本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 AWS CloudHSM添加具有多槽功能的集群
使用 PKCS #11 for 连接到多个插槽时 AWS CloudHSM,使用configure-pkcs11 add-cluster命令将集群添加到您的配置中。
语法
configure-pkcs11 add-cluster[OPTIONS]--cluster-id<CLUSTER ID>[--region<REGION>] [--endpoint<ENDPOINT>] [--hsm-ca-cert<HSM CA CERTIFICATE FILE>] [--client-cert-hsm-tls-file<CLIENT CERTIFICATE FILE>] [--client-key-hsm-tls-file<CLIENT KEY FILE>] [-h, --help]
示例
使用 configure-pkcs11 add-cluster 和 cluster-id 参数,将集群添加至 (ID 为 cluster-1234567) 您的配置。
提示
如果使用 cluster-id 参数和 configure-pkcs11 add-cluster 无法添加集群,请参见以下示例,以获取也需要通过 --region 和 --endpoint 参数识别待添加集群的、更长版本的命令。例如,如果集群的区域与配置默认 AWS CLI 配置区域不同,则应使用 --region 参数使用正确区域。此外,您还可以指定用于调用的 AWS CloudHSM API 终端节点,这可能是各种网络设置所必需的,例如使用不使用默认 DNS 主机名的 VPC 接口终端节点。 AWS CloudHSM
使用 configure-pkcs11 add-cluster、cluster-id、endpoint 和 region 参数,将集群 (ID 为 cluster-1234567) 添加至您的配置。
有关 --cluster-id、--region 和 --endpoint 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。
参数
- --集群 ID
<Cluster ID> -
进行
DescribeClusters调用以查找集群中与集群 ID 关联的所有 HSM 弹性网络接口(ENI)IP 地址。系统将 ENI IP 地址添加到 AWS CloudHSM 配置文件中。注意
如果您使用来自无法访问公共 Internet 的 VPC 中的 EC2 实例的
--cluster-id参数,则必须创建要连接的接口 VPC 终端节点 AWS CloudHSM。有关 VPC 端点的更多信息,请参阅 AWS CloudHSM 和 VPC 终端节点。必需:是
- --端点
<Endpoint> -
指定用于进行
DescribeClusters呼叫的 AWS CloudHSM API 端点。设置此选项时,您必须与--cluster-id结合。必需:否
- --hsm-ca-cert
<HsmCA Certificate Filepath> -
指定 HSM CA 证书的文件路径。
必需:否
- --区域
<Region> -
指定集群所在区域。设置此选项时,您必须与
--cluster-id结合。如果您不提供
--region参数,则系统会通过尝试读取AWS_DEFAULT_REGION或AWS_REGION环境变量选择区域。如果未设置这些变量,则系统会在 AWS Config 文件中检查与您的配置文件关联的区域(通常~/.aws/config),除非您在AWS_CONFIG_FILE环境变量中指定了其他文件。如果以上均未设置,则系统默认为us-east-1区域。必需:否
- -client-cert-hsm-tls-文件
<client certificate hsm tls path> -
用于 TLS 客户端-服务器双向身份验证的客户端证书的路径。
仅当您已使用 CloudHSM CLI 在 HSM 上注册了至少一个信任锚时,才使用此选项。设置此选项时,您必须与
--client-key-hsm-tls-file结合。必需:否
- -client-key-hsm-tls-文件
<client key hsm tls path> -
用于 TLS 客户端-HSM 双向身份验证的客户端密钥的路径。
仅当您已使用 CloudHSM CLI 在 HSM 上注册了至少一个信任锚时,才使用此选项。设置此选项时,您必须与
--client-cert-hsm-tls-file结合。必需:否
