本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 中建立叢集 AWS CloudHSM
<a name="create-cluster"></a>

叢集是個別硬體安全模組 (HSMs) 的集合。 AWS CloudHSM 會同步每個叢集中的 HSMs，使其做為邏輯單位運作。 AWS CloudHSM 提供兩種 HSMs 類型：*hsm1.medium* 和 *hsm2m.medium*。建立叢集時，您可以選擇叢集中的兩個。如需每個 HSM 類型與叢集模式間差異的詳細資訊，請參閱 [AWS CloudHSM 叢集模式](cluster-hsm-types.md)。

當您建立叢集時， AWS CloudHSM 會代表您建立叢集的安全群組。此安全群組會控制對叢集中 HSM 的網路存取。該群組僅允許來自安全群組中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的傳入連接。在預設情況下，此安全群組不包含任何執行個體。您之後會[啟動用戶端執行個體](launch-client-instance.md)並[設定叢集的安全群組](configure-sg.md)，以允許與 HSM 進行通訊並連線。

**考量事項**
+ 以下是在 中建立叢集時的一些考量 AWS CloudHSM：
  + 當您建立叢集時， AWS CloudHSM 會建立名為 AWSServiceRoleForCloudHSM [的服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。如果 AWS CloudHSM 無法建立角色或角色尚未存在，您可能無法建立叢集。如需詳細資訊，請參閱[解決 AWS CloudHSM 叢集建立失敗](troubleshooting-create-cluster.md)。如需服務連結角色的詳細資訊，請參閱[的服務連結角色 AWS CloudHSM](service-linked-roles.md)。
  +  如果您使用[AWS CloudHSM 雙堆疊端點](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) （即 cloudhsmv2.*<region>*.api.aws)，請確定您的 IAM 政策已更新以處理 IPv6。如需詳細資訊，請參閱[安全性下的將 IAM 政策升級至 IPv6 一節](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html)。

您可以從 [AWS CloudHSM 主控台](https://console.aws.amazon.com/cloudhsm/)、[AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 或 AWS CloudHSM API 建立叢集。

如需叢集引數和 APIs，請參閱《 AWS CLI 命令參考》[https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)中的 。

------
#### [ Console ]

**建立叢集 (主控台)**

1. 在 https：//[https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) 開啟 AWS CloudHSM 主控台。

1. 在導覽列上，使用區域選擇器，選擇其中一個[目前支援 AWS CloudHSM 的AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region)。

1. 選擇**建立叢集**。

1. 在**叢集組態**區段中，執行下列操作：

   1. 對於 **VPC**，請選取您在 [建立 的虛擬私有雲端 (VPC) AWS CloudHSM](create-vpc.md) 建立的 VPC。

   1. 對於**可用區域**，請在每個可用區域旁選擇您建立的私有子網路。
**注意**  
即使指定的可用區域 AWS CloudHSM 不支援 ，效能也不應受到影響，因為 AWS CloudHSM 會自動平衡叢集中所有 HSMs負載。請參閱 中的[AWS CloudHSM 區域和端點](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region)*AWS 一般參考*，以查看 的可用區域支援 AWS CloudHSM。

   1. 針對 **HSM 類型**，選取可在叢集中建立的 HSM 類型，以及叢集所需的模式。若要查看每個區域支援哪些 HSM 類型，請參閱[AWS CloudHSM 定價計算器](https://aws.amazon.com/cloudhsm/pricing/)。
**重要**  
建立叢集之後，就無法變更叢集模式。如需適合您使用案例的類型和模式的資訊，請參閱 [AWS CloudHSM 叢集模式](cluster-hsm-types.md)。

