Embed Size (px)
Citation preview
AWS CloudHSM ClassicGuia do usuário
AWS CloudHSM Classic Guia do usuário
AWS CloudHSM Classic: Guia do usuárioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS CloudHSM Classic Guia do usuário
Table of Contents........................................................................................................................................................ v
O que é o AWS CloudHSM Classic? ..................................................................................................... 1Conformidade com o Padrão de segurança de dados (DSS) da Indústria de cartões de pagamento(PCI) ......................................................................................................................................... 1Definição de preço ...................................................................................................................... 1Serviços relacionados ................................................................................................................. 1Onde obter mais ajuda ................................................................................................................ 2
Configuração ...................................................................................................................................... 3Criação de uma conta da AWS .................................................................................................... 3Criar um usuário do IAM ............................................................................................................. 3Como controlar o acesso ............................................................................................................. 5Configurar o ambiente ................................................................................................................. 6
Configurar usando o AWS CloudFormation ............................................................................. 6Configuração manual .......................................................................................................... 9
Gerar uma chave SSH .............................................................................................................. 14Gerar uma chave SSH no Linux ......................................................................................... 15Gerar uma chave SSH no Windows .................................................................................... 15Exemplo de chave pública SSH .......................................................................................... 15Copiar a chave privada ...................................................................................................... 16
Configuração das ferramentas de ILC .......................................................................................... 17Instalar as ferramentas da ILC ............................................................................................ 17Configuração das ferramentas da CLI .................................................................................. 19
Conceitos básicos ............................................................................................................................. 24Provisionar os HSMs ................................................................................................................. 25Configurar o HSM ..................................................................................................................... 26
Obter o identificador da ENI do HSM e o endereço IP ............................................................ 26Aplicar o security group ..................................................................................................... 27Inicializar o HSM .............................................................................................................. 27Conectar o HSM local ....................................................................................................... 29
Configuração do cliente AWS CloudHSM Classic ........................................................................... 29Configuração de um cliente HSM no Linux ........................................................................... 29Configuração de um cliente HSM no Windows ...................................................................... 31
Melhores práticas .............................................................................................................................. 34Melhores práticas gerais ............................................................................................................ 34Melhores práticas para senhas ................................................................................................... 34Planilha de senha ..................................................................................................................... 35
Operações e manutenção .................................................................................................................. 36Alta disponibilidade e balanceamento de carga ..................................................................................... 37
Melhores práticas para alta disponibilidade e balanceamento de carga .............................................. 38Melhores práticas gerais .................................................................................................... 38Melhores práticas para perda e recuperação ......................................................................... 38
Criação de um grupo de partição HA ........................................................................................... 40Criar o grupo de partição HA .............................................................................................. 40Registrar cliente ................................................................................................................ 42
Replicação de chaves ....................................................................................................................... 44Fazer backup e restaurar dados do HSM ............................................................................................. 45
Fazer o backup de dados do HSM no Windows ............................................................................ 45Restaurar dados do HSM a partir de um HSM de backup do Luna ................................................... 46
Integrar aplicativos de terceiros no AWS CloudHSM Classic .................................................................... 48Transparent Data Encryption com AWS CloudHSM Classic ............................................................. 48
TDE do banco de dados Oracle com o AWS CloudHSM Classic .............................................. 48Microsoft SQL Server com o AWS CloudHSM Classic ............................................................ 49
Criptografia do volume de Amazon Elastic Block Store ................................................................... 49Criptografia com o Amazon Simple Storage Service (S3) e o SafeNet KeySecure ................................ 49
iii
AWS CloudHSM Classic Guia do usuário
Configurar terminação SSL em um servidor web Apache com chaves privadas armazenadas no AWSCloudHSM Classic .................................................................................................................... 49Criar seus próprios aplicativos .................................................................................................... 50
Como parar de usar um HSM ............................................................................................................ 51Documentação do Luna SA da SafeNet ............................................................................................... 52Registro do CloudTrail ....................................................................................................................... 53
Informações do AWS CloudHSM Classic em CloudTrail .................................................................. 53Noções básicas das entradas dos arquivos de log do AWS CloudHSM Classic ................................... 53
Solucionar problemas do AWS CloudHSM Classic ................................................................................. 55Meu HSM não está funcionando. O que devo fazer? ...................................................................... 55Como faço para zerar meu HSM ................................................................................................ 55Substituir HSM ......................................................................................................................... 55
Referência da ILC ............................................................................................................................. 57Atualização das ferramentas ....................................................................................................... 57Referência de comandos da CLI ................................................................................................. 57
add-hsm-to-hapg ............................................................................................................... 58clone-hapg ....................................................................................................................... 61clone-hsm ........................................................................................................................ 63create-client ..................................................................................................................... 66create-hapg ...................................................................................................................... 68create-hsm ....................................................................................................................... 70delete-client ...................................................................................................................... 73delete-hapg ...................................................................................................................... 74delete-hsm ....................................................................................................................... 76deregister-client-from-hapg ................................................................................................. 78describe-client .................................................................................................................. 80describe-hapg ................................................................................................................... 81describe-hsm .................................................................................................................... 83get-client-configuration ....................................................................................................... 85initialize-hsm .................................................................................................................... 88list-clients ......................................................................................................................... 90list-hapgs ......................................................................................................................... 92list-hsms .......................................................................................................................... 93modify-hsm ...................................................................................................................... 95register-client-to-hapg ........................................................................................................ 98remove-hsm-from-hapg .................................................................................................... 100versão ........................................................................................................................... 102
Solução de problemas ............................................................................................................. 102RuntimeError: Luna está solicitando uma senha. .................................................................. 103O comando delete-hsm parece ter sido executado com sucesso, mas o HSM não foi excluído. ..... 103
Limites ........................................................................................................................................... 104Apêndices ...................................................................................................................................... 105
Conceitos básicos para ações manuais ...................................................................................... 105Provisionar um HSM manualmente .................................................................................... 105Inicializar um HSM manualmente ....................................................................................... 105Alta disponibilidade .......................................................................................................... 107
Conexão de várias instâncias do cliente ao AWS CloudHSM Classic com um certificado ..................... 112Criação de uma AMI com a configuração do cliente HSM ...................................................... 113Criar um bucket e funções do Amazon S3 .......................................................................... 114
Aplicativo de amostra .............................................................................................................. 114Aplicativo de exemplo em C ............................................................................................. 114Aplicativo de exemplo em Java ......................................................................................... 115
Guia de atualização do AWS CloudHSM Classic ......................................................................... 116Atualizar o software do HSM ............................................................................................ 116Atualizar o firmware do HSM ............................................................................................ 121
Histórico do documento .................................................................................................................... 122
iv
AWS CloudHSM Classic Guia do usuário
Este é o guia do usuário do AWS CloudHSM Classic. Para obter a versão mais recente, consulte o AWSCloudHSM User Guide.
v
AWS CloudHSM Classic Guia do usuárioConformidade com o Padrão de segurança de dados(DSS) da Indústria de cartões de pagamento (PCI)
O que é o AWS CloudHSM Classic?Um módulo de segurança de hardware (HSM) é um dispositivo de hardware que oferece armazenamentoseguro de chaves e operações criptográficas seguras em um módulo de hardware resistente àadulteração. Os HSMs são projetados para armazenar com segurança o material de chaves criptográficase usar esse material sem que ocorra exposição para fora dos limites criptográficos do dispositivo.
O AWS CloudHSM Classic ajuda a cumprir os requisitos de compatibilidade corporativos, contratuaise normativos para a segurança dos dados por meio de dispositivos HSM dedicados dentro da nuvemda AWS. Os parceiros da AWS e do AWS Marketplace oferecem diversas soluções para a proteção dedados confidenciais na plataforma da AWS. No entanto, é necessária proteção adicional para algunsaplicativos e dados sujeitos a requisitos contratuais ou normativos rigorosos para o gerenciamento dechaves criptográficas.
Até o momento, as únicas opções eram manter os dados confidenciais, ou as chaves de criptografia queprotegem esses dados, nos seus datacenters locais. No entanto, essas opções impediam a migraçãodesses aplicativos para a nuvem ou reduziam consideravelmente a performance do aplicativo. O AWSCloudHSM Classic permite que você proteja as chaves de criptografia dentro dos HSMs projetados evalidados de acordo com padrões governamentais para o gerenciamento seguro de chaves. É possívelgerar, armazenar e gerenciar de forma segura as chaves de criptografia usadas na criptografia de dados,garantindo que somente você terá acesso a tais chaves. O AWS CloudHSM Classic ajuda a cumprirrequisitos rigorosos de gerenciamento de chaves dentro da nuvem da AWS sem sacrificar a performancedos aplicativos.
Conformidade com o Padrão de segurança dedados (DSS) da Indústria de cartões de pagamento(PCI)
AWS CloudHSM Classic oferece suporte a processamento, armazenamento e transmissão de dados decartão de crédito por um comerciante ou provedor de serviços, e foi validado como em conformidade como Data Security Standard (DSS – Padrão de segurança de dados) da Payment Card Industry (PCI – Setorde cartão de crédito). Para obter mais informações sobre PCI DSS, incluindo como solicitar uma cópia dopacote de conformidade com PCI da AWS, consulte Nível 1 do PCI DSS.
Definição de preçoPara obter mais informações sobre definição de preços, consulte Definição de preço do AWS CloudHSMClassic.
Serviços relacionadosO AWS CloudHSM Classic funciona com o Amazon Virtual Private Cloud (Amazon VPC). Os dispositivosHSM são provisionados na VPC com um endereço IP especificado por você, oferecendo umaconectividade de rede simples e privada às instâncias do EC2. O posicionamento dos dispositivos HSMperto das instâncias do EC2 reduz a latência de rede, o que pode melhorar o desempenho do aplicativo.
1
AWS CloudHSM Classic Guia do usuárioOnde obter mais ajuda
Os seus dispositivos HSM são dedicados exclusivamente para você e são isolados de outros clientes daAWS. Disponível em várias regiões e zonas de disponibilidade, o AWS CloudHSM Classic pode ser usadopara criar aplicativos duráveis e com alta disponibilidade.
Para obter mais informações sobre o Amazon VPC, consulte O que é o VPC? no Guia do usuário daAmazon VPC.
Onde obter mais ajudaRecomendamos que você aproveite os fóruns de discussão da AWS. São fóruns baseados na comunidadede usuários que discutem questões técnicas relacionadas aos serviços AWS. Você pode encontrar ofórum do AWS CloudHSM e do AWS CloudHSM Classic em https://forums.aws.amazon.com/forum.jspa?forumID=156.
Também é possível obter ajuda assinando o AWS Premium Support, um canal de suporte pessoal e deresposta rápida (para obter mais informações, acesse https://aws.amazon.com/premiumsupport).
2
AWS CloudHSM Classic Guia do usuárioCriação de uma conta da AWS
Configuração do AWS CloudHSMClassic
Antes de usar o AWS CloudHSM Classic, é necessário ter uma conta da AWS e um ambiente específicono qual os dispositivos HSM são provisionados.
Tópicos• Criação de uma conta da AWS (p. 3)• Criar um usuário do IAM (p. 3)• Como controlar o acesso aos recursos do AWS CloudHSM Classic (p. 5)• Configurar o ambiente AWS CloudHSM Classic (p. 6)• Gerar uma chave SSH (p. 14)• Configurar as ferramentas da ILC do AWS CloudHSM Classic (p. 17)
Criação de uma conta da AWSA conta da AWS dá acesso a todos os serviços, mas você só será cobrado pelos recursos que usar.
Se você ainda não tiver uma conta da AWS, use o procedimento a seguir para criar uma.
Para cadastrar-se na AWS
1. Abra https://aws.amazon.com/ e escolha Create an AWS Account.2. Siga as instruções online.
As credenciais da conta raiz realizam a sua identificação para os serviços na AWS, concedendo usoilimitado dos recursos da AWS. Para permitir que outros usuários gerenciem recursos do AWS CloudHSMClassic sem compartilhar suas credenciais de segurança, use o AWS Identity and Access Management(IAM). Recomendamos que todos operem como um usuário do IAM, inclusive o proprietário da conta. Vocêdeve criar um usuário do IAM para você, atribuir a IAM privilégios administrativos e usá-lo para todos osseus trabalhos. Para obter mais informações, consulte Como controlar o acesso aos recursos do AWSCloudHSM Classic (p. 5).
Criar um usuário do IAMAs ferramentas da ILC e API do AWS CloudHSM Classic exigem as chaves de acesso para que o serviçopossa determinar se você tem permissão para acessar os recursos. Crie chaves de acesso para sua contada AWS para acessar a CLI e a API. No entanto, recomendamos que evite acessar a AWS por meio daschaves de acesso da conta raiz da AWS, em vez disso, use o AWS Identity and Access Management(IAM) para criar um usuário do IAM e adicioná-lo a um grupo do IAM com permissões de administradorIAM. Isso concede permissões de administrador ao usuário do IAM. Em seguida, use as chaves de acessodo usuário do IAM com a ILC e a API do AWS CloudHSM Classic.
