Agregar un clúster con funcionalidad de múltiples ranuras en AWS CloudHSM
Cuando se conecte a varias ranuras con PKCS #11 en AWS CloudHSM, use el comando configure-pkcs11 add-cluster para agregar un clúster a la configuración.
Sintaxis
configure-pkcs11 add-cluster[OPTIONS]--cluster-id<CLUSTER ID>[--region<REGION>] [--endpoint<ENDPOINT>] [--hsm-ca-cert<HSM CA CERTIFICATE FILE>] [--client-cert-hsm-tls-file<CLIENT CERTIFICATE FILE>] [--client-key-hsm-tls-file<CLIENT KEY FILE>] [-h, --help]
Ejemplos
Utilice el configure-pkcs11 add-cluster junto con el parámetro cluster-id para agregar un clúster (con el ID de cluster-1234567) a su configuración.
sugerencia
Si al utilizar configure-pkcs11 add-cluster con el parámetro cluster-id el clúster no se agrega, consulte el siguiente ejemplo para obtener una versión más larga de este comando, que también requiere de los parámetros --region y --endpoint para identificar el clúster que se va a agregar. Si, por ejemplo, la región del clúster es diferente a la que está configurada como predeterminada de la AWS CLI, debe usar el parámetro --region para usar la región correcta. Además, puede especificar el punto de conexión de la API AWS CloudHSM que se utilizará para la llamada, lo que puede ser necesario para varias configuraciones de red, como el uso de puntos de conexión de la interfaz de VPC para los que no se utiliza el nombre de host DNS predeterminado para AWS CloudHSM.
Utilice el parámetro configure-pkcs11 add-cluster junto con los parámetros cluster-id, endpoint y regionpara agregar un clúster (con el ID de cluster-1234567) a la configuración.
Para obtener más información acerca de los parámetros --cluster-id, --region y --endpoint, consulte Parámetros de configuración de Client SDK 5 de AWS CloudHSM.
Parámetros
- --cluster-id
<Cluster ID> -
Realiza una llamada
DescribeClusterspara buscar todas las direcciones IP de la interfaz de red elástica (ENI) de HSM en el clúster asociado al ID del clúster. El sistema agrega las direcciones IP de la ENI a los archivos de configuración de AWS CloudHSM.nota
Si utiliza el parámetro
--cluster-idde una instancia EC2 dentro de una VPC que no tiene acceso a la Internet pública, usted debe crear un punto de conexión de VPC de interfaz con el cual conectarse con AWS CloudHSM. Para obtener más información acerca de los puntos de conexión de VPC, consulte AWS CloudHSM y los puntos de enlace de la VPC.Obligatorio: sí
- --punto de conexión
<endpoint> -
Especifique el punto de conexión de la API de AWS CloudHSM utilizada para realizar la llamada
DescribeClusters. Debe configurar esta opción en combinación con--cluster-id.Obligatorio: no
- --hsm-ca-cert
<HsmCA Certificate Filepath> -
Especifica la ruta de archivo hacia el certificado CA del HSM.
Obligatorio: no
- --region
<region> -
Especifique la región de su clúster. Debe configurar esta opción en combinación con
--cluster-id.Si no proporciona el parámetro
--region, el sistema elige la región intentando leer las variables de entornoAWS_DEFAULT_REGIONoAWS_REGION. Si esas variables no están configuradas, el sistema comprueba la región asociada a su perfil en el archivo AWS Config (normalmente~/.aws/config), a menos que haya especificado un archivo diferente en la variable de entorno deAWS_CONFIG_FILE. Si no se establece ninguna de las opciones anteriores, el sistema utilizará la regiónus-east-1de forma predeterminada.Obligatorio: no
- --client-cert-hsm-tls-file
<client certificate hsm tls path> -
Ruta al certificado de cliente usado para la autenticación mutua cliente-servidor de TLS.
Use esta opción solo si ha registrado al menos un anclaje de veracidad en el HSM con la CLI de CloudHSM. Debe configurar esta opción en combinación con
--client-key-hsm-tls-file.Obligatorio: no
- --client-key-hsm-tls-file
<client key hsm tls path> -
Ruta a la clave de cliente usada para la autenticación mutua cliente-servidor de TLS.
Use esta opción solo si ha registrado al menos un anclaje de veracidad en el HSM con la CLI de CloudHSM. Debe configurar esta opción en combinación con
--client-cert-hsm-tls-file.Obligatorio: no
