Criar um cluster no AWS CloudHSM

Um cluster é uma coleção de módulos de segurança de hardware (HSM). O AWS CloudHSM sincroniza os HSMs em cada cluster para que funcionem como uma unidade lógica. O AWS CloudHSM oferece dois tipos de HSMs: hsm1.medium e hsm2m.medium. Ao criar um cluster, você escolhe qual dos dois estará no cluster. Para obter detalhes sobre as diferenças entre cada tipo de HSM e modo de cluster, consulte Modos de cluster do AWS CloudHSM.

Ao criar um cluster, o AWS CloudHSM cria um grupo de segurança para o cluster em seu nome. Esse grupo de segurança controla o acesso aos HSMs no cluster. Ele permite apenas as conexões de entrada das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que estão no grupo de segurança. Por padrão, o security group não contém instâncias. Posteriormente, você inicia uma instância do cliente e configura o grupo de segurança do cluster para permitir a comunicação e as conexões com o HSM.

Considerações

Veja a seguir algumas considerações ao criar um cluster no AWS CloudHSM:
- Quando você cria um cluster, o AWS CloudHSM cria uma função vinculada ao serviço chamada AWSServiceRoleForCloudHSM. Se o AWS CloudHSM não pode criar a função ou a função ainda não existir, pode não ser possível criar um cluster. Para obter mais informações, consulte Resolver falhas na criação do cluster do AWS CloudHSM. Para obter mais informações sobre funções vinculadas ao serviço, consulte Funções vinculadas ao serviço para o AWS CloudHSM.
- Se você estiver usando o endpoint de pilha dupla do AWS CloudHSM (ou seja, cloudhsmv2.<region>.api.aws), garanta que suas políticas do IAM sejam atualizadas para lidar com IPv6. Para obter mais informações, consulte a seção Fazer upgrade das políticas do IAM para IPv6 em Segurança.

Você pode criar um cluster do console do AWS CloudHSM, a AWS Command Line Interface (AWS CLI) ou a API do AWS CloudHSM.

Para obter detalhes sobre argumentos de cluster e APIs, consulte create-cluster na Referência de comandos da AWS CLI.

Console

Para criar um cluster (console)

Abra o console do AWS CloudHSM em https://console.aws.amazon.com/cloudhsm/home.
Na barra de navegação, use o seletor de região para selecionar uma das regiões AWS onde o AWS CloudHSM é suportado atualmente.
Selecione Create cluster (Criar cluster).
Na seção Configuração de cluster, faça o seguinte:
1. Em VPC, selecione a VPC que você criou em Criar uma nuvem privada virtual (VPC) para o AWS CloudHSM.
2. Em Availability Zone(s), ao lado de cada Zona de disponibilidade, escolha a sub-rede privada que você criou.
  
  nota
  Mesmo que o AWS CloudHSM não seja comportado em determinada zona de disponibilidade, a performance provavelmente não será afetada, visto que o AWS CloudHSM realiza automaticamente o balanceamento de carga entre todos os HSMs em um cluster. Consulte Regiões e endpoints do AWS CloudHSM no Referência geral da AWS para ver o suporte ao AWS CloudHSM por zona de disponibilidade.
3. Para o tipo de HSM, selecione o tipo de HSM que pode ser criado em seu cluster junto com o modo desejado do cluster. Para ver quais tipos de HSM são compatíveis em cada região, consulte a calculadora AWS CloudHSM de preços.
  
  Importante
  Depois que o cluster for criado, o modo cluster não pode ser alterado. Para obter informações sobre qual tipo de cluster é adequado para seu caso de uso, consulte Modos de cluster do AWS CloudHSM.
4. Em Tipo de rede, escolha os protocolos de endereço IP para acessar seus HSMs. O IPv4 limita a comunicação entre sua aplicação e os HSMs somente ao IPv4. Esta é a opção padrão. A Pilha dupla permite a comunicação IPv4 e IPv6. Para usar pilha dupla, adicione CIDRs IPv4 e IPv6 às suas configurações de VPC e sub-rede. É difícil alterar o tipo de rede após a configuração inicial. Para modificá-lo, crie um backup do seu cluster existente e restaure um novo cluster com o tipo de rede desejado. Para obter mais informações, consulte Criar clusters do AWS CloudHSM de backups
5. Para a Origem do cluster, especifique se você deseja criar um cluster ou restaurar um de um backup existente.
  - Backups de clusters no modo não FIPS podem ser usados apenas para restaurar clusters que estão no modo não FIPS.
  - Backups de clusters no modo FIPS podem ser usados apenas para restaurar clusters que estão no modo FIPS.
Escolha Próximo.
Especifique por quanto tempo o serviço deve reter os backups.
1. Aceite o período de retenção padrão de 90 dias ou digite um novo valor entre 7 e 379 dias. O serviço excluirá automaticamente os backups presentes nesse cluster que sejam mais antigos do que o valor especificado. Você pode alterar esse valor depois. Para obter mais informações, consulte Configurar a retenção de backup.
Escolha Próximo.
(Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma tag ao cluster, selecione Adicionar tag.
Escolha Review (Revisar).
Reveja sua configuração de cluster e escolha Create cluster (Criar cluster).

Se as suas tentativas de criar um cluster falharem, isso pode estar relacionado a problemas com as funções vinculadas a serviços do AWS CloudHSM. Para obter ajuda para resolver essa falha, consulte Resolver falhas na criação do cluster do AWS CloudHSM.

AWS CLI

Para criar um cluster (AWS CLI)

Em um prompt de comando, execute o comando create-cluster. Especifique o tipo de instância do HSM, o período de retenção do backup e os IDs das sub-redes nas quais você planeja criar HSMs. Use os IDs de sub-rede das sub-redes privadas que você criou. Especifique apenas uma sub-rede por zona de disponibilidade.


$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                    --backup-retention-policy Type=DAYS,Value=<number of days> \
                    --subnet-ids <subnet ID> \
                    --mode <FIPS> \
                    --network-type <IPV4>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm2m.medium",
        "NetworkType": "IPV4",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}

nota

ClusterMode é um parâmetro obrigatório para todos os tipos de hsm, exceto hsm1.medium.--mode:


$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS

AWS CloudHSM API

Para criar um cluster (API do AWS CloudHSM)

Envie uma solicitação CreateCluster. Especifique o tipo de instância do HSM, apolítica de retenção do backup e os IDs de sub-rede das sub-redes nas quais você planeja criar HSMs. Use os IDs de sub-rede das sub-redes privadas que você criou. Especifique apenas uma sub-rede por zona de disponibilidade.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Crie uma VPC

Rever grupo de segurança do cluster

Criar um cluster no AWS CloudHSM

Considerações

Para criar um cluster (console)

nota

Importante

Para criar um cluster (AWS CLI)

nota

Para criar um cluster (API do AWS CloudHSM)