3
AWS CloudHSM Classic Guia do usuárioCriar um usuário do IAM
Se você tiver se cadastrado na AWS, mas não criou um usuário do IAM para você mesmo, poderá criar umusando o console do IAM.
Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo deadministradores (console)
1. Entre no console do IAM como o proprietário da conta escolhendo Usuário raiz e inserindo o endereçode e-mail de sua da conta AWS. Na próxima página, insira sua senha.
Note
Recomendamos que você siga as melhores práticas para utilizar o usuário doAdministrator IAM abaixo e armazene as credenciais do usuário raiz com segurança.Cadastre-se como usuário raiz para executar somente algumas tarefas de gerenciamento deserviços e contas.
2. No painel de navegação, escolha Usuários e depois Adicionar usuário.3. Em User name (Nome do usuário), digite Administrator.4. Marque a caixa de seleção ao lado de Console de gerenciamento da AWS access (Acesso ao
&console;). Então, selecione Custom password (Senha personalizada), e insira sua nova senha nacaixa de texto.
5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeiravez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at nextsign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina asenha depois de fazer login.
6. Escolha Próximo: Permissões.7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).8. Escolha Create group (Criar grupo).9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite
Administrators.10. Escolha Filter policies (Filtrar políticas) e, depois, selecione AWS managed -job function (Função de
trabalho gerenciado pela &AWS;) para filtrar o conteúdo de tabelas.11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.
Note
Você deve ativar o acesso de usuário e função do IAM ao faturamento para poder usar aspermissões do AdministratorAccess a fim de acessar o console do AWS Billing and CostManagement. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegaracesso ao console de faturamento.
12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh(Atualizar) caso necessário, para ver o grupo na lista.
13. Escolha Next: Tags (Próximo: tags).14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter
mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuáriodo IAM.
15. Escolha Next: Review (Próximo: Análise) para ver uma lista de associações de grupos a seremadicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.
Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuáriosacesso aos recursos de sua conta da AWS. Para saber como usar políticas para restringir as permissõesde usuário a recursos específicos da AWS, acesse Gerenciamento de acesso e Políticas de exemplo.
Para fazer login como esse novo usuário do IAM, faça o logout fora da Console de gerenciamento daAWS e use o seguinte AWS, onde <your_aws_account_id> é o número de conta da AWS sem os
4
AWS CloudHSM Classic Guia do usuárioComo controlar o acesso
hifens (por exemplo, se o número de conta da AWS for 1234-5678-9012, sua ID de conta da AWS será123456789012):
https://<your_aws_account_id>.signin.aws.amazon.com/console/
Insira o nome e a senha de usuário do IAM que você acabou de criar. Quando você estiver logado, a barrade navegação exibe "<your_user_name> @ <your_aws_account_id>".
Se não quiser que o URL da página de cadastro contenha o ID da sua conta da AWS, crie um alias daconta. No painel IAM, clique em Personalizar e insira um alias, por exemplo, o nome da sua empresa. Parafazer login depois de criar o alias de uma conta, use o seguinte URL:
https://<your_account_alias>.signin.aws.amazon.com/console/
Para obter mais informações sobre o uso das políticas do AWS Directory Service para controlar o acessoaos seus recursos do Como controlar o acesso aos recursos do AWS CloudHSM Classic (p. 5),consulte IAM.
Como controlar o acesso aos recursos do AWSCloudHSM Classic
Por padrão, os usuários do IAM não têm permissão para as operações do AWS CloudHSM Classic. Parapermitir que os usuários do IAM gerenciem as operações do AWS CloudHSM Classic, você deve criaruma política do IAM que concede explicitamente permissão aos usuários do IAM para usar determinadasoperações do AWS CloudHSM Classic, e anexar a política aos usuários do IAM ou aos grupos que exigemessas permissões. Para obter mais informações sobre políticas do IAM, consulte Permissões e políticas noguia Guia do usuário do IAM.
A declaração de política a seguir concede permissão a um usuário ou grupo para usar todas as operaçõesdo AWS CloudHSM Classic.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : "cloudhsm:*", "Resource" : "*" } ]}
A declaração de política a seguir concede permissões a um usuário ou grupo para usar as operações deleitura de recursos do AWS CloudHSM Classic.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "cloudhsm:Get*", "cloudhsm:List*", "cloudhsm:Describe*" ],
5
AWS CloudHSM Classic Guia do usuárioConfigurar o ambiente
"Resource" : "*" } ]}
Para obter mais informações sobre IAM, consulte o seguinte:
• Identity and Access Management (IAM)• Guia do usuário do IAM
Configurar o ambiente AWS CloudHSM ClassicO AWS CloudHSM Classic requer o seguinte ambiente antes que um dispositivo HSM possa serprovisionado.
• Uma virtual private cloud (VPC) na região onde deseja o serviço do AWS CloudHSM Classic. Para obtermais informações sobre o Amazon VPC, consulte O que é o VPC? no Guia do usuário da Amazon VPC.
• Uma sub-rede privada (uma sub-rede sem Internet Gateway) na VPC. O dispositivo HSM é provisionadonessa sub-rede.
• Uma sub-rede pública (uma sub-rede com um Internet Gateway anexado). As instâncias de controle sãoanexadas a essa sub-rede.
• Uma função do AWS Identity and Access Management (IAM) que delega o acesso aos recursos daAWS para o AWS CloudHSM Classic. Isso é necessário para que o AWS CloudHSM Classic possacriar e configurar os recursos da AWS, como interfaces de rede elástica, em seu nome. Para obter maisinformações sobre funções do IAM, consulte Funções no guia Guia do usuário do IAM.
• Uma instância do EC2, na mesma VPC do dispositivo HSM, com o software cliente SafeNet instalado.Essa instância é chamada de instância de controle e é usada para se conectar e gerenciar o dispositivoHSM.
• Um security group que tem a porta 22 (para SSH) ou a porta 3389 (para RDP) aberta para a sua rede.Esse security group é anexado às instâncias de controle para que você possa acessá-las remotamente.Para obter mais informações, consulte Autorizar o tráfico de entrada nas instâncias no Guia do usuáriodo Amazon EC2 para instâncias do Linux.
Use o AWS CloudFormation para configurar o ambiente do AWS CloudHSM Classic ou configure-omanualmente.
• Configuração automática do ambiente do AWS CloudHSM Classic usando o AWSCloudFormation (p. 6)
• Configurar o ambiente do AWS CloudHSM Classic manualmente (p. 9)
Configuração automática do ambiente do AWSCloudHSM Classic usando o AWS CloudFormationUse um modelo do AWS CloudFormation no AWS CloudHSM Classic para configurar automaticamente oambiente da AWS para o AWS CloudHSM Classic.
Tópicos• Pré-requisitos (p. 7)• Detalhes do ambiente do AWS CloudHSM Classic (p. 7)• Configurar o ambiente do AWS CloudHSM Classic usando o AWS CloudFormation (p. 8)
6
AWS CloudHSM Classic Guia do usuárioConfigurar usando o AWS CloudFormation
• Preparação para provisionar os HSMs (p. 9)
Pré-requisitosAntes de iniciar esse processo, será necessário o seguinte:
• Sua conta da AWS deve ter uma VPC disponível para ser criada na região selecionada. Para saber onúmero de VPCs permitidas por região da AWS, consulte Limites do Amazon VPC no Guia do usuárioda Amazon VPC.
• Um par de chaves do Amazon EC2. Esse par de chaves será usado para acessar a instância criadapelo AWS CloudFormation. É necessário criar esse par de chaves na mesma região da AWS onde oambiente do AWS CloudHSM Classic será configurado. Para obter mais informações, consulte Criar parde chaves usando o Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.
Detalhes do ambiente do AWS CloudHSM ClassicO diagrama a seguir mostra o ambiente da AWS configurado automaticamente pelo modelo do AWSCloudFormation para uso com o AWS CloudHSM Classic.
O AWS CloudFormation cria e configura os seguintes recursos para você:
7
AWS CloudHSM Classic Guia do usuárioConfigurar usando o AWS CloudFormation
1. Uma nuvem privada virtual (VPC).2. Sub-redes, incluindo uma sub-rede acessível publicamente e uma sub-rede privada para cada zona de
disponibilidade. Considere estes exemplos:• Para regiões com três zonas de disponibilidade, quatro sub-redes são criadas: uma sub-rede
acessível publicamente (2a) e três sub-redes privadas (2b, 2c e 2d).• Para regiões com duas zonas de disponibilidade, três sub-redes são criadas: uma sub-rede acessível
publicamente (2a) e duas sub-redes privadas (2c e 2d).
Note
O AWS CloudHSM Classic provisiona cada dispositivo HSM em uma sub-rede privada paraisolá-los da Internet.
3. Uma instância do Amazon Elastic Compute Cloud (Amazon EC2) (m3.medium executando AmazonLinux x86 64 bits) na sub-rede pública, com o software cliente da SafeNet já instalado. Essa instância échamada de instância do cliente. Para autenticar sua identidade com a instância do cliente, use o par dechaves especificado durante a criação da pilha do AWS CloudFormation.
4. Grupos de segurança que permitem conexões SSH na sub-rede pública a partir da Internet (4a) bemcomo conexões NTLS e SSH na sub-rede privada a partir da sub-rede pública (4b).
5. Um endereço IP elástico para a instância do cliente.6. Uma função do IAM que permite que o AWS CloudHSM Classic acesse os recursos do AWS. (Não
mostrado no diagrama anterior.)7. As credenciais do IAM necessárias para enviar uma notificação do Amazon Simple Notification Service
(Amazon SNS) sobre a configuração da pilha para o AWS CloudHSM Classic. (Não mostrado nodiagrama.)
Configurar o ambiente do AWS CloudHSM Classic usando oAWS CloudFormationRealize as etapas a seguir para que o AWS CloudFormation configure o ambiente do AWS CloudHSMClassic a partir do modelo cloudhsm-quickstart.
Para usar o AWS CloudFormation para configurar o ambiente do AWS CloudHSM Classicautomaticamente
1. Faça login no Console de gerenciamento da AWS e abra o console do AWS CloudFormation emhttps://console.aws.amazon.com/cloudformation.
2. Na barra de navegação, use o seletor de região para selecionar uma das regiões da AWS onde oAWS CloudHSM Classic é suportado:
• Leste dos EUA (Norte da Virgínia)• Leste dos EUA (Ohio)• Oeste dos EUA (Norte da Califórnia)• Oeste dos EUA (Oregon)• Canadá (Central)• Europa (Irlanda)• Europa (Frankfurt)• Ásia-Pacífico (Tóquio)• Ásia-Pacífico (Cingapura)• Ásia-Pacífico (Sydney)
3. Selecione Criar pilha ou Criar nova pilha.8
AWS CloudHSM Classic Guia do usuárioConfiguração manual
4. Escolha Specify an Amazon S3 template URL (Especificar um URL do modelo), digite ou cole oseguinte URL: https://cloudhsm.s3.amazonaws.com/cloudhsm-quickstart.json
Escolha Next.5. Em Stack name (Nome da pilha), digite um nome identificável para a pilha, como CloudHSM-
Environment. Para KeyName, selecione um par de chaves para usar ao se conectar à instância docliente HSM. Escolha Next.
6. (Opcional) Na página Opções, adicione quaisquer tags que deseje aplicar à pilha. Quando terminar,escolha Avançar.
7. Na página Review (Revisão), reveja as configurações e, em seguida, marque a caixa de seleção Iacknowledge that this template might cause AWS CloudFormation to create IAM resources (Confirmoque este modelo pode fazer o CFN criar recursos do IAM). Isso confirma o entendimento de queo AWS CloudFormation criará uma função do IAM na sua conta e usará essa função para criar osoutros recurso da IAM para criar os outros recurso da AWS descritos na seção anterior (Detalhes doambiente do AWS CloudHSM Classic (p. 7)).
Escolha Criar.
Após a criação da pilha, o status é alterado para CREATE_COMPLETE. Se ocorrer um erro, a pilha serárevertida e o status será alterado para ROLLBACK_COMPLETE. Use a guia Events (Eventos) no consoledo AWS CloudFormation para ajudar a determinar o motivo da falha.
Para obter mais informações sobre as pilhas do AWS CloudFormation, consulte Visualizar os recursos eos dados da pilha do AWS CloudFormation no Console de gerenciamento da AWS no Guia do usuário doAWS CloudFormation.
Preparação para provisionar os HSMsColete as informações a seguir. Essas informações são necessárias para provisionar os HSMs. Essasinformações estão disponíveis na guia Outputs (Saídas) do console do AWS CloudFormation quando apilha do AWS CloudFormation estiver concluída.
• O ARN da função do IAM• Os IDs das sub-redes privadas• O endereço IP do cliente
Depois de coletar essas informações, prossiga para Gerar uma chave SSH (p. 14).
