本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudHSM 用戶端 SDK 5 組態參數
<a name="configure-tool-params5"></a>

以下是設定 AWS CloudHSM 用戶端 SDK 5 的參數清單。

**-a *<ENI IP address>***  
將指定的 IP 地址新增至用戶端 SDK 5 設定檔案。從叢集輸入 HSM 的任何 ENI IP 地址。如需如何使用此選項的詳細資訊，請參閱[引導用戶端 SDK 5](cluster-connect.md#sdk8-connect)。  
必要：是

**--hsm-ca-cert *<customerCA certificate file path>***  
 儲存用於將 EC2 用戶端執行個體連接到叢集的憑證授權機構 (CA) 憑證目錄的路徑。您可在初始化叢集時建立此檔案。按照預設，系統會在下列位置尋找此檔案：  
Linux  

```
/opt/cloudhsm/etc/customerCA.crt
```
Windows  

```
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
```
如需有關初始化叢集或放置憑證的詳細資訊，請參閱 [在每個 EC2 執行個體上安裝發行憑證](cluster-connect.md#place-hsm-cert) 和 [在 中初始化叢集 AWS CloudHSM](initialize-cluster.md)。  
必要：否

**--cluster-id *<cluster ID>***  
 進行 `DescribeClusters` 呼叫以尋找叢集中與叢集 ID 關聯的所有 HSM 彈性網路介面 (ENI) IP 地址。系統會將 ENI IP 地址新增至 AWS CloudHSM 組態檔案。  
如果您在無法存取公有網際網路的 VPC 中使用來自 EC2 執行個體的 `--cluster-id` 參數，則必須建立要連線的介面 VPC 端點 AWS CloudHSM。如需 VPC 端點的詳細資訊，請參閱 [AWS CloudHSM 和 VPC 端點](cloudhsm-vpc-endpoint.md)。
必要：否

**--endpoint *<endpoint>***  
指定用於進行`DescribeClusters`呼叫的 AWS CloudHSM API 端點。您必須結合 `--cluster-id` 設定此選項。  
必要：否

**--region *<region>***  
指您叢集的區域。您必須結合 `--cluster-id` 設定此選項。  
如果您未提供 `--region` 參數，系統會嘗試讀取 `AWS_DEFAULT_REGION` 或 `AWS_REGION` 環境變數來選擇區域。如果未設定這些變數，則除非您在 `AWS_CONFIG_FILE` 環境變數中指定了不同的檔案，否則系統會檢查 AWS config 檔案中 (通常是 `~/.aws/config`) 與您的設定檔相關聯的區域。如果未設定上述任何變數，系統會預設為 `us-east-1` 區域。  
必要：否

**--client-cert-hsm-tls-file *<client certificate hsm tls 路徑>***  
 用於 TLS 用戶端-HSM 交互身分驗證的用戶端憑證路徑。  
 只有在您已使用 CloudHSM CLI 在 HSM 上註冊至少一個信任錨點時，才使用此選項。您必須結合 `--client-key-hsm-tls-file` 設定此選項。  
必要：否

**--client-key-hsm-tls-file *<client key hsm tls 路徑>***  
 用於 TLS 用戶端-HSM 交互身分驗證的用戶端金鑰路徑。  
 只有在您已使用 CloudHSM CLI 在 HSM 上註冊至少一個信任錨點時，才使用此選項。您必須結合 `--client-cert-hsm-tls-file` 設定此選項。  
必要：否

**--log-level *<error \$1 warn \$1 info \$1 debug \$1 trace>***  
指定系統應寫入日誌檔的最低日誌層級。每個層級包括以前的層級，錯誤作為最低層級，追蹤為最高層級。這表示如果您指定錯誤，系統只會將錯誤寫入日誌。如果您指定追蹤，系統會將錯誤、警告、資訊 (info) 和偵錯訊息寫入日誌檔。如需詳細資訊，請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。  
必要：否

**--log-rotation *<daily \$1 weekly>***  
指系統輪換日誌檔的頻率。如需詳細資訊，請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。  
必要：否

**--log-file *<file name with path>***  
指系統將寫入日誌檔的位置。如需詳細資訊，請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。  
必要：否

**--log-type *<term \$1 file>***  
指系統是否將日誌寫入檔案或終端。如需詳細資訊，請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。  
必要：否

**-h \$1 --help**  
顯示幫助。  
必要：否

**--disable-key-availability-check **  
停用金鑰可用性仲裁的旗標。使用此旗標表示 AWS CloudHSM 應該停用金鑰可用性規定人數，而且您只能使用叢集中一個 HSM 上存在的金鑰。如需有關使用此旗標設定金鑰可用性仲裁的詳細資訊，請參閱 [管理用戶端金鑰耐久性設定](working-client-sync.md#setting-file-sdk8)。  
必要：否

**--enable-key-availability-check **  
啟動金鑰可用性仲裁的旗標。使用此旗標表示 AWS CloudHSM 應該使用金鑰可用性規定人數，而且在叢集中的兩個 HSMs 上存在這些金鑰之前，都不允許您使用金鑰。如需有關使用此旗標設定金鑰可用性仲裁的詳細資訊，請參閱 [管理用戶端金鑰耐久性設定](working-client-sync.md#setting-file-sdk8)。  
預設啟用。  
必要：否

**--disable-validate-key-at-init **  
指定您可以跳過初始化呼叫來驗證後續呼叫之金鑰的權限，以此改善效能。請謹慎使用。  
背景：PKCS \$111 程式庫中的某些機制支援多部分操作，其中初始化呼叫會驗證您是否可以將金鑰用於後續呼叫。這一操作需要對 HSM 進行驗證呼叫，這會增加整體操作的延遲。此選項可讓您停用後續呼叫，並可能改善效能。  
必要：否

**--disable-validate-key-at-init **  
指您應該使用初始化呼叫來驗證後續呼叫的金鑰權限。此為預設選項。使用 `disable-validate-key-at-init` 暫停這些初始化呼叫後，再使用 `enable-validate-key-at-init` 恢復這些初始化呼叫。  
必要：否