本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudHSM 客户端 SDK 5 配置参数
<a name="configure-tool-params5"></a>

以下是配置 AWS CloudHSM 客户端 SDK 5 的参数列表。

**-a *<ENI IP address>***  
将指定的 IP 地址添加到客户端软件开发工具包 5 配置文件。输入集群中 HSM 的任何 ENI IP 地址。有关如何使用该选项的更多信息，请参阅[引导客户端软件开发工具包 5](cluster-connect.md#sdk8-connect)。  
是否必需：是

**--hsm-ca-cert *<customerCA certificate file path>***  
 存储用于将 EC2 客户端实例连接到集群的证书颁发机构 (CA, certificate authority) 证书的目录路径。这是您在初始化集群时创建的文件。默认情况下，系统会在以下位置查找此文件：  
Linux  

```
/opt/cloudhsm/etc/customerCA.crt
```
Windows  

```
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
```
有关初始化集群或放置证书的更多信息，请参阅 [在每个 EC2 实例上使用颁发证书](cluster-connect.md#place-hsm-cert) 和 [在中初始化集群 AWS CloudHSM](initialize-cluster.md)。  
必需：否

**--cluster-id *<cluster ID>***  
 进行 `DescribeClusters` 调用以查找集群中与集群 ID 关联的所有 HSM 弹性网络接口（ENI）IP 地址。系统将 ENI IP 地址添加到 AWS CloudHSM 配置文件中。  
如果您在无法访问公共互联网的 VPC 中使用来自 EC2 实例的`--cluster-id`参数，则必须创建要连接的接口 VPC 终端节点 AWS CloudHSM。有关 VPC 端点的更多信息，请参阅 [AWS CloudHSM 和 VPC 终端节点](cloudhsm-vpc-endpoint.md)。
必需：否

**--端点 *<endpoint>***  
指定用于进行`DescribeClusters`呼叫的 AWS CloudHSM API 端点。设置此选项时，您必须与 `--cluster-id` 结合。  
必需：否

**--区域 *<region>***  
指定集群所在区域。设置此选项时，您必须与 `--cluster-id` 结合。  
如果您不提供 `--region` 参数，则系统会通过尝试读取 `AWS_DEFAULT_REGION` 或 `AWS_REGION` 环境变量选择区域。如果未设置这些变量，则系统会在 AWS Config 文件中检查与您的配置文件关联的区域（通常 `~/.aws/config`），除非您在 `AWS_CONFIG_FILE` 环境变量中指定了其他文件。如果以上均未设置，则系统默认为 `us-east-1` 区域。  
必需：否

**-client-cert-hsm-tls-文件 *<client certificate hsm tls path>***  
 用于 TLS 客户端-服务器双向身份验证的客户端证书的路径。  
 仅当您已使用 CloudHSM CLI 在 HSM 上注册了至少一个信任锚时，才使用此选项。设置此选项时，您必须与 `--client-key-hsm-tls-file` 结合。  
必需：否

**-client-key-hsm-tls-文件 *<client key hsm tls path>***  
 用于 TLS 客户端-HSM 双向身份验证的客户端密钥的路径。  
 仅当您已使用 CloudHSM CLI 在 HSM 上注册了至少一个信任锚时，才使用此选项。设置此选项时，您必须与 `--client-cert-hsm-tls-file` 结合。  
必需：否

**--日志级别 *<error \$1 warn \$1 info \$1 debug \$1 trace>***  
指定系统应写入日志文件的最低日志记录级别。每个级别都包括之前的级别，以“error”为最低等级，并追踪最高等级。这意味着，如果您指定“error”，系统只会将错误写入日志。如果指定“trace”，则系统会将错误、警告、提示 (info) 消息和调试消息写入日志。有关更多信息，请参阅[客户端软件开发工具包 5 日志记录](hsm-client-logs.md#sdk5-logging)。  
必需：否

**--日志轮换 *<daily \$1 weekly>***  
指定系统轮换日志的频率。有关更多信息，请参阅[客户端软件开发工具包 5 日志记录](hsm-client-logs.md#sdk5-logging)。  
必需：否

**--日志文件 *<file name with path>***  
指定系统将写入日志文件的位置。有关更多信息，请参阅[客户端软件开发工具包 5 日志记录](hsm-client-logs.md#sdk5-logging)。  
必需：否

**--日志类型 *<term \$1 file>***  
指定系统是将日志写入文件还是终端。有关更多信息，请参阅[客户端软件开发工具包 5 日志记录](hsm-client-logs.md#sdk5-logging)。  
必需：否

**-h \$1 --help**  
显示“帮助”。  
必需：否

**--disable-key-availability-check **  
标记以禁用密钥可用性仲裁。使用此标志表示 AWS CloudHSM 应禁用密钥可用性法定人数，并且您可以使用集群中仅存在于一个 HSM 上的密钥。有关使用此标记设置密钥可用性仲裁的更多信息，请参阅 [管理客户端密钥持久性设置](working-client-sync.md#setting-file-sdk8)。  
必需：否

**--enable-key-availability-check **  
标记以启用密钥可用性仲裁。使用此标志表示 AWS CloudHSM 应使用密钥可用性法定人数，并且在这些密钥存在于集群 HSMs 中的两个密钥之前不允许您使用密钥。有关使用此标记设置密钥可用性仲裁的更多信息，请参阅 [管理客户端密钥持久性设置](working-client-sync.md#setting-file-sdk8)。  
默认情况下启用。  
必需：否

**--disable-validate-key-at-init **  
通过指定您可以跳过初始化调用来验证密钥的权限以便后续调用，从而提高性能。请谨慎使用。  
背景：PKCS \$111 库中的某些机制支持多部分操作，在这些操作中，初始化调用会验证您是否可以在后续调用中使用该密钥。这需要对 HSM 进行验证调用，这会延长整体操作的延迟。此选项使您可以禁用后续调用，并有可能提高性能。  
必需：否

**--enable-validate-key-at-init **  
指定您应该使用初始化调用来验证密钥的权限，以便后续调用。这是默认选项。`enable-validate-key-at-init` 用于在您使用 `disable-validate-key-at-init` 暂停这些初始化调用后恢复这些调用。  
必需：否