Configurar o ambiente do AWS CloudHSM ClassicmanualmenteUse os procedimentos a seguir para configurar manualmente o ambiente da AWS para uso com o AWSCloudHSM Classic. Se preferir, use um modelo do AWS CloudFormation fornecido pelo AWS CloudHSMClassic para configurar o ambiente manualmente. Para obter mais informações, consulte Configuraçãoautomática do ambiente do AWS CloudHSM Classic usando o AWS CloudFormation (p. 6).
Para configurar o ambiente manualmente, conclua as etapas de cada um dos tópicos a seguir.
Tópicos• Criar uma Virtual Private Cloud (VPC) (p. 10)• Criar as sub-redes privadas (p. 10)• Criar o security group (p. 11)
9
AWS CloudHSM Classic Guia do usuárioConfiguração manual
• Criar uma função do IAM (p. 12)• Ativar uma instância do cliente (p. 12)• Preparação para provisionar os HSMs (p. 14)
Criar uma Virtual Private Cloud (VPC)Use Amazon Virtual Private Cloud (Amazon VPC) para criar uma nova VPC.
Para criar uma VPC
1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.
2. Na barra de navegação, use o seletor de região para selecionar uma das regiões da AWS onde oAWS CloudHSM Classic é suportado:
• Leste dos EUA (Norte da Virgínia)• Leste dos EUA (Ohio)• Oeste dos EUA (Norte da Califórnia)• Oeste dos EUA (Oregon)• Canadá (Central)• Europa (Irlanda)• Europa (Frankfurt)• Ásia-Pacífico (Tóquio)• Ásia-Pacífico (Cingapura)• Ásia-Pacífico (Sydney)
3. Escolha Start VPC Wizard.4. Escolha a primeira opção, VPC com uma única sub-rede pública e clique em Selecionar.5. Em VPC name: (Nome da VPC:), digite um nome identificável como CloudHSM. Em Subnet name:
(Nome da sub-rede:), digite um nome identificável como CloudHSM public subnet. Deixe todas asoutras opções com seus valores padrão, e escolha Create VPC (Criar VPC).
Criar as sub-redes privadasCrie uma sub-rede privada (uma sub-rede sem Internet Gateway anexado) para cada zona dedisponibilidade (AZ) na região. Isso fornece o máximo de flexibilidade para escolher a sub-rede para osHSMs. Provisionar HSMs em zonas de disponibilidade diferentes oferece uma configuração mais robustapara alta disponibilidade.
Para criar as sub-redes privadas na VPC do HSM
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Sub-redes e, em seguida, Criar sub-rede.3. Na caixa de diálogo Criar sub-rede, faça o seguinte:
a. Em Name tag (Nomear tag), digite um nome identificável como CloudHSM private subnet.b. Em VPC, selecione a VPC AWS CloudHSM Classic criada anteriormente.c. Para Zona de disponibilidade, selecione a primeira zona de disponibilidade na lista.d. Para Bloco CIDR, digite o bloco CIDR para uso na sub-rede.
Para obter mais informações sobre a escolha de um bloco CIDR da sub-rede, consulte SubnetSizing (Dimensionamento da sub-rede) no Guia do usuário da Amazon VPC.
10
AWS CloudHSM Classic Guia do usuárioConfiguração manual
Escolha Yes, Create.4. Repita as etapas 3 e 4 para cada zona de disponibilidade restante na região.
Criar o security groupCrie um security group para uso com o AWS CloudHSM Classic e, em seguida, adicione as regras deentrada necessárias para o seu grupo de segurança.
Note
As regras do grupo de segurança fornecidas aqui são as regras mínimas necessárias paracomeçar a usar o AWS CloudHSM Classic. Para implantações de produção, defina regrasapropriadas para restringir o tráfego de rede de acordo com as políticas de segurança e asmelhores práticas.
Para criar o grupo de segurança para uso com o AWS CloudHSM Classic
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security groups e, em seguida, Criar security group.3. Na caixa de diálogo Criar security group, faça o seguinte:
a. Em Name tag (Nomear tag), digite um nome identificável como CloudHSM_SG.b. Para Nome do grupo, digite um nome identificável. Você pode digitar o mesmo nome usado para
Tag de nome.c. Em Description (Descrição), digite uma descrição, como SG for CloudHSM instances.d. Em VPC, selecione a VPC AWS CloudHSM Classic criada anteriormente.
4. Escolha Yes, Create.
Para adicionar as regras de entrada necessárias para o security group
1. Com o security group selecionado na lista, selecione a guia Regras de entrada e, em seguida,selecione Editar.
2. Faça o seguinte para adicionar uma regra de entrada que permite o tráfego pela porta 22 (SSH) apartir da rede:
a. Para Tipo, escolha SSH (22).b. Em Source (Origem), digite o bloco CIDR da rede.c. Selecione Adicionar outra regra.
3. Faça o seguinte para adicionar uma regra de entrada que permite o tráfego pela porta 22 (SSH) apartir da VPC:
a. Para Tipo, escolha SSH (22).b. Em Source (Origem), digite ou selecione o ID do grupo de segurança AWS CloudHSM Classic
criado anteriormente. Por exemplo, sg-0123abcd.c. Escolha Add another rule.
4. Faça o seguinte para adicionar uma regra de entrada que permite o tráfego pela porta 3389 (RDP) apartir da rede:
a. Para Tipo, escolha RDP (3389).b. Para Origem, digite o bloco CIDR da rede.c. Selecione Adicionar outra regra.
11
AWS CloudHSM Classic Guia do usuárioConfiguração manual
5. Faça o seguinte para adicionar uma regra de entrada que permite o tráfego pela porta 1792 a partir daVPC:
a. Para Tipo, escolha Regra TCP personalizada.b. Para Intervalo da porta, digite 1792.c. Em Source (Origem), digite ou selecione o ID do grupo de segurança AWS CloudHSM Classic
criado anteriormente. Por exemplo, sg-0123abcd.6. Selecione Salvar para adicionar todas as quatro regras de entrada para o security group.
Criar uma função do IAMÉ necessário conceder permissão ao AWS CloudHSM Classic para realizar determinadas ações em seunome, como listar as VPCs e criar interfaces de rede elástica (ENIs) a serem anexadas aos HSMs. Paratanto, crie uma função do IAM que o AWS CloudHSM Classic tem permissão para assumir e que concedaessas permissões.
Para criar uma função do IAM para o AWS CloudHSM Classic
1. Abra o console do IAM em https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles, Create New Role.3. Em Role Name (Nome da função), digite um nome identificável com CloudHSM_Role e, em seguida,
selecione Next Step (Próxima etapa).4. Selecione Funções do serviço da AWS. Role para baixo para encontrar AWS CloudHSM. Na linha
AWS CloudHSM, escolha Select (Selecionar).5. Marque a caixa de seleção ao lado de AWSCloudHSMRole e, em seguida, selecione Próxima etapa.6. Selecione Create Role.
Ativar uma instância do clienteAtive uma instância Amazon Elastic Compute Cloud (Amazon EC2), chamada de uma instância do cliente,a ser usada no acesso ao HSM. O AWS CloudHSM Classic oferece uma Imagem de máquina da Amazon(AMI) que pode ser utilizada para iniciar essa instância do cliente. A AMI é pré-configurada com a interfaceda linha de comando (ILC) do AWS CloudHSM Classic e outros software cliente HSM. Para usar a AMIpara iniciar uma instância do cliente, siga o procedimento a seguir.
Como alternativa, instale manualmente a ILC e o software cliente HSM do AWS CloudHSM Classic emuma instância que já possui. Para obter mais informações, consulte Configuração das ferramentas deILC (p. 17) e Configuração de um cliente HSM no Linux (p. 29) ou Configuração de um cliente HSMno Windows (p. 31).
Para ativar uma instância do EC2 pré-configurada a partir da AMI do AWS CloudHSM Classic
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Escolha Launch Instance (Ativar instância).3. Selecione a guia AMIs da comunidade. Em seguida, use Search community AMIs (Pesquisar AMIs da
comunidade) para encontrar o CloudHSM 5.4.4. Localize a linha para a AMI do cliente do CloudHSM 5.4. Use a tabela de IDs das AMIs a seguir para
garantir a seleção da AMI correta para a sua região da AWS. Em seguida, escolha Selecionar.
Região AWS ID da AMI
Leste dos EUA (Norte da Virgínia) ami-85a975ee
12
AWS CloudHSM Classic Guia do usuárioConfiguração manual
Região AWS ID da AMI
Leste dos EUA (Ohio) ami-58f6ad3d
Oeste dos EUA (Norte da Califórnia) ami-e5561a85
Oeste dos EUA (Oregon) ami-cd717dfd
Canadá (Central) ami-309d2f54
Europa (Irlanda) ami-1e501b69
Europa (Frankfurt) ami-c22326df
Ásia-Pacífico (Tóquio) ami-8c09be8c
Ásia-Pacífico (Cingapura) ami-00cecc52
Ásia-Pacífico (Sydney) ami-87d492bd
5. Selecione o tipo de instância que deseja executar. Em seguida, selecione Próximo: configurar osdetalhes da instância.
6. Faça o seguinte:
a. Em Network (Rede), escolha a VPC AWS CloudHSM Classic criada anteriormente.b. Em Subnet (Sub-rede), escolha a sub-rede pública AWS CloudHSM Classic criada anteriormente.c. Para Atribuir IP público automaticamente, selecione Permitir.d. (Opcional) Altere os detalhes restantes da instância conforme desejado.
7. Selecione Próximo: adicionar armazenamento. Em seguida, se desejar, altere as configurações dearmazenamento.
8. Selecione Próximo: adicionar tags. Em seguida, se desejar, adicione tags.9. Selecione Próximo: configurar security group.10. Escolha Selecionar um security group existente. Em seguida, marque a caixa de seleção próxima ao
grupo de segurança do AWS CloudHSM Classic criado anteriormente.11. Escolha Review and Launch.12. Revise os detalhes da instância. Em seguida, selecione Iniciar.13. Escolha se deseja iniciar a instância com um par de chaves existente ou criar um novo par de chaves.
• Para usar um par de chaves existente, faça o seguinte:1. Escolha Selecionar um par de chaves existente.2. Para Selecionar um par de chaves, selecione o par de chaves a ser usado.3. Marque a caixa de seleção ao lado de Eu reconheço que tenho acesso ao arquivo de chave
privada selecionado (nome do arquivo de chave privada.pem) e que, sem esse arquivo,não será possível fazer login na instância.
• Para criar um novo par de chaves, faça o seguinte:1. Selecione Criar um novo par de chaves.2. Em Key pair name (Nome do par de chaves), digite um nome identificável, como CloudHSM
client key.3. Selecione Fazer o download do par de chaves e salve o arquivo da chave privada em um local
seguro e acessível.
13
AWS CloudHSM Classic Guia do usuárioGerar uma chave SSH
Warning
Não será possível fazer o download do arquivo de chave privada novamente a partirdesse momento. Se você não fizer o download do arquivo de chave privada agora, nãoserá possível fazer login na instância do cliente.
14. Selecione Iniciar instâncias. Em seguida, selecione Exibir instâncias.15. Aguarde até que a instância esteja em execução. Quando estiver em execução, conecte-se a ela
usando o SSH. Para obter mais informações, consulte Conectar à instância Linux utilizando SSH ouConectar-se à instância Linux no Windows utilizando PuTTY no Guia do usuário do Amazon EC2 parainstâncias do Linux.
16. Na instância do cliente, use o comando a seguir para atualizar a ILC do AWS CloudHSM Classic paraa versão mais recente.
sudo yum update aws-cloudhsm-cli -y
Preparação para provisionar os HSMsColete as informações a seguir. Essas informações são necessárias ao provisionar os HSMs.
• Os IDs das sub-redes privadas criadas anteriormente para AWS CloudHSM Classic. Essas informaçõesestão disponíveis no console da Amazon VPC em https://console.aws.amazon.com/vpc/home#subnets:.
• O ID do grupo de segurança criado anteriormente para o AWS CloudHSM Classic. Essasinformações estão disponíveis no console da Amazon VPC em https://console.aws.amazon.com/vpc/home#securityGroups:.
• O Nome de recurso da Amazon (ARN) da função do IAM criada anteriormente para o AWS CloudHSMClassic. Essas informações estão disponíveis no console da IAM em https://console.aws.amazon.com/iam/home#roles. Escolha o nome da função para o AWS CloudHSM Classic e, em seguida, anote o RoleARN (ARN da função).
Vá para Gerar uma chave SSH (p. 14).
Gerar uma chave SSHO AWS CloudHSM Classic usa um par de chaves SSH para autenticar a conta do administrador ao fazerlogin no dispositivo HSM. Ao se cadastrar no AWS CloudHSM Classic, a chave pública é fornecida para aAWS. É importante que você envie a informação da chave pública apenas para a AWS. A chave públicaé instalada no dispositivo HSM durante o provisionamento. A chave privada deve estar disponível paraqualquer instância usada para se conectar ao dispositivo HSM.
