AWS CloudHSM sincronizzazione del cluster

In un AWS CloudHSM cluster, AWS CloudHSM mantiene sincronizzate le chiavi sui singoli moduli di protezione hardware. Non è necessaria alcuna operazione per sincronizzare le chiavi sugli HSM. A differenza delle chiavi, non esiste un meccanismo lato server per sincronizzare gli utenti HSM nel cluster. La AWS CloudHSM CLI esegue la sincronizzazione ottimale delle operazioni degli utenti tra gli HSM, ma possono verificarsi incongruenze se un'operazione fallisce parzialmente. Se gli utenti non sono sincronizzati, il comando mostrerà delle incongruenze. user list Per ulteriori informazioni, consulta L'utente o la policy di Client SDK 5 contengono valori non coerenti.

Quando si aggiunge un nuovo HSM a un cluster, AWS CloudHSM esegue un backup di tutte le chiavi, gli utenti e le politiche su un HSM esistente. Quindi, ripristina il backup nel nuovo HSM. In questo modo i due HSM sono sincronizzati.

Se le chiavi sugli HSM in un cluster non sono sincronizzate, AWS CloudHSM le risincronizza automaticamente. Per abilitare questa funzionalità, AWS CloudHSM utilizza le credenziali dell'utente dell'appliance. Questo utente esiste su tutti gli HSM forniti da AWS CloudHSM e dispone di autorizzazioni limitate. È possibile ottenere un hash di oggetti in HSM ed estrarre e inserire oggetti mascherati (crittografati). AWS non è in grado di visualizzare o modificare utenti o chiavi e non è in grado di eseguire tutte le operazioni di crittografia utilizzando tali chiavi.

Questa risincronizzazione automatica si applica solo alle chiavi. Gli utenti e le politiche (come le impostazioni mTLS) non vengono risincronizzati automaticamente. La CLI di CloudHSM esegue la sincronizzazione ottimale delle operazioni di utenti e policy tra gli HSM, ma possono comunque verificarsi incongruenze e potrebbe essere necessario risolverle manualmente. Per ulteriori informazioni, consulta L'utente o la policy di Client SDK 5 contengono valori non coerenti.