建立叢集 - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立叢集

叢集是個別 HSM 的集合。 AWS CloudHSM 同步化每個叢集中的 HSM,以便它們作為邏輯單元運作。 AWS CloudHSM 提供兩種類型的 HSM:h sm1. 中型和 hsm2m建立叢集時,您可以選擇兩個叢集中的哪一個。如需每個 HSM 類型和叢集模式之間差異的詳細資訊,請參閱AWS CloudHSM 叢集模式和 HSM 類型

建立叢集時,請代表您為叢集建 AWS CloudHSM 立安全性群組。此安全群組會控制對叢集中 HSM 的網路存取。該群組僅允許來自安全群組中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的傳入連接。在預設情況下,此安全群組不包含任何執行個體。您之後會啟動用戶端執行個體設定叢集的安全群組,以允許與 HSM 進行通訊並連線。

重要

建立叢集時, AWS CloudHSM 會建立名為 AWSServiceRoleForCloudHSM的服務連結角色。如果 AWS CloudHSM 無法建立角色或角色不存在,您可能無法建立叢集。如需詳細資訊,請參閱 解決叢集建立失敗的問題。如需服務連結角色的詳細資訊,請參閱服務連結角色 AWS CloudHSM

您可以從 AWS CloudHSM 主控台AWS Command Line Interface (AWS CLI) 或 AWS CloudHSM API 建立叢集。

注意

如需叢集引數和 API 的詳細資訊,請參閱 AWS CLI 命令參考create-cluster中的。

建立叢集 (主控台)

  1. 請在以下位置開啟 AWS CloudHSM 主控台。 https://console.aws.amazon.com/cloudhsm/home

  2. 在導覽列上,使用區AWS 域選擇器選擇目前支援的其 AWS CloudHSM中一個區域。

  3. 選擇建立叢集

  4. 叢集組態區段中,執行下列操作:

    1. 對於 VPC,請選取您在 建立虛擬私有雲端 (VPC) 建立的 VPC。

    2. 對於可用區域,請在每個可用區域旁選擇您建立的私有子網路。

      注意

      即使指定 AWS CloudHSM 的可用區域不受支援,效能也不會受到影響,因為叢集中所有 HSM 之間 AWS CloudHSM 會自動進行負載平衡。如需瞭解的可用區域支援 AWS 一般參考,請參閱中的區AWS CloudHSM 域和端點 AWS CloudHSM。

    3. 對於 HSM 類型,請選取可在叢集中建立的 HSM 類型,以及所需的叢集模式。若要查看每個區域支援哪些 HSM 類型,請參閱定AWS CloudHSM 價計算器

      重要

      建立叢集之後,無法變更 HSM 類型和叢集模式。如需適合您使用案例之類型和模式的資訊,請參閱AWS CloudHSM 叢集模式和 HSM 類型

    4. 針對叢集來源,指定是要建立新叢集還是從現有備份還原叢集。

      • 非 FIP 模式下的叢集備份只能用於還原處於非 FIP 模式的叢集。

      • FIPS 模式下的叢集備份只能用於還原處於 FIPS 模式的叢集。

  5. 選擇下一步

  6. 指定服務應保留備份的時間長度。

    注意

    接受預設保留期 90 天,或輸入介於 7 到 379 天之間的新值。服務會自動刪除此叢集中超過您在此指定值的備份。您之後可以變更這個設定。如需詳細資訊,請參閱 設定備份保留原則

  7. 選擇下一步

  8. (選用) 輸入標籤索引鍵和選用標籤值。若要將多個標籤新增至叢集,請選擇新增標籤

  9. 選擇檢閱

  10. 檢閱您的叢集組態,然後選擇建立叢集

建立叢集 (AWS CLI)

  • 在命令提示中,執行 create-cluster 命令。指定您計劃建立 HSM 所在子網路的 HSM 執行個體類型、備份保留時長和子網路 ID。使用您建立之私有子網路的子網路 ID。僅能對每個可用區域指定一個子網路。

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm1.medium",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    注意

    ClusterMode如果未指定,則預設為 FIPS 模式。若要建立非 FIPS 叢集,您必須包含以下參數:--mode

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS
若要建立叢集 (AWS CloudHSM API)

  • 傳送 CreateCluster 要求。指定您計劃建立 HSM 所在子網路的 HSM 執行個體類型、備份保留政策和子網路 ID。使用您建立之私有子網路的子網路 ID。僅能對每個可用區域指定一個子網路。

如果您嘗試建立叢集失敗,則可能與 AWS CloudHSM 服務連結角色的問題相關。如需解決失敗的協助,請參閱 解決叢集建立失敗的問題