O par de chaves pode ser gerado em qualquer máquina, no entanto é necessário copiar a chave privadapara qualquer instância que será usada para se conectar ao dispositivo HSM. Caso gere o par de chavesna mesma instância que será usada para se conectar ao dispositivo HSM, não é necessário copiar oarquivo da chave privada. Use um par de chaves SSH existente ou gere um novo. Existem diversosgeradores de pares de chaves disponíveis, porém no Linux, um gerador comum é o comando ssh-keygen.No Windows, use o serviço PuTTYgen.
Recomenda-se incluir uma frase secreta na chave privada como forma de prevenir que pessoas nãoautorizadas façam login no dispositivo HSM. Ao incluir uma frase secreta, será necessário inseri-la sempreque realizar o login no dispositivo HSM.
O AWS CloudHSM Classic suporta pares de chave RSA de 2048 bits.
14
AWS CloudHSM Classic Guia do usuárioGerar uma chave SSH no Linux
Tópicos• Gerar uma chave SSH no Linux (p. 15)• Gerar uma chave SSH no Windows (p. 15)• Exemplo de chave pública SSH (p. 15)• Copiar a chave privada (p. 16)
Gerar uma chave SSH no LinuxPara gerar uma chave SSH em uma máquina Linux, use o comando ssh-keygen, conforme mostrado noexemplo a seguir:
$ ssh-keygenGenerating public/private rsa key pair.Enter file in which to save the key (/home/user/.ssh/id_rsa):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/user/.ssh/id_rsa.Your public key has been saved in /home/user/.ssh/id_rsa.pub.The key fingerprint is:df:c4:49:e9:fe:8e:7b:eb:28:d5:1f:72:82:fb:f2:69The key's randomart image is:+--[ RSA 2048]----+| || . || o || + . || S *. || . =.o.o || ..+ +..|| .o Eo .|| .OO=. |+-----------------+$
Gerar uma chave SSH no WindowsPara gerar uma chave SSH em uma máquina Windows, use o serviço PuTTYgen. Para obtermais informações sobre o uso do serviço PuTTYgen para criar um par de chaves, acesse http://www.howtoforge.com/ssh_key_based_logins_putty.
O PuTTYgen armazena as chaves privadas em um formato exclusivo, usado apenas pelo PuTTY. Casoprecise usar a chave privada com um cliente SSH diferente do PuTTY, use o PuTTYgen para converter achave privada para o formato OpenSSH, clicando em Conversão no menu do PuTTYgen e selecionandoExportar chave OpenSSH.
A chave pública usada pelo dispositivo HSM deve estar no formato SSH. No PuTTYgen, copie o conteúdodo campo Chave pública para colagem no arquivo de chaves autorizadas OpenSSH e salve em umarquivo. Este é o arquivo de chave pública.
Exemplo de chave pública SSHO exemplo a seguir mostra uma chave pública SSH gerada por meio do comando ssh-keygen no Linux.A chave pública fornecida para a AWS deve ser semelhante à mostrada a seguir. As quebras de linha noexemplo a seguir são apenas para legibilidade; a chave pública SSH deve ser uma única linha contínua.
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA6bUsFjDSFcPC/BZbIAv8cAR5syJMB
15
AWS CloudHSM Classic Guia do usuárioCopiar a chave privada
GiEqzFOIEHbm0fPkkQ0U6KppzuXvVlc2u7w0mgPMhnkEfV6j0YBITu0Rs8rNHZFJsCYXpdoPxMMgmCf/FaOiKrb7+1xk21q2VwZyj13GPUsCxQhRW7dNidaaYTf14sbd9AqMUH4UOUjs27MhO37q8/WjV3wVWpFqexm3f4HPyMLAAEeExT7UziHyoMLJBHDKMN71Ok2kV24wwn+t9P/Va/6OR6LyCmyCrFyiNbbCDtQ9JvCj5RVBla5q4uEkFRl0t6m9XZg+qT67sDDoystq3XEfNUmDYDL4kq1xPM66KFk3OS5qeIN2kcSnQ==
Copiar a chave privadaÉ necessário copiar a chave privada para todas as instâncias que serão usadas para se conectar aodispositivo HSM. Essas instâncias são chamadas de control instances.
Tópicos• Copiar a chave privada para uma instância do Linux (p. 16)• Copiar a chave privada para uma instância do Windows (p. 16)
Copiar a chave privada para uma instância do LinuxExecute as etapas a seguir se a instância de controle é uma instância do Linux.
1. Se a chave foi criada usando o PuTTYgen, use o mesmo para converter a chave privadapara o formato OpenSSH. Para obter mais informações, consulte Gerar uma chave SSH noWindows (p. 15).
2. Copie o arquivo de chave privada da máquina onde está armazenado, para o diretório ~/.ssh/ nainstância de controle.
3. Conecte-se à instância de controle via SSH. As etapas restantes neste procedimento são realizadasna instância de controle.
4. Na instância de controle, modifique as permissões para o arquivo de chave privada.
$ chmod 600 ~/.ssh/[private_key_file]
5. Use ssh-add para adicionar a chave privada no agente de autenticação. O comando ssh-add solicita afrase secreta usada para proteger a chave privada no momento em que foi gerada.
$ ssh-add ~/.ssh/[private_key_file]
Ao se conectar ao dispositivo HSM, essa chave é usada para autenticação. Repita esse comando todavez que se reconectar à instância de controle. Como alternativa, especifique qual ssh e scp do arquivode chave privada deve usar a opção -i.
Copiar a chave privada para uma instância do WindowsExecute as etapas a seguir se a instância de controle é uma instância do Windows.
1. Copie o arquivo de chave privada da máquina onde estava armazenado, para o diretório na instânciade controle onde as chaves PuTTY são armazenadas.
2. Conecte-se à instância de controle via RDP. As etapas restantes neste procedimento são realizadasna instância de controle.
3. Se a chave privada não é um arquivo de chave privada PuTTY, execute as seguintes etapas:
a. Na instância de controle, use o PuTTYgen para importar o arquivo de chave privada que foicopiado, clicando em Conversão no menu do PuTTYgen, selecionando Importar chave e, emseguida, selecionando o arquivo de chave privada. A frase secreta da chave será solicitada.
16
AWS CloudHSM Classic Guia do usuárioConfiguração das ferramentas de ILC
b. No PuTTYgen, salve a chave privada como um arquivo de chave privada PuTTY selecionandoSalvar chave privada.
Ao se conectar ao dispositivo HSM usando o PuTTY, esse arquivo de chave privada é usada paraautenticação. Para evitar ter que colocar a frase secreta toda vez que fizer o login, use o Pageant.O Pageant é um agente de autenticação SSH usado com o PuTTY. Ele mantém as chaves privadasna memória, já decodificadas, para que você possa usá-las frequentemente, sem a necessidade dedigitá-las. Para obter mais informações, acesse Usando o Pageant para autenticação.
Configurar as ferramentas da ILC do AWSCloudHSM Classic
As ferramentas da ILC do AWS CloudHSM Classic simplificam e centralizam a administração do HSM. Asferramentas facilitam a criação e a inicialização dos dispositivos HSM e a configuração dos HSMs em umaconfiguração de alta disponibilidade sem precisar fazer login em cada HSM e executar comandos de shelldo Luna.
Tópicos• Instalar as ferramentas da ILC (p. 17)• Configuração das ferramentas da ILC do AWS CloudHSM Classic (p. 19)
Instalar as ferramentas da ILCPara definir e configurar uma instância para uso com as ferramentas da ILC do AWS CloudHSM Classic,execute as seguintes etapas.
Para configurar uma instância para a ILC do AWS CloudHSM Classic
1. Inicie uma instância Linux na mesma VPC que contém os dispositivos HSM.2. Configure os security groups da VPC da seguinte forma:
• O security group atribuído à instância deve ter a porta 22 (SSH) aberta para o tráfego de entrada darede. Isso permite a conexão com a instância usando o SSH.
• O security group atribuído ao dispositivo HSM deve ter a porta 22 (SSH) aberta para o tráfego deentrada da VPC. Isso permite que a instância se comunique com o dispositivo HSM.
3. Instale o Python 2.7 e pip na instância Linux, conforme descrito em Instalar o Python 2.7 (p. 18) eInstalar o pip (p. 18).
4. Faça download e instale as ferramentas da ILC do AWS CloudHSM Classic, conforme descrito emInstalar as ferramentas da ILC AWS CloudHSM Classic (p. 18).
5. Copie os arquivos de chave privada de todos os HSMs para a instância. Essas são as partes privadasdas chaves que forma instaladas nos HSMs no momento em que foram provisionados. Elas sãonecessárias para diversos comandos, como initialize-hsm (p. 88) e add-hsm-to-hapg (p. 58).Para obter mais informações, consulte Copiar a chave privada (p. 16).
Tópicos• Instalar o Python 2.7 (p. 18)• Instalar o pip (p. 18)• Instalar as ferramentas da ILC AWS CloudHSM Classic (p. 18)
17
AWS CloudHSM Classic Guia do usuárioInstalar as ferramentas da ILC
• Definir a propriedade do diretório e do arquivo necessária (p. 19)
Instalar o Python 2.7Determine se o Python 2.7 já está instalado executando o seguinte comando na instância:
$ python2.7 -V
Se a resposta é que o comando python2.7 não foi encontrado, instale o Python 2.7 executando um dosseguintes comandos na instância.
• Nos sistemas RHEL e derivativos RHEL, incluindo o Amazon Linux, use o seguinte comando:
$ sudo yum install python27
• Nos sistemas Debian e derivativos Debian, como o Ubuntu, use o seguinte comando:
$ sudo apt-get install python27
Instalar o pipDetermine se o pip já está instalado executando o seguinte comando na instância:
$ pip -V
Se a resposta é que o comando pip não foi encontrado, faça o download do pip executando o seguintecomando na instância:
$ curl -O https://bootstrap.pypa.io/get-pip.py
Em seguida, instale o pip executando o seguinte comando na instância:
$ sudo python2.7 get-pip.py
Instalar as ferramentas da ILC AWS CloudHSM ClassicApós instalar o Python 2.7 (p. 18) e instalar o pip (p. 18), instale as ferramentas da ILC do AWSCloudHSM Classic executando um dos seguintes comandos na instância.
• No Amazon Linux, use o seguinte comando:
$ sudo yum install aws-cloudhsm-cli
• Em todos os outros sistemas operacionais, use o seguinte comando:
$ pip install aws-cloudhsm-cli
Dependendo do sistema operacional, será necessário executar o comando pip anterior com o sudo.
Use o comando a seguir para verificar se as ferramentas da ILC do AWS CloudHSM Classic estãoinstaladas corretamente.
18
AWS CloudHSM Classic Guia do usuárioConfiguração das ferramentas da CLI
$ cloudhsm version
Definir a propriedade do diretório e do arquivo necessáriaSe a instância tem o software cliente ILCente da SafeNet instalado, as ferramentas da ILC do AWSCloudHSM Classic exigem que o usuário que está executando os comandos seja o proprietário de certosarquivos e diretórios.
Para definir o proprietário dos arquivos e diretórios
1. Use os comandos a seguir na instância que está executando as ferramentas da ILC doAWS CloudHSM Classic para definir o proprietário e a permissão de gravação no arquivoChrystoki.conf.
$ sudo chown <owner> /etc/Chrystoki.conf
$ sudo chmod +w /etc/Chrystoki.conf
O <owner> pode ser o usuário ou um grupo ao qual o usuário pertence.2. Use o comando a seguir na instância que está executando as ferramentas da ILC do AWS CloudHSM
Classic para definir o proprietário do diretório do cliente do Luna.
$ sudo chown <owner> -R /usr/safenet/lunaclient/
O <owner> pode ser o usuário ou um grupo ao qual o usuário pertence.
Configuração das ferramentas da ILC do AWSCloudHSM ClassicOs tópicos a seguir explicam como configurar e usar as ferramentas da ILC do AWS CloudHSM Classic.
Tópicos• Autenticação (p. 19)• Conexões SSH (p. 20)• Senhas (p. 21)• Arquivos de configuração (p. 21)• Certificados do cliente (p. 21)
AutenticaçãoAs ferramentas da ILC do AWS CloudHSM Classic utilizam o ID da chave de acesso da AWS e ascredenciais da chave de acesso secreta para identificá-lo e autenticá-lo com o serviço. Para obter maisinformações sobre essas chaves, consulte Credenciais de segurança da AWS e Práticas recomendadaspara gerenciar as chaves de acesso da AWS na Referência geral da Amazon Web Services.
Forneça as credenciais para as ferramentas da ILC do AWS CloudHSM Classic das seguintes formas:
• Defina as credenciais nas configurações aws_access_key_id e aws_secret_access_key em umarquivo de configuração especificado com o parâmetro --conf_file para cada comando. Para obtermais informações, consulte Arquivos de configuração (p. 21). Este é o método recomendado parafornecer as credenciais para a CLI.
