本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为其配置客户端 Amazon EC2 实例安全组 AWS CloudHSM
当您在中的集群启动 Amazon EC2 实例时 AWS CloudHSM,您将其与默认的 Amazon VPC 安全组相关联。本主题介绍如何将集群安全组与 EC2 实例关联。此关联允许在您的 EC2 实例上运行的 AWS CloudHSM 客户端与您的 HSM 通信。要将您的 EC2 实例连接到您的 AWS CloudHSM 集群,您必须正确配置 VPC 默认安全组*并将*集群安全组与该实例关联。
使用以下步骤完成配置更改。
**Topics**
+ [步骤 1:修改默认安全组](#configure-sg-client-instance-modify-default-security-group)
+ [步骤 2:将 Amazon EC2 实例连接到集 AWS CloudHSM 群](#configure-sg-client-instance-connect-the-ec2-instance-to-the-HSM-cluster)
## 步骤 1:修改默认安全组
您需要修改默认安全组以允许 SSH 或 RDP 连接,以便您可以下载和安装客户端软件,并与 HSM 进行交互。
**修改默认安全组**
1. 打开 **EC2 控制面板**,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 选择**实例(正在运行)**,然后选中要安装 AWS CloudHSM 客户端的 EC2 实例旁边的复选框。
1. 在**安全**选项卡下,选择名为**默认**的安全组。
1. 在页面顶部,选择**操作**,然后选择**编辑入站规则**。
1. 选择**添加规则**。
1. 在**类型**中,执行下列操作之一:
+ 对于 Windows Server Amazon EC2 实例,选择 **RDP**。将自动填充端口范围 `3389`。
+ 对于 Linux Amazon EC2 实例,选择 **SSH**。将自动填充端口范围 `22`。
1. 对于任一选项,请将**源**设置为**我的 IP**,以使您与您的 Amazon EC2 实例通信。
**重要**
不要指定 0.0.0.0/0 作为端口范围,以避免允许任何人访问您的实例。
1. 选择**保存**。
## 步骤 2:将 Amazon EC2 实例连接到集 AWS CloudHSM 群
您必须将集群安全组附加到 EC2 实例,这样 EC2 实例才能 HSMs 在您的集群中与之通信。集群安全组包含一个预配置规则,允许通过端口 2223-2225 进行入站通信。
**将 EC2 实例连接到集 AWS CloudHSM 群**
1. 打开 **EC2 控制面板**,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 选择 “**实例(正在运行)**”,然后选中要安装 AWS CloudHSM 客户端的 EC2 实例对应的复选框。
1. 在页面顶部,依次选择**操作**、**联网**和**更改安全组**。
1. 选择组名与您的集群 ID 匹配的安全组,例如 `cloudhsm-cluster-{{}}-sg`。
1. 选择**添加安全组**。
1. 选择**保存**。
**注意**
您最多可将五个安全组分配给 Amazon EC2 实例。如果您已达到最大限制,则必须修改 Amazon EC2 实例的默认安全组和集群安全组:
在默认安全组中,执行以下操作:
添加入站规则以借助 TCP 协议通过端口 `2223-2225` 允许来自集群安全组的流量。
在集群安全组中,执行以下操作:
添加入站规则以借助 TCP 协议通过端口 `2223-2225` 允许来自默认安全组的流量。