AWS CloudHSM 集群同步

在 AWS CloudHSM 群集中，AWS CloudHSM 使各个 HSM 上的密钥保持同步。您无需执行任何操作即可使 HSM 上的密钥保持同步。要使每个 HSM 上的用户和策略保持同步，请先更新 AWS CloudHSM 客户端配置文件，然后再管理 HSM 用户。有关更多信息，请参阅 让 HSM 用户保持同步。

当您向群集添加新的 HSM 时，AWS CloudHSM 将为现有 HSM 上的所有密钥、用户和策略创建备份。然后，它将该备份还原到新 HSM 上。这将使两个 HSM 保持同步。

如果群集中的 HSM 未同步，AWS CloudHSM 会自动将其重新同步。为此，AWS CloudHSM 将使用设备用户的凭证。此用户存在于 AWS CloudHSM 提供的所有 HSM 上，并且具有有限权限。该用户可以获取 HSM 上的对象的哈希，并且可以提取和插入遮蔽（加密）的对象。AWS 无法查看或修改您的用户或密钥，并且无法使用这些密钥执行任何加密操作。