19
AWS CloudHSM Classic Guia do usuárioConfiguração das ferramentas da CLI
• É possível definir as credenciais para serem usadas por todos os comandos do AWS CloudHSM Classic,
adicionando-as a um arquivo de configuração boto na instância, conforme mostrado no exemplo aseguir.
[Credentials]aws_access_key_id = access_key_idaws_secret_access_key = secret_access_key
Defina esse arquivo de configuração boto para todos os usuários no sistema ou apenas para o usuárioatual. Para que essas credenciais se apliquem para todos os usuários, salve o arquivo como /etc/boto.cfg. Para que essas credenciais se apliquem somente para o usuário atual, salve o arquivo como~/.boto.
• Forneça as credenciais como argumentos para cada comando com os parâmetros --aws-access-key-id e --aws-secret-access-key para cada comando. Todos os comandos da ILC do AWSCloudHSM Classic aceitam esses argumentos. Esse método não é recomendado, pois ele pode levar àexposição inadvertida das credenciais caso um script seja compartilhado com outros.
• Ao instalar a ILC do AWS CloudHSM Classic em uma instância do Amazon EC2, utilize funções do IAM
para Amazon EC2 para fornecer credenciais. Com as funções do IAM para Amazon EC2, as credenciaisnão são definidas nem armazenadas na instância do EC2. Em vez disso:1. Crie uma função do IAM com permissões do AWS CloudHSM Classic.2. Associe essa função a sua instância do EC2.
Por meio dessa associação, as funções do IAM para o recurso do Amazon EC2 distribuem credenciaistemporárias para a instância do EC2 e rotacionam essas credenciais regularmente. A ILC do AWSCloudHSM Classic localiza e usa essas credenciais automaticamente. Para obter mais informações,consulte Funções do IAM para Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias doLinux.
Conexões SSHMuitos dos comandos da ILC do AWS CloudHSM Classic, tal como initialize-hsm (p. 88), devem secomunicar com os dispositivos HSM usando o protocolo SSH. Para facilitar isso, habilite o comando ssh<hsm_ip_address>, sem outros parâmetros, para se conectar a cada um dos HSMs. Existem diversosmétodos para fazer isso. Recomendamos adicionar uma entrada semelhante à seguinte no arquivo~/.ssh/config.
Host <hsm_ip_address>User managerIdentityFile <private_key_file>
Substitua <hsm_ip_address> pelo endereço IP do dispositivo HSM e substitua <private_key_file>pelo arquivo de chave privada correspondente à chave pública instalada no dispositivo HSM durante oprovisionamento. Se a chave privada estiver protegida com uma senha, use o ssh-agent para desbloqueara chave privada e enviá-la para o processo ssh para que o comando ssh <hsm_ip_address>, semnenhum outro parâmetro ou entrada, se conecte ao HSM.
Note
A autenticação SSH baseada em senha não é suportada. Você deve usar um par de chaves paraautenticar ao HSM. Para obter mais informações, consulte Gerar uma chave SSH (p. 14).
20
AWS CloudHSM Classic Guia do usuárioConfiguração das ferramentas da CLI
SenhasRecomendamos imprimir uma cópia do Planilha de senha (p. 35), usá-lo para registrar as senhasdo AWS CloudHSM Classic e armazená-lo em um lugar seguro. Também recomendamos armazenarpelo menos uma cópia dessa planilha em um local externo seguro. A AWS não dispõe da capacidade derecuperar o material principal de um HSM para o qual você não tenha as credenciais apropriadas de oficialde segurança do HSM.
Arquivos de configuraçãoMuitos dos comandos da ILC do AWS CloudHSM Classic exigem parâmetros comuns, como a região daAWS ou credenciais de autenticação. Em vez de enviar esses como opções da linha de comando, defina-os em um arquivo de configuração e envie esse arquivo com o parâmetro --conf_file.
O exemplo a seguir mostra o formato do arquivo de configuração:
[cloudhsmcli]aws_access_key_id=<value>aws_secret_access_key=<value>aws_region=<value>hapg_arns= <value1> <value2> <value...>so_password=<value>
Certificados do clienteTodo cliente do AWS CloudHSM Classic requer uma chave privada e um certificado para autenticá-lo napartição, ou grupo de partição, do HSM ao qual está associado. Crie um cliente HSM com o comandocreate-client (p. 66), enviando o certificado para o comando.
O certificado é um arquivo que contém um certificado PEM X.509 v3 codificado em base64. O certificadoPEM deve estar no seguinte formato:
-----BEGIN CERTIFICATE-----<certificate contents>-----END CERTIFICATE-----
A chave privada deve residir no diretório de certificado do cliente do LunaSA. Esse diretório é criadoquando o software cliente do LunaSA é instalado no cliente. Para obter mais informações sobre o softwarecliente do LunaSA, consulte Configuração de um cliente HSM no Linux (p. 29) ou Configuração de umcliente HSM no Windows (p. 31). A localização do diretório de certificado do cliente do LunaSA varia deacordo com o sistema operacional do cliente.
Clientes no Linux
/usr/safenet/lunaclient/cert
Clientes no Windows
%ProgramFiles%\SafeNet\LunaClient\cert
Existem diversas maneiras para criar esse certificado. Duas das mais comuns são usar o comando vtlcreateCert do LunaSA, ou usar o OpenSSL toolkit.
Tópicos
21
AWS CloudHSM Classic Guia do usuárioConfiguração das ferramentas da CLI
• Comando do LunaSA (p. 22)• OpenSSL Toolkit (p. 22)
Comando do LunaSAPara criar uma chave privada e um certificado com o comando vtl do LunaSA, é necessário ter osoftware cliente do LunaSA instalado no cliente. Para obter mais informações, consulte Configuração deum cliente HSM no Linux ou Configuração de um cliente HSM no Windows no Guia do usuário do AWSCloudHSM.
Para criar um certificado de cliente com o comando vtl em um cliente no Linux, execute o seguintecomando.
$ sudo vtl createCert -n <client_name>
Para criar um certificado de cliente com o comando vtl em um cliente no Windows, execute o seguintecomando.
C:\> vtl createCert -n <client_name>
O <client_name> pode ser qualquer nome que seja único e não contenha espaços ou caracteresespeciais. É necessário usar o mesmo nome para o parâmetro --label no comando create-client (p. 66).
A saída do comando vtl createCert será semelhante ao mostrado a seguir.
Private Key created and written to:<luna_client_cert_dir>/<client_name>Key.pemCertificate created and written to:<luna_client_cert_dir>/<client_name>.pem
<luna_client_cert_dir> é o diretório de certificado do cliente do LunaSA no cliente.
Envie o arquivo <client_name>.pem para o parâmetro --certificate-filename no comandocreate-client (p. 66).
OpenSSL ToolkitUse o OpenSSL toolkit para criar a chave privada e o certificado emitindo os seguintes comandos.
Crie a chave privada.
openssl genrsa -out <luna_client_cert_dir>/<client_name>Key.pem 2048
Gere o certificado a partir da chave privada.
openssl req -new -x509 -days 3650 -key <luna_client_cert_dir>/<client_name>Key.pem -out <client_name>.pem
<luna_client_cert_dir> é o diretório de certificado do cliente do LunaSA no cliente.
O <client_name> pode ser qualquer nome que seja único e não contenha espaços ou caracteresespeciais.
A saída do comando openssl req será semelhante ao mostrado a seguir. Você será solicitado apreencher vários campos usados pelo certificado. O único campo obrigatório é Common Name, que deve
22
AWS CloudHSM Classic Guia do usuárioConfiguração das ferramentas da CLI
ser o mesmo que <client_name>. Também é necessário usar o mesmo nome para o parâmetro --label no comando create-client (p. 66). Os campos restantes podem ser deixados em branco.
You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:.State or Province Name (full name) []:.Locality Name (eg, city) [Default City]:.Organization Name (eg, company) [Default Company Ltd]:.Organizational Unit Name (eg, section) []:.Common Name (eg, your name or your server's hostname) []:<client_name>Email Address []:.
Envie o arquivo <client_name>.pem para o parâmetro --certificate-filename no comandocreate-client (p. 66).
23
AWS CloudHSM Classic Guia do usuário
Conceitos básicos do AWSCloudHSM Classic
O AWS CloudHSM Classic fornece armazenamento seguro de chave criptográfica aos clientes por meio dadisponibilidade de módulos de segurança de hardware (HSMs) na nuvem AWS.
Este guia oferece uma introdução prática ao uso do AWS CloudHSM Classic, ensinando as etapasnecessárias para definir e configurar o dispositivo HSM, integrar aplicativos de software de terceiros aoAWS CloudHSM Classic e gravar um aplicativo simples que usa o dispositivo HSM. Este guia tambémdescreve as melhores práticas para uso do serviço do AWS CloudHSM Classic.
A configuração recomendada para usar o AWS CloudHSM Classic é usar dois HSMs em uma configuraçãode alta disponibilidade. Para obter mais informações sobre a configuração de alta disponibilidade, consulteAlta disponibilidade e balanceamento de carga (p. 37).
Esta lista resume os procedimentos necessários para começar a usar o AWS CloudHSM Classic.Instruções passo a passo são detalhadas nas seções a seguir.
Para começar a usar o AWS CloudHSM Classic
1. Caso ainda não tenha feito, siga as etapas em Configuração do AWS CloudHSM Classic (p. 3) paraconfigurar o ambiente HSM.
2. Provisione um ou mais HSMs usando os procedimentos em Provisionar os HSMs (p. 25).3. Inicialize os HSMs usando os procedimentos em Configurar o HSM (p. 26).4. Conecte os dispositivos HSM locais à VPC do HSM, conforme mostrado em Conectar o HSM
local (p. 29).5. Configurar o cliente HSM (p. 29).6. Configurar a HA (p. 37).7. Selecione uma das seguintes opções:
• Integre o AWS CloudHSM Classic aos aplicativos de software de terceiros. Para obter maisinformações, consulte Integrar aplicativos de terceiros no AWS CloudHSM Classic (p. 48).
• Aplicativo de amostra (p. 114) para se preparar para Criar seus próprios aplicativos (p. 50).
24
AWS CloudHSM Classic Guia do usuárioProvisionar os HSMs
Important
Este guia fornece um conjunto simplificado de instruções que permitem que você comece a usarrapidamente o serviço do AWS CloudHSM Classic. Para proteger as implantações de produção,não deixe de ler as descrições detalhadas e as informações básicas fornecidas na documentaçãodo Luna SA da SafeNet, a fim de obter um melhor entendimento da operação do HSM. Este guianão tem como objetivo fornecer os detalhes importantes, que são essenciais para proteger aoperação do HSM.
Tópicos• Provisionar os HSMs (p. 25)• Configurar o HSM (p. 26)• Configuração do cliente AWS CloudHSM Classic (p. 29)
Provisionar os HSMsAs seguintes informações são necessárias para provisionar o HSM.
• O identificador da sub-rede privada na qual deseja-se provisionar o HSM. Para obter mais informações,consulte Configurar o ambiente AWS CloudHSM Classic (p. 6).
• O Nome de recurso da Amazon (ARN) da função do IAM para o AWS CloudHSM Classic. Para obtermais informações, consulte Configurar o ambiente AWS CloudHSM Classic (p. 6).
• A chave pública SSH. Para obter mais informações, consulte Gerar uma chave SSH (p. 14).
Important
Será cobrada uma taxa inicial para cada HSM provisionado. Caso provisione acidentalmente umHSM e queira solicitar um reembolso, exclua o HSM (p. 51) e, em seguida, acesse o AWSSupport Center para criar um novo processo sobre Atendimento ao cliente.
Para provisionar o HSM, na instância de controle, use o comando AWS CloudHSM Classic da ILC docreate-hsm (p. 70), como no exemplo a seguir.
Note
O exemplo a seguir contém quebras de linha para garantir legibilidade. Não inclua quebras delinha ou barras invertidas (\) ao usar esse comando na instância de controle.Antes de usar o comando a seguir, certifique-se de ter configurado o aws_access_key_id,a aws_secret_access_key e a aws_region em um arquivo de configuração em ~/cloudhsm.conf. Para obter mais informações, consulte Arquivos de configuração (p. 21).
$ cloudhsm create-hsm --conf_file ~/cloudhsm.conf \--subnet-id <subnet_id> \--ssh-public-key-file <public_key_file> \--iam-role-arn <iam_role_arn> \--syslog-ip <syslog_ip_address>
A lista a seguir descreve cada parâmetro usado no exemplo anterior.
<subnet_id>
O identificador da sub-rede da VPC, na qual deseja-se alocar o HSM.<public_key_file>
O arquivo que contém a chave pública SSH a ser instalada no HSM.
25
AWS CloudHSM Classic Guia do usuárioConfigurar o HSM
<iam_role_arn>
O ARN de uma função do IAM que permite que o serviço do AWS CloudHSM Classic aloque umainterface de rede elástica (ENI) em seu nome.
<syslog_ip_address>
(Opcional) O endereço IP do servidor de monitoramento de syslog. O serviço do AWS CloudHSMClassic suporta o uso de apenas um servidor de monitoramento de syslog.
