCP 通訊協定、來自叢集安全群組,且透過連接埠 `2223-2225` 的流量。
在叢集安全群組中,執行下列動作:
新增傳入規則,允許使用 TCP 通訊協定、來自預設安全群組,且透過連接埠 `2223-2225` 的流量。