在 AWS CloudHSM 中创建集群 - AWS CloudHSM

在 AWS CloudHSM 中创建集群

集群是各硬件安全模块(HSM)的集合。AWS CloudHSM 同步每个集群中的 HSM,使其作为逻辑单元运行。AWS CloudHSM提供两种类型的 HSM:hsm1.mediumhsm2m.medium。创建集群时,您可以选择将两者中的哪一个加入到您的集群中。有关每种 HSM 类型和集群模式之间的差异的详细信息,请参阅 AWS CloudHSM 集群模式

创建集群时,AWS CloudHSM 将代表您为集群创建安全组。此安全组控制对集群中的 HSM 的网络访问。它仅允许来自安全组中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例的入站连接。默认情况下,安全组不包含任何实例。稍后,您可以启动客户端实例配置集群的安全组以允许与 HSM 的通信和连接。

注意事项

可以通过 AWS CloudHSM 控制台AWS Command Line Interface(AWS CLI)或 AWS CloudHSM API 创建集群。

有关集群参数和 API 的详细信息,请参阅 AWS CLI 命令参考中的 create-cluster

Console
创建集群 (控制台)

  1. 打开位于 https://console.aws.amazon.com/cloudhsm/home 的 AWS CloudHSM 控制台。

  2. 在导航栏上,使用区域选择器选择 AWS CloudHSM 当前支持的 AWS 区域之一

  3. 选择创建集群

  4. 集群配置部分中,执行以下操作:

    1. 对于 VPC,选择您在 为 AWS CloudHSM 中创建虚拟私有云(VPC) 中创建的 VPC。

    2. 对于可用区,在可用区旁边选择您创建的私有子网。

      注意

      即使给定可用区中不支持 AWS CloudHSM,性能也不应受到影响,因为 AWS CloudHSM 将跨集群中的所有 HSM 自动进行负载均衡。请参阅 AWS CloudHSM 中的 AWS 一般参考 区域和终端节点,了解 AWS CloudHSM 的可用区支持。

    3. 对于 HSM 类型,选择可以在集群中创建的 HSM 类型以及所需的集群模式。要查看每个区域所支持的 HSM 类型,请参阅 AWS CloudHSM定价计算器

      重要

      集群创建后,无法更改集群模式。有关适合您的使用案例的类型和模式的信息,请参阅 AWS CloudHSM 集群模式

    4. 对于网络类型,选择用于访问您的 HSM 的 IP 地址协议。IPv4 将您的应用程序与 HSM 之间的通信限制为仅限 IPv4。这是默认选项。双栈同时支持 IPv4 和 IPv6 通信。要使用双栈功能,请将 IPv4 和 IPv6 CIDR 同时添加到 VPC 和子网配置中。初始设置后很难更改网络类型。要对其进行修改,请创建现有集群的备份,然后使用所需的网络类型还原一个新集群。有关更多信息,请参阅从备份创建 AWS CloudHSM 集群

    5. 对于集群源,指定您是要创建新集群还是从现有备份中还原一个集群。

      • 处于非 FIPS 模式的集群备份只能用于还原处于非 FIPS 模式的集群。

      • 处于 FIPS 模式的集群备份只能用于还原处于 FIPS 模式的集群。

  5. 选择下一步

  6. 指定服务的备份保留期。

    1. 接受 90 天的默认保留期或键入一个介于 7 到 379 天之间的新值。该服务将自动删除此集群中早于您在此处所指定的值的备份。您以后可以更改此值。有关更多信息,请参阅 配置备份保留

  7. 选择下一步

  8. (可选) 键入标签键和一个可选标签值。要向集群添加多个标签,请选择 添加标签

  9. 选择审核

  10. 检查您的集群配置,然后选择 创建集群

如果您尝试创建集群失败,可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决 AWS CloudHSM 集群创建失败

AWS CLI
创建集群 (AWS CLI)

  • 在命令提示符下,运行 create-cluster 命令。指定 HSM 实例类型、备份保留期和计划在其中创建 HSM 的子网 ID。使用您创建的私有子网的子网 ID。每个可用区仅指定一个子网。

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                    --backup-retention-policy Type=DAYS,Value=<number of days> \
                    --subnet-ids <subnet ID> \
                    --mode <FIPS> \
                    --network-type <IPV4>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm2m.medium",
        "NetworkType": "IPV4",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    注意

    ClusterMode 是除 hsm1.medium.--mode 之外的所有 hsm 类型的必需参数:

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS

如果您尝试创建集群失败,可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决 AWS CloudHSM 集群创建失败

AWS CloudHSM API
创建集群 (AWS CloudHSM API)

  • 发送 CreateCluster 请求。指定 HSM 实例类型、备份保策略和计划在其中创建 HSM 的子网 ID。使用您创建的私有子网的子网 ID。每个可用区仅指定一个子网。

如果您尝试创建集群失败,可能与 AWS CloudHSM 服务相关角色的问题有关。有关解决故障的帮助,请参阅解决 AWS CloudHSM 集群创建失败