A resposta é semelhante à seguinte.
{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}
Anote o valor do <hsm_arn>, pois ele será necessário para inicializar o HSM.
Repita esse comando para criar quantos HSMs desejar.
Configurar o HSMAo definir e configurar o HSM, recomendamos imprimir uma cópia da Planilha de senha (p. 35), usá-la para registrar as senhas do HSM e armazená-la em um local seguro. Recomendamos também quevocê armazene no mínimo uma cópia desta planilha em um local externo seguro. A AWS não dispõeda capacidade de recuperar o material principal de um HSM para o qual você não tenha as credenciaisapropriadas de oficial de segurança do HSM.
Ao criar um HSM, ele recebe um endereço IP. Como esse endereço IP só é acessível a partir de umainstância dentro da mesma VPC em que o HSM está, use a control instance para inicializar egerenciar o HSM. A instância de controle foi iniciada quando o ambiente do AWS CloudHSM Classic foiconfigurado.
Tópicos• Obter o identificador da ENI do HSM e o endereço IP (p. 26)• Aplicar o security group (p. 27)• Inicializar o HSM (p. 27)• Conectar o HSM local (p. 29)
Note
Todos os comandos de exemplo pressupõem que você tenha definido aws_access_key_id,aws_secret_access_key e aws_region em um arquivo de configuração em ~/cloudhsm.conf.Para obter mais informações, consulte Arquivos de configuração (p. 21).
Obter o identificador da ENI do HSM e o endereço IPPara encontrar o endereço IP de um HSM, execute as seguintes etapas:
Para encontrar o endereço IP de um HSM
1. Conecte-se à instância de controle usando o SSH. As etapas restantes são executadas na instânciade controle.
26
AWS CloudHSM Classic Guia do usuárioAplicar o security group
2. Caso não conheça o ARN do HSM, execute o comando list-hsms (p. 93) e copie o ARN do HSMem questão.
$ cloudhsm list-hsms --conf_file ~/cloudhsm.conf{ "HsmList": [ "<hsm1_arn>", "<hsm2_arn>" ], "RequestId": "<request_id>"}
3. Execute o comando describe-hsm (p. 83), enviando o ARN do HSM. O identificador da ENI estácontido no campo EniId e o endereço IP do HSM está contido no campo EniIp. Anote esses valores,pois eles são necessários para inicializar o HSM.
$ cloudhsm describe-hsm --conf_file ~/cloudhsm.conf --hsm-arn <hsm_arn>{ "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "<iam_role_arn>", "Partitions": [], "RequestId": "<request_id>", "SerialNumber": "<serial_number>", "SoftwareVersion": "5.1.3-1", "SshPublicKey": "<public_key_text>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "2014-02-05T22:59:38.294Z", "SubscriptionType": "PRODUCTION", "VendorName": "SafeNet Inc."}
Aplicar o security groupApós provisionar o HSM, aplique o security group correto ao HSM.
Para aplicar o security group
1. Abra o console do Amazon EC2 e selecione a região na qual o HSM foi provisionado.2. Selecione Interfaces de rede no painel de navegação do console.3. Encontre e selecione o identificador da interface de rede do HSM na lista de interfaces de rede, clique
em Ações e selecione Alterar security groups.4. Na caixa de diálogo Alterar security groups, selecione o security group criado para os HSMs e clique
em Salvar.5. (Opcional) Para auxiliar na solução de problemas de conectividade de rede com o dispositivo HSM,
adicione regras de entrada e saída ao security group para ICMP Echo Request e Echo Reply. Elespermitem efetuar o "ping" no dispositivo HSM, e permite que o dispositivo HSM responda.
Inicializar o HSMPara inicializar um HSM usando a ILC do AWS CloudHSM Classic, execute as etapas a seguir nainstância de controle. Caso precise inicializar o HSM manualmente, consulte Inicializar um HSMmanualmente (p. 105).
27
AWS CloudHSM Classic Guia do usuárioInicializar o HSM
Para inicializar um HSM
1. (Opcional) Se necessário, obtenha o endereço IP do HSM usando o comando describe-hsm (p. 83)a seguir. Isso é necessário para se conectar ao HSM na próxima etapa.
$ cloudhsm describe-hsm --conf_file ~/cloudhsm.conf --hsm-arn <hsm_arn>
A saída é semelhante à seguinte. Anote o valor de <eni_ip>.
{ "AvailabilityZone": "<az_id>", "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "arn:aws:iam::<account>:role/<role_name>", "Partitions": [ "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>", "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>", "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>" ], "RequestId": "<request_id>", "SerialNumber": "<serial_number>", "SoftwareVersion": "<version>", "SshPublicKey": "<public_key_contents>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "<start_date>", "SubscriptionType": "<subscription_type>", "VendorName": "<vendor>"}
2. Abra uma conexão SSH persistente com o HSM, seguindo as instruções em Conexões SSH (p. 20),usando o endereço IP do HSM obtido na etapa anterior.
3. Inicialize o HSM usando o comando initialize-hsm (p. 88) a seguir.
$ cloudhsm initialize-hsm --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \--label <label> \--cloning-domain <cloning_domain> \--so-password <so_password>
Os parâmetros são os seguintes:
<hsm_arn>
O identificador do HSM que deseja inicializar.<label>
Um nome exclusivo para o HSM.<cloning_domain>
O domínio de clonagem para o HSM, que é um segredo usado para controlar a clonagem dematerial de chaves de um HSM para outro. Caso queira clonar um HSM usando o comandoclone-hsm (p. 63), ambos os HSMs de origem e destino devem ser inicializados com o mesmodomínio de clonagem.
<so_password>
A senha a ser definida para a conta do responsável pela segurança no HSM. Anote essa senhana Planilha de senha (p. 35).
28
AWS CloudHSM Classic Guia do usuárioConectar o HSM local
Inicializar um HSM também define a senha para a conta do responsável pela segurança do HSM(também conhecido como administrador). Essa senha deve ser a mesma para todos os HSMs nomesmo grupo de partição de alta disponibilidade. Anote a senha do responsável pela segurançana Planilha de senha (p. 35) e não a perca. Recomendamos imprimir uma cópia do Planilha desenha (p. 35), usá-lo para registrar as senhas do AWS CloudHSM Classic e armazená-lo em umlugar seguro. Também recomendamos armazenar pelo menos uma cópia dessa planilha em um localexterno seguro. A AWS não dispõe da capacidade de recuperar o material principal de um HSM parao qual você não tenha as credenciais apropriadas de oficial de segurança do HSM.
Repita o comando initialize-hsm (p. 88) para cada ARN do HSM que deseja inicializar.4. Encerre a conexão SSH persistente com o HSM usando o comando a seguir.
$ ssh -O stop <hsm_ip_address>
Conectar o HSM localSe desejar, conecte os dispositivos HSM do Luna SA da SafeNet no datacenter às instâncias da AWSusando VPN ou AWS Direct Connect. Para obter mais informações, consulte a página de detalhes do AWSDirect Connect.
Configuração do cliente AWS CloudHSM ClassicLeia os tópicos a seguir para aprender como instalar o software cliente HSM.
Tópicos• Configuração de um cliente HSM no Linux (p. 29)• Configuração de um cliente HSM no Windows (p. 31)
Configuração de um cliente HSM no LinuxPara configurar um cliente HSM no Linux, instale o software cliente AWS CloudHSM Classic nainstância cliente do Linux. AWS CloudHSM Classic oferece uma imagem de máquina da Amazon (AMI)personalizada que pode ser utilizada para ativar uma instância do Amazon Elastic Compute Cloud(Amazon EC2) pré-configurada com o software cliente HSM. Caso configure o ambiente automaticamentecom o AWS CloudFormation, ou caso tenha usado a AMI do AWS CloudHSM Classic para ativar ainstância de cliente, avance para Criação de um Network Trust Link (NTL - Link confiável de rede) entre umcliente do Linux e o dispositivo HSM (p. 30).
Também é possível instalar o software cliente AWS CloudHSM Classic manualmente. Para instalarmanualmente o software cliente AWS CloudHSM Classic em uma instância do EC2 que não foi executadapela AMI de cliente do AWS CloudHSM Classic, consulte as instruções a seguir. As etapas a seguir sãopara a AMI de 64 bits x86 Amazon Linux e podem exigir alterações caso utilize uma arquitetura de sistemadiferente.
Para instalar e configurar manualmente um cliente HSM no Linux
1. Conecte-se à instância do Linux na qual deseja-se instalar o cliente HSM. A instância deve serexecutada na mesma VPC que o HSM.
29
AWS CloudHSM Classic Guia do usuárioConfiguração de um cliente HSM no Linux
2. Faça download do pacote do software cliente em https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz. Verifique a integridade do pacote baixado com o seguinte resumo SHA256:
4777ae559cfa9421735f73b4c1a2fe69b2f43d4d774f36e4050e773c23372f4c
O resumo também está disponível em https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz.sha256.
3. Extraia os arquivos do pacote e, em seguida, execute o arquivo 610-012382-008_revC/linux/64/install.sh como raiz e instale a opção Luna SA.
Criação de um Network Trust Link (NTL - Link confiável de rede)entre um cliente do Linux e o dispositivo HSMAs instruções a seguir utilizam o aplicativo vtl, que é parte das ferramentas de cliente do Luna SAinstalado anteriormente. O aplicativo vtl está instalado em /usr/safenet/lunaclient/bin/. Énecessário incluir esse caminho toda vez que usar o comando ou adicioná-lo à variável de ambiente PATH.
Note
Para concluir estas etapas para mais de um dispositivo HSM, execute todas as etapas para oprimeiro HSM. Em seguida, recomece e conclua todas as etapas para o segundo HSM, e assimpor diante.
Para criar um link confiável de rede entre o cliente e o dispositivo HSM
Essas instruções se aplicam ao Amazon Linux x86 de 64 bits e podem exigir alterações de acordo com aarquitetura do sistema.
1. Use o comando scp para copiar o certificado do servidor do HSM para a instância do cliente.
scp -i ~/.ssh/<private key file> manager@<HSM IP address>:server.pem .
O <private key file> é o nome da chave privada SSH usada para se conectar ao HSM. O pontofinal (.) no final do comando é necessário e faz com que o scp copie o arquivo resultante para odiretório atual.
2. Use o comando vtl para registrar o certificado do servidor do HSM com o cliente.
sudo vtl addServer -n <HSM IP address> -c server.pem
Quando esse comando é executado com sucesso, a saída é semelhante à mostrada a seguir.
New server <HSM IP address> successfully added to server list.
3. Use o comando vtl para criar um certificado de cliente para a instância do cliente.
sudo vtl createCert -n <client name>
O <client name> pode ser qualquer nome que seja único e não contenha espaços ou caracteresespeciais. Quando esse comando é executado com sucesso, a saída é semelhante à mostrada aseguir.
Private Key created and written to:<client cert directory>/<client name>Key.pem
30
AWS CloudHSM Classic Guia do usuárioConfiguração de um cliente HSM no Windows
Certificate created and written to:<client cert directory>/<client name>.pem
Note
Também é possível criar certificados para compartilhamento entre várias instâncias. Paraobter mais informações, consulte Criação de uma AMI com a configuração do clienteHSM (p. 113).
4. Use o comando scp para copiar o certificado de cliente para o HSM.
scp -i ~/.ssh/<private key file> <client cert directory>/<client name>.pem manager@<HSM IP address>:
Note
Os dois-pontos (:) depois do destino são necessários. Sem eles, o scp não reconhece odestino apontado como um servidor remoto.
5. Use o comando ssh para se conectar ao HSM.
ssh -i ~/.ssh/<private key file> manager@<HSM IP address>
6. No HSM, use o comando client register para registrar o cliente.
lunash:> client register -client <client ID> -hostname <client name>
Quando esse comando é executado com sucesso, a saída é semelhante à mostrada a seguir.
'client register' successful.
O <client name> deve ser o mesmo nome usado para o comando anterior createCert. O<client ID> pode ser qualquer nome que seja único e não contenha espaços ou caracteresespeciais. Para evitar confusão, sugerimos que mantenha esses dois nomes iguais.
Note
Crie certificados para compartilhamento entre várias instâncias. Para obter mais informações,consulte Criação de uma AMI com a configuração do cliente HSM (p. 113).
7. No HSM, use o comando client assignPartition para atribuir o cliente a uma partição.
lunash:> client assignPartition -client <client ID> -partition <partition name>
Para registrar o cliente em um grupo de partição de alta disponibilidade, consulte Registrar um cliente emum grupo de partição de alta disponibilidade (p. 42).
Configuração de um cliente HSM no WindowsPara configurar um cliente HSM no Windows, instale o software cliente HSM manualmente na instância decliente do Windows.
Para configurar um cliente HSM no Windows
1. Conecte-se à instância do Windows na qual deseja-se instalar o cliente HSM. A instância deve serexecutada na mesma VPC que o HSM.
