Crear un clúster en AWS CloudHSM

Un clúster es un conjunto de módulos de seguridad de hardware (HSM) individuales. AWS CloudHSM sincroniza los HSM de cada clúster para que funcionen como una unidad lógica. AWS CloudHSM ofrece dos tipos de HSM: hsm1.medium y hsm2m.medium. Al crear un clúster, tiene que elegir cuál de los dos estará en él. Para obtener información detallada sobre las diferencias entre cada tipo de HSM y modo de clúster, consulte Modos de clúster del AWS CloudHSM.

Cuando crea un clúster, AWS CloudHSM genera un grupo de seguridad para el clúster en su nombre. Este grupo de seguridad controla el acceso de red a los HSM del clúster. Este grupo solamente permite las conexiones entrantes que proceden de las instancias Amazon Elastic Compute Cloud (Amazon EC2) que están en el grupo de seguridad. De forma predeterminada, el grupo de seguridad no contiene instancias. Posteriormente, debe lanzar una instancia de cliente y configurar el grupo de seguridad del clúster para permitir la comunicación y las conexiones con los HSM.

Consideraciones

A continuación se presentan algunas consideraciones al crear un clúster en AWS CloudHSM:
- Cuando crea un clúster, el AWS CloudHSM crea una función vinculada al servicio llamada AWSServiceRoleForCloudHSM. Si AWS CloudHSM no puede crear la función o esta no existe, es posible que no se pueda crear un clúster. Para obtener más información, consulte Solución de errores al crear clústeres de AWS CloudHSM. Para obtener más información acerca de los roles vinculados a servicios, consulte Roles vinculados a servicios de AWS CloudHSM.
- Si utiliza el punto de conexión de doble pila de AWS CloudHSM (es decir, cloudhsmv2. <región>.api.aws), asegúrese de que las políticas de IAM estén actualizadas para gestionar IPv6. Para obtener más información, consulte la sección Actualizar políticas de IAM a IPv6 en Seguridad.

Puede crear un clúster desde la consola de AWS CloudHSM, la AWS Command Line Interface (AWS CLI), o la API de AWS CloudHSM.

Para obtener detalles sobre los argumentos del clúster y las API, consulte create-cluster en la Referencia de comandos de AWS CLI.

Console

Para crear un clúster (consola)

Abra la consola de AWS CloudHSM en https://console.aws.amazon.com/cloudhsm/home.
En la barra de navegación, utilice el selector de regiones para elegir una de las regiones de AWS donde se admite AWS CloudHSM actualmente:
Elija Create cluster.
En la sección Cluster configuration, haga lo siguiente:
1. Para VPC, seleccione la VPC que ha creado en Crear una nube privada virtual (VPC) para AWS CloudHSM.
2. Para Zonas(s) de disponibilidad), junto a cada zona de disponibilidad, elija la subred privada que ha creado.
  
  nota
  Aunque AWS CloudHSM no se admita dentro de una determinada zona de disponibilidad, el desempeño no debería verse afectado, ya que AWS CloudHSM balancea la carga automáticamente en todos los HSM de un clúster. Consulte Regiones y puntos de enlace de AWS CloudHSM en la Referencia general de AWS para ver las zonas de disponibilidad admitidas en AWS CloudHSM.
3. En el caso de tipo de HSM, seleccione el tipo de HSM que se podrá crear en su clúster junto con el modo deseado del clúster. Para ver qué tipos de HSM se admiten en cada región, consulte la calculadora de precios AWS CloudHSM.
  
  importante
  No se puede cambiar el modo del clúster una vez creado el clúster. Para obtener información sobre qué tipo y modo son adecuados para el caso de uso, consulte Modos de clúster del AWS CloudHSM.
4. En Tipo de red, elija los protocolos de dirección IP para acceder a los HSM. IPv4 limita la comunicación entre la aplicación y los HSM exclusivamente a IPv4. Esta es la opción predeterminada. El enfoque de doble pila habilita comunicación tanto IPv4 como IPv6. Para usar doble pila, agregue CIDR IPv4 e IPv6 a las configuraciones de VPC y subredes. El tipo de red es difícil de cambiar después de la configuración inicial. Para modificarlo, cree una copia de seguridad del clúster existente y restaure un nuevo clúster con el tipo de red deseado. Para obtener más información, consulte Creación de clústeres de AWS CloudHSM a partir de copias de seguridad
5. En el caso de origen del clúster, especifique si desea crear un nuevo clúster o restaurar uno desde una copia de seguridad existente.
  - Las copias de seguridad de clústeres en modo no FIPS solo se pueden usar para restaurar los clústeres que están en modo no FIPS.
  - Las copias de seguridad de clústeres en modo FIPS solo se pueden usar para restaurar los clústeres que están en modo FIPS.
Elija Siguiente.
Especifique durante cuánto tiempo el servicio debe retener las copias de seguridad.
1. Acepte el período de retención predeterminado de 90 días o escriba un nuevo valor de entre 7 y 379 días. El servicio eliminará automáticamente las copias de seguridad de este clúster que sean anteriores al valor que especifique aquí. Puede cambiar este valor posteriormente. Para obtener más información, consulte Configurar la retención de copias de seguridad.
Elija Siguiente.
(Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta al clúster, elija Agregar etiqueta.
Elija Revisar.
Revise la configuración del clúster y, a continuación, elija Crear clúster.

Si sus intentos de crear un clúster no tienen éxito, es posible que se debe a algún problema con las funciones vinculadas a servicios de AWS CloudHSM. Para ayudar a resolver el error, consulte Solución de errores al crear clústeres de AWS CloudHSM.

AWS CLI

Pasos para crear un clúster (AWS CLI)

En el símbolo del sistema, ejecute el comando create-cluster. Especifique el tipo de instancia de HSM, el período de retención de copias de seguridad y los ID de subred de las subredes donde piensa crear los HSM. Utilice los ID de las subredes privadas que ha creado. Especifique solo una subred por zona de disponibilidad.


$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                    --backup-retention-policy Type=DAYS,Value=<number of days> \
                    --subnet-ids <subnet ID> \
                    --mode <FIPS> \
                    --network-type <IPV4>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm2m.medium",
        "NetworkType": "IPV4",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}

nota

ClusterMode es un parámetro obligatorio para todos los tipos de hsm excepto para hsm1.medium.--mode:


$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS

AWS CloudHSM API

Para crear un clúster (API de AWS CloudHSM)

Envíe una solicitud CreateCluster. Especifique el tipo de instancia de HSM, la política de retención de copias de seguridad y los ID de subred de las subredes donde piensa crear los HSM. Utilice los ID de las subredes privadas que ha creado. Especifique solo una subred por zona de disponibilidad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación de una VPC

Revisión del grupo de seguridad del clúster

Crear un clúster en AWS CloudHSM

Consideraciones

Para crear un clúster (consola)

nota

importante

Pasos para crear un clúster (AWS CLI)

nota

Para crear un clúster (API de AWS CloudHSM)