   1. 針對**網路類型**，選擇用於存取 HSMs IP 地址通訊協定。IPv4 會將應用程式和 HSMs之間的通訊限制為僅限 IPv4。此為預設選項。雙堆疊可同時啟用 IPv4 和 IPv6 通訊。若要使用雙堆疊，請將 IPv4 和 IPv6 CIDRs 新增至您的 VPC 和子網路組態。網路類型在初始設定後很難變更。若要修改它，請建立現有叢集的備份，並使用所需的網路類型還原新的叢集。如需詳細資訊，請參閱[從備份建立 AWS CloudHSM 叢集](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) 

   1. 針對**叢集來源**，指定您要建立新的叢集，還是從現有的備份還原叢集。
      + 處於非 FIPS 模式的叢集備份只能用來還原處於非 FIPS 模式的叢集。
      + 處於 FIPS 模式的叢集備份只能用來還原處於 FIPS 模式的叢集。

1. 選擇**下一步**。

1. 指定服務應保留備份的時間長度。

   1. 接受預設保留期 90 天，或輸入介於 7 到 379 天之間的新值。服務會自動刪除此叢集中超過您在此指定值的備份。您之後可以變更這個設定。如需詳細資訊，請參閱[設定備份保留](manage-backup-retention.md)。

1. 選擇**下一步**。

1. (選用) 輸入標籤索引鍵和選用標籤值。若要將多個標籤新增至叢集，請選擇**新增標籤**。

1. 選擇**檢閱**。

1. 檢閱您的叢集組態，然後選擇**建立叢集**。

如果您嘗試建立叢集失敗，這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助，請參閱 [解決 AWS CloudHSM 叢集建立失敗](troubleshooting-create-cluster.md)。

------
#### [ AWS CLI ]

**建立叢集 ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ 在命令提示中，執行 **[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)** 命令。指定您計劃建立 HSM 所在子網路的 HSM 執行個體類型、備份保留時長和子網路 ID。使用您建立之私有子網路的子網路 ID。僅能對每個可用區域指定一個子網路。

  ```
  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                      --backup-retention-policy Type=DAYS,Value=<number of days> \
                      --subnet-ids <subnet ID> \
                      --mode <FIPS> \
                      --network-type <IPV4>
  
  {
      "Cluster": {
          "BackupPolicy": "DEFAULT",
          "BackupRetentionPolicy": {
              "Type": "DAYS",
              "Value": 90
           },
          "VpcId": "vpc-50ae0636",
          "SubnetMapping": {
              "us-west-2b": "subnet-49a1bc00",
              "us-west-2c": "subnet-6f950334",
              "us-west-2a": "subnet-fd54af9b"
          },
          "SecurityGroup": "sg-6cb2c216",
          "HsmType": "hsm2m.medium",
          "NetworkType": "IPV4",
          "Certificates": {},
          "State": "CREATE_IN_PROGRESS",
          "Hsms": [],
          "ClusterId": "cluster-igklspoyj5v",
          "ClusterMode": "FIPS",
          "CreateTimestamp": 1502423370.069
      }
  }
  ```
**注意**  
`ClusterMode` 是所有 hsm 類型的必要參數，hsm1.medium 除外。`--mode`：  

  ```
  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
    				--backup-retention-policy Type=DAYS,Value=<number of days> \
    				--subnet-ids <subnet ID> \
  				--mode NON_FIPS
  ```

如果您嘗試建立叢集失敗，這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助，請參閱 [解決 AWS CloudHSM 叢集建立失敗](troubleshooting-create-cluster.md)。

------
#### [ AWS CloudHSM API ]

**建立叢集 (AWS CloudHSM API)**
+ 傳送 [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html) 要求。指定您計劃建立 HSM 所在子網路的 HSM 執行個體類型、備份保留政策和子網路 ID。使用您建立之私有子網路的子網路 ID。僅能對每個可用區域指定一個子網路。

如果您嘗試建立叢集失敗，這可能與服務 AWS CloudHSM 連結角色的問題有關。如需解決失敗的協助，請參閱 [解決 AWS CloudHSM 叢集建立失敗](troubleshooting-create-cluster.md)。

------