31
AWS CloudHSM Classic Guia do usuárioConfiguração de um cliente HSM no Windows
2. Faça download do pacote do software cliente em https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz. Verifique a integridade do pacote baixado com o seguinte resumo SHA256:
4777ae559cfa9421735f73b4c1a2fe69b2f43d4d774f36e4050e773c23372f4c
O resumo também está disponível em https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz.sha256.
3. Extraia os arquivos do pacote e, em seguida, execute o arquivo 610-012382-008_revC\windows\64\LunaClient.msi e instale a opção Luna SA.
Criação de um Network Trust Link (NTL - Link confiável de rede)entre um cliente do Windows e o dispositivo HSMAs instruções a seguir utilizam o aplicativo vtl, que é parte das ferramentas de cliente do Luna SAinstalado anteriormente. O aplicativo vtl está instalado em %ProgramFiles%\SafeNet\LunaClient\. É necessário incluir esse caminho toda vez que usar o comando ou adicioná-lo à variável de ambientePATH.
Note
Para concluir estas etapas para mais de um dispositivo HSM, execute todas as etapas para oprimeiro HSM. Em seguida, recomece e conclua todas as etapas para o segundo HSM, e assimpor diante.
Para criar um link confiável de rede entre um cliente do Windows e o dispositivo HSM
1. Use o comando pscp para copiar o certificado do servidor do HSM para a instância do cliente.
pscp -i <private key file>.ppk manager@<hsm IP address>:server.pem .
O <private key file> é o caminho e o nome do arquivo de chave privada PuTTY usado para seconectar ao dispositivo HSM. O ponto final (.) no final do comando é necessário e faz com que o pscpcopie o arquivo resultante para o diretório atual.
2. Use o comando vtl para registrar o certificado do servidor do HSM com o cliente.
Important
É necessário executar esse comando como administrador. Para tanto, clique com o botãodireito do mouse no ícone cmd.exe e selecione Executar como administrador.
vtl addServer -n <hsm IP address> -c server.pem
Quando esse comando é executado com sucesso, a saída é semelhante à mostrada a seguir.
New server <HSM IP address> successfully added to server list.
3. Use o comando vtl para criar um certificado de cliente para a instância do cliente.
Important
É necessário executar esse comando como administrador. Para tanto, clique com o botãodireito do mouse no ícone cmd.exe e selecione Executar como administrador.
vtl createCert -n <client name>
32
AWS CloudHSM Classic Guia do usuárioConfiguração de um cliente HSM no Windows
O <client name> pode ser qualquer nome que seja único e não contenha espaços ou caracteresespeciais. Quando esse comando é executado com sucesso, a saída é semelhante à mostrada aseguir.
Private Key created and written to:<client cert directory>\<client name>Key.pemCertificate created and written to:<client cert directory>\<client name>.pem
Note
Também é possível criar certificados para compartilhamento entre várias instâncias. Paraobter mais informações, consulte Criação de uma AMI com a configuração do clienteHSM (p. 113).
4. Use o comando pscp para copiar o certificado de cliente para o HSM.
pscp -i <private key file> <client cert directory>\<client name>.pem manager@<HSM IP address>:
Note
Os dois-pontos (:) depois do destino são necessários. Sem eles, o pscp não reconhece odestino apontado como um servidor remoto.
5. Use o PuTTY para se conectar ao HSM.6. No HSM, use o comando client register para registrar o cliente.
lunash:> client register -client <client ID> -hostname <client name>
Quando esse comando é executado com sucesso, a saída é semelhante à mostrada a seguir.
'client register' successful.
O <client name> deve ser o mesmo nome usado para o comando anterior createCert. O<client ID> pode ser qualquer nome que seja único e não contenha espaços ou caracteresespeciais. Para evitar confusão, sugerimos que mantenha esses dois nomes iguais.
Note
Crie certificados para compartilhamento entre várias instâncias. Para obter mais informações,consulte Criação de uma AMI com a configuração do cliente HSM (p. 113).
7. No HSM, use o comando client assignPartition para atribuir o cliente a uma partição.
lunash:> client assignPartition -client <client ID> -partition <partition name>
Para registrar o cliente em um grupo de partição de alta disponibilidade, consulte Registrar um cliente emum grupo de partição de alta disponibilidade (p. 42).
33
AWS CloudHSM Classic Guia do usuárioMelhores práticas gerais
Melhores práticasTópicos
• Melhores práticas gerais (p. 34)• Melhores práticas para senhas (p. 34)• Planilha de senha (p. 35)
Melhores práticas gerais• Use uma configuração de alta disponibilidade (HA). A AWS recomenda o uso de dois ou mais
dispositivos HSM, em zonas de disponibilidade separadas, em uma configuração de HA, a fim deevitar a perda de dados no caso de uma zona de disponibilidade ficar indisponível. Para obter maisinformações sobre como definir uma configuração de HA, consulte Alta disponibilidade e balanceamentode carga (p. 37).
• Inicializar um HSM destrói, irrevogavelmente, o material de chaves dentro do HSM. Nunca inicialize oHSM, a menos que tenha certeza que o backup das chaves foi feito em outro lugar ou que as chavesnão serão mais necessárias.
• Para atualizar o dispositivo ou software cliente do Luna SA do AWS CloudHSM Classic, ou o firmwaredo HSM, utilize apenas as versões suportadas listadas no Guia de atualização do AWS CloudHSMClassic (p. 116). Não aplique atualizações ou patches de software não suportados para o dispositivo.Caso tenha dúvidas sobre o suporte do AWS CloudHSM Classic para determinada versão ou patch dosoftware, entre em contato com AWS Support.
• Não altere a configuração de rede do dispositivo.• Não remova ou altere a configuração de encaminhamento do syslog fornecida no dispositivo. Se desejar,
adicione destinos adicionais para mensagens do syslog, desde que não altere ou remova os existentes.• Não altere ou remova qualquer configuração SNMP fornecida no dispositivo. Se desejar, adicione
configurações SNMP adicionais, desde que a configuração existente não seja perturbada.• Não altere a configuração NTP fornecida no dispositivo.
Melhores práticas para senhas• Anote a senha do responsável pela segurança do HSM (também conhecido como administrador) na
Planilha de senha (p. 35) e não perca a planilha. Recomendamos imprimir uma cópia do Planilhade senha (p. 35), usá-lo para registrar as senhas do AWS CloudHSM Classic e armazená-lo em umlugar seguro. Também recomendamos armazenar pelo menos uma cópia dessa planilha em um localexterno seguro. A AWS não dispõe da capacidade de recuperar o material principal de um HSM para oqual você não tenha as credenciais apropriadas de oficial de segurança do HSM.
• Não altere a senha de administrador do dispositivo HSM. A AWS usa essa senha para a entrega deserviço.
• Use uma chave SSH para o login da conta de administrador. Para obter mais informações, consulteGerar uma chave SSH (p. 14). A AWS pode recriar a conta de administrador caso perca o acesso a essaconta. Opcionalmente, defina uma senha para a conta de administrador, caso prefira.
• As senhas de partição do HSM devem estar coordenadas com clientes e aplicativos que dependemdas senhas. Para obter informações sobre como usar funções do IAM para distribuir senhas, consultea publicação Usar funções do IAM para distribuir credenciais que não pertencem à AWS para asinstâncias do EC2 do blog.
34
AWS CloudHSM Classic Guia do usuárioPlanilha de senha
Planilha de senhaUse a seguinte planilha para compilar informações para os dispositivos do AWS CloudHSM. Imprima estapágina e use-a para registrar as senhas do AWS CloudHSM, e armazene-a em um lugar seguro. Tambémrecomendamos armazenar pelo menos uma cópia dessa planilha em um local externo seguro.
Senha do Oficial de segurança
Essa senha foi definida ao inicializar o dispositivo HSM.
_________________________________________________Senha do Administrador (Opcional)
Essa senha foi definida opcionalmente com o comando user password manager no dispositivo HSM.
_________________________________________________
Senhas de partição
Rótulo da partição Password Domínio de clonagem
35
AWS CloudHSM Classic Guia do usuário
Operações e manutençãoA AWS monitora os dispositivos HSM e pode corrigir problemas de configuração secundários relacionadosà disponibilidade do dispositivo. Tais operações não interferem no uso do dispositivo HSM.
Em caso de necessidade de execução de uma operação de gerenciamento que possa interromper oserviço, a AWS fornece aviso prévio 24 horas antes da execução da operação.
É possível que, em circunstâncias não previsíveis, a AWS precise executar manutenção de emergênciasem aviso prévio. Tentamos evitar essa situação. No entanto, se a disponibilidade é uma preocupação,a AWS recomenda fortemente o uso de dois ou mais dispositivos HSM em zonas de disponibilidadeseparadas, em uma configuração de alta disponibilidade. A falha de um dispositivo HSM em umaconfiguração sem alta disponibilidade pode resultar na perda permanente de chaves e dados.
A AWS não executa manutenção de rotina em dispositivos HSM em várias zonas de disponibilidade dentroda mesma região no mesmo período de 24 horas.
Para obter mais informações sobre como configurar uma configuração de alta disponibilidade, consulteAlta disponibilidade e balanceamento de carga (p. 37).
Para obter informações sobre a administração e a manutenção do seu dispositivo HSM, acesseAdministração do Luna SA na documentação do Luna SA da SafeNet.
36
AWS CloudHSM Classic Guia do usuário
Alta disponibilidade e balanceamentode carga
A configuração recomendada para usar o AWS CloudHSM Classic é usar dois HSMs em umaconfiguração de alta disponibilidade (HA). A falha de um dispositivo HSM em uma configuração sem– altadisponibilidade pode resultar na perda permanente de chaves e dados. Sugere-se no mínimo dois HSMspara fins de HA, com cada HSM em uma zona de disponibilidade diferente. Com essa configuração, seum dos HSMs está indisponível, as chaves ainda estão disponíveis. Este tópico contém informações sobrecomo preparar uma configuração de HA tradicional.
A HA permite que vários HSMs sejam agrupados em conjunto formando um dispositivo virtual, ouunidade lógica, conforme visto pelo cliente, semelhante ao clustering ou as tecnologias RAID. Em umaconfiguração de HA, o serviço é mantido, mesmo que um ou mais HSMs estejam indisponíveis. Porexemplo, se três HSMs são combinados em um grupo de HA, o serviço é mantido mesmo se dois HSMsestiverem offline.
Quando configurado para HA, cada HSM se une a um grupo de HA, gerenciado por meio do clienteHSM. Para clientes do HSM, o grupo de HA é exibido como um único HSM. No entanto, do ponto de vistaoperacional, os membros do grupo de HA compartilham a carga de transações, sincronizam dados entresi e redistribuem perfeitamente a capacidade de processamento em caso de falha em um HSM membro,mantendo o serviço sem interrupções para os clientes. A HA oferece balanceamento de carga entretodos os HSMs membros para melhorar o desempenho e o tempo de resposta, ao mesmo tempo em quegarante o serviço da HA. Todos os HSMs membros estão ativos (em vez de um ativo e o resto passivo). Aschamadas são enviadas de cada aplicativo do cliente por meio do software cliente HSM (biblioteca) paraum dos HSMs membro menos ocupado.
Para obter mais informações, consulte a nota técnica Visão geral da alta disponibilidade e balanceamentode carga do Luna no site da Gemalto SafeNet. Para obter mais informações sobre as melhores práticas deHA, consulte Melhores práticas para alta disponibilidade e balanceamento de carga (p. 38).
O serviço AWS CloudHSM Classic define um recurso conhecido como um grupo de partições de altadisponibilidade (HA). Um grupo de partição de alta disponibilidade é uma partição virtual que representaum grupo de partições, distribuído normalmente entre vários HSMs físicos para fins de alta disponibilidade.Você usa as ferramentas de interface de linha de comando do AWS CloudHSM Classic para criar egerenciar os grupos de partições de alta disponibilidade.
37
AWS CloudHSM Classic Guia do usuárioMelhores práticas para alta
disponibilidade e balanceamento de carga
Tópicos• Melhores práticas para alta disponibilidade e balanceamento de carga (p. 38)• Criação de um grupo de partição HA (p. 40)
Melhores práticas para alta disponibilidade ebalanceamento de carga
A AWS recomenda as seguintes práticas para alta disponibilidade (HA) e balanceamento de carga dosdispositivos HSM.
Tópicos• Melhores práticas gerais (p. 38)• Melhores práticas para perda e recuperação (p. 38)
Melhores práticas gerais• Quando um grupo de HA é compartilhado por vários clientes do AWS CloudHSM Classic, a melhor
prática é que esses clientes selecionem membros primários de HA diferentes, para obter melhortolerância a falhas e maior distribuição igual da carga de trabalho das operações de criptografia.
Para obter mais informações, consulte os seguintes tópicos na documentação do Luna SA da SafeNet:
• Visão geral da alta disponibilidade e balanceamento de carga do Luna• HA com o Luna SA
Melhores práticas para perda e recuperaçãoTópicos
• Recuperação de alta disponibilidade (p. 39)• Recuperação da perda de um subconjunto de membros da alta disponibilidade (p. 39)• Recuperação da perda de todos os membros da alta disponibilidade (p. 40)
38
AWS CloudHSM Classic Guia do usuárioMelhores práticas para perda e recuperação
Recuperação de alta disponibilidadeA recuperação de alta disponibilidade (HA) é a retomada à distância por membros do grupo de HA comfalha. Antes da introdução desta função, o recurso HA fornecia redundância e desempenho, mas exigiaque um membro com falha/perdido do grupo fosse reinstalado manualmente. Se o recurso de recuperaçãoHA não estiver ativado, a HA ainda exige a intervenção manual para restabelecer membros. Um membrodo grupo de HA pode falhar pelos seguintes motivos:
• O dispositivo HSM perde energia, mas a retoma em menos de duas horas após o dispositivo HSMpreservar seu estado de ativação.
• A conexão de rede foi perdida.
A recuperação HA funciona se os itens a seguir forem verdadeiros:
• A autoRecovery HA está habilitada.• O grupo de HA tem pelo menos dois nós.• O nó HA está acessível (conectado) na inicialização.• O limite de novas tentativas de recuperação do nó HA não foi atingido. Caso seja atingido ou excedido, a
única opção para restaurar as conexões é uma recuperação manual.
Se todos os nós HA falharem (não existem links do cliente HSM), a recuperação não será possível.
A lógica de recuperação HA na biblioteca faz a primeira tentativa de recuperar um membro com falhaquando o aplicativo faz uma chamada para o dispositivo HSM (o grupo de HA). Em outras palavras, umcliente ocioso do HSM não tenta a recuperação.
No entanto, um cliente ocupado do HSM percebe uma pequena pausa a cada minuto, conforme abiblioteca tenta recuperar um membro do grupo de HA até que os membros sejam restabelecidos, ouaté que o período de tentativas seja atingido/excedido e ela para de tentar. Portanto, defina o períodode tentativas de acordo com a situação de operação normal; por exemplo, os tipos e durações dasinterrupções de rede que você vivencia.
A autoRecovery HA não está habilitada por padrão. Ela deve ser habilitada explicitamente, seguindo asinstruções em Habilitar a recuperação automática (p. 112). Para obter mais informações sobre HA eautoRecovery, consulte os seguintes tópicos na documentação do Luna SA da SafeNet:
• Configuração da HA• Cliente - Criar grupo de HA
Recuperação da perda de um subconjunto de membros da altadisponibilidadeSe houver uma perda de um subconjunto de membros da HA, a AWS recomenda o seguinte procedimentopara recuperar os membros do grupo.
Ao ser notificado pela AWS que a conexão foi recuperada, execute o seguinte comando para reintroduzirmembros desconectados para o grupo de HA:
vtl haAdmin recover -group <ha_group_label>
A AWS também recomenda reiniciar a conexão por um curto período, de modo que qualquer desconexãocausada por interrupções da rede transientes possam ser recuperadas automaticamente. Por exemplo,reinicie a conexão 5 vezes, uma vez por minuto, conforme mostrado abaixo.
39
AWS CloudHSM Classic Guia do usuárioCriação de um grupo de partição HA
vtl haAdmin autoRecovery -interval 60vtl haAdmin autoRecovery -retry 5
Caso não queira recuperar os membros do grupo manualmente, mas queira ainda minimizar a sobrecargacausada pela recuperação automática, siga as seguintes etapas:
Para recuperar os membros do grupo e minimizar a sobrecarga da recuperação
• Reinicie a conexão a cada 3 minutos, até que a conexão seja realizada com sucesso.
vtl haAdmin autoRecovery -interval 180vtl haAdmin autoRecovery -retry -1
Para recuperar os membros do grupo com um aplicativo de criptografia especial
• Para aplicativos de criptografia especiais, discuta caso a caso com a SafeNet ou a AWS.
Recuperação da perda de todos os membros da altadisponibilidadeSe houver uma perda de todos os membros da HA (há uma perda total da comunicação comtodos os membros do seu grupo de HA), use o LunaSlotManager.reinitialize(). Ao usar oLunaSlotManager.reinitialize(), não é necessário reiniciar os aplicativos. Como alternativa,reinicie os aplicativos e use a recuperação manual.
Para obter mais informações sobre o LunaSlotManager.reinitialize(), consulte LunaProvider:recuperação da perda de todos os membros da HA usando o LunaSlotManager.reinitialize() nas notastécnicas do Luna SA da SafeNet.
Importante
• O LunaHAStatus.isOK() retorna true apenas quando todos os membros da HA estiverempresentes. Este método retorna false quando pelo menos um membro da HA está ausente, lançandouma exceção quando todos os membros estão ausentes.
• A opção HA-only deve estar habilitada para manter o número do slot HA inalterado.
Criação de um grupo de partição HAA criação de um grupo de partição HA é um processo de duas etapas. Crie o grupo de partição HA e, emseguida, registre os clientes para uso no grupo de partição HA.
Tarefas• Criar o grupo de partição HA (p. 40)• Registrar um cliente em um grupo de partição de alta disponibilidade (p. 42)
Criar o grupo de partição HAPara criar um grupo de partição HA, conclua o procedimento a seguir.
40
AWS CloudHSM Classic Guia do usuárioCriar o grupo de partição HA
Note
Todos os comandos de exemplo pressupõem que você tenha definido aws_access_key_id,aws_secret_access_key e aws_region em um arquivo de configuração em ~/cloudhsm.conf.Para obter mais informações, consulte Arquivos de configuração (p. 21).
Para criar e inicializar um grupo de partição HA
1. Crie um grupo de partição HA usando o seguinte comando create-hapg (p. 68).
$ cloudhsm create-hapg --conf_file ~/cloudhsm.conf --group-label <label>
<label> é um nome exclusivo para o grupo de partição HA.2. Adicione os HSMs inicializados para o grupo de partição HA usando o seguinte comando add-hsm-to-
hapg (p. 58).
$ cloudhsm add-hsm-to-hapg --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \--hapg-arn <hapg_arn> \--cloning-domain <cloning_domain> \--partition-password <partition_password> \--so-password <so_password>
Os parâmetros são os seguintes:
<hsm_arn>
O identificador do HSM a ser adicionado ao grupo de partição HA.<hapg_arn>
O identificador do grupo de partição HA.<cloning_domain>
O domínio de clonagem para o grupo de partição HA.<partition_password>
A senha das partições do membro. Anote essa senha na Planilha de senha (p. 35). Ela deve ser amesma para todos os HSMs no mesmo grupo de partição HA.
<so_password>
A senha do responsável pela segurança para <hsm_arn>.
Se o comando for realizado com sucesso, a saída será similar à seguinte:
{ "Status": "Addition of HSM <hsm_arn> to HAPG <hapg_arn> successful"}
Salve a senha da partição na Planilha de senha (p. 35).
Salve o ARN do grupo de partição HA retornado pelo comando create-hapg (p. 68) para usoposterior.
3. Repita a etapa anterior para cada HSM que deseja incluir no grupo de partição HA.
41
AWS CloudHSM Classic Guia do usuárioRegistrar cliente
Registrar um cliente em um grupo de partição de altadisponibilidadePara permitir que um cliente use um grupo de partição HA, conclua as seguintes tarefas.
Note
Todos os comandos de exemplo pressupõem que você tenha definido aws_access_key_id,aws_secret_access_key e aws_region em um arquivo de configuração em ~/cloudhsm.conf.Para obter mais informações, consulte Arquivos de configuração (p. 21).
Tarefas• Criar o cliente (p. 42)• Registrar o cliente (p. 42)• Gerar a configuração do cliente (p. 43)• Verificar a configuração do cliente (p. 43)
Criar o clienteAntes de criar um cliente, crie um certificado para o cliente, conforme explicado em Certificados docliente (p. 21).
Após criar o certificado, crie o cliente usando o comando create-client (p. 66) a seguir.
$ cloudhsm create-client --conf_file ~/cloudhsm.conf --certificate-file <client_cert_file>
Se o comando for realizado com sucesso, a saída será similar à seguinte:
{ "ClientArn": "<client_arn>", "RequestId": "<request_id>"}
Anote o valor <client_arn> uma vez que ele será necessário para registrar o cliente.
Registrar o clienteDepois que o cliente for criado, registre o cliente no grupo de partição HA usando o comando register-client-to-hapg (p. 98) a seguir.
$ cloudhsm register-client-to-hapg --conf_file ~/cloudhsm.conf \--client-arn <client_arn> \--hapg-arn <hapg_arn>
Se o comando for realizado com sucesso, a saída será similar à seguinte:
{ "Status": "Registration of the client <client_arn> to the HA partition group <hapg_arn> successful"}
42
AWS CloudHSM Classic Guia do usuárioRegistrar cliente
Gerar a configuração do clienteDepois que o cliente for registrado, você obterá o arquivo de configuração do cliente e os certificados doservidor.
Para atribuir o cliente ao grupo de partição HA, use o comando get-client-configuration (p. 85) a seguir,no cliente:
$ cloudhsm get-client-configuration --conf_file ~/cloudhsm.conf \--client-arn <client_arn> \--hapg-arns <hapg_arn> \--cert-directory <server_cert_location> \--config-directory /etc/
Se o comando for realizado com sucesso, a saída será similar à seguinte:
The configuration file has been copied to /etc/The server certificate has been copied to /usr/safenet/lunaclient/cert/server
Verificar a configuração do clienteVerifique a configuração usando o comando a seguir e, em seguida, aponte o aplicativo do cliente para oHSM, se referindo a esse HSM por meio do rótulo do grupo de HA especificado.
>vtl haAdmin show
Na saída, sob o título "Grupo de HA e informação do membro", confirme se o número de membros dogrupo é igual ao número de HSMs no grupo de partição HA.
43
AWS CloudHSM Classic Guia do usuário
Replicação de chaves entre os HSMsNote
Todos os comandos de exemplo pressupõem que você tenha definido aws_access_key_id,aws_secret_access_key e aws_region em um arquivo de configuração em ~/cloudhsm.conf.Para obter mais informações, consulte Arquivos de configuração (p. 21).
Se necessário, clone o conteúdo de um grupo de partição HA existente para um novo grupo, usando ocomando clone-hapg (p. 61) a seguir. Ao criar o novo grupo de partição HA, é necessário especificar omesmo domínio de clonagem e a mesma senha de partição do grupo de partição HA original.
$ cloudhsm clone-hapg --conf_file ~/cloudhsm.conf \--src-hapg-arn <src_arn> \--dest-hapg-arn <dest_arn> \--hapg-password <hapg_password>
Os parâmetros são os seguintes:
<src_arn>
O identificador do grupo de partição HA a partir do qual ocorrerá a clonagem. Ambos os grupos departição HA devem ter os mesmos domínios de clonagem e senhas de partição.
<dest_arn>
O identificador do grupo de partição HA para o qual ocorrerá a clonagem. Ambos os grupos departição HA devem ter os mesmos domínios de clonagem e senhas de partição.
<hapg_password>
A senha do grupo de partição. Ambos os grupos de partição HA devem ter a mesma senha.
Se o comando for realizado com sucesso, a saída será similar à seguinte:
cloudhsmcli.hapg_cloner: Backing up existing config filescloudhsmcli.hapg_cloner: Collecting information about the HA Partition groupscloudhsmcli.hapg_cloner: Setting up a cloning environmentcloudhsmcli.hapg_cloner: Cloning the HA partition groupscloudhsmcli.hapg_cloner: Cleaning up the cloning environmentcloudhsmcli.hapg_cloner: Restoring existing config files{ "Status": "Completed cloning the HA partition group <src_arn> to the HA partition group <dest_arn>"}
Salve o ARN do grupo de partição HA retornado pelo comando clone-hapg (p. 61) para uso posterior.
44
AWS CloudHSM Classic Guia do usuárioFazer o backup de dados do HSM no Windows
Backup e restauração de dados paraum HSM Luna Backup HSM SA
Além da recomendação da AWS sobre usar dois ou mais dispositivos HSM em uma configuração dealta disponibilidade para prevenir a perda de chaves e dados, execute também uma restauração/backupremoto de uma partição do Luna SA caso tenha comprado um HSM de backup do Luna. Para obter maisinformações sobre o HSM de backup do Luna, faça o download do Resumo do produto HSM de backup doLuna no site da Gemalto SafeNet.
O HSM de backup do Luna garante que o material de criptografia confidencial permaneça fortementeprotegido em hardware mesmo quando não está sendo usado. Faça o backup e duplique as chavescom facilidade, de forma segura, no HSM de backup do Luna para armazenamento seguro em caso deemergência, falha ou desastre.
Os recursos de backup remoto permitem que os administradores movam cópias do seu material decriptografia confidencial de forma segura para outros HSMs da SafeNet. Com um único HSM de backupdo Luna, um administrador pode fazer o backup e restaurar chaves de e para até 20 dispositivos HSM doLuna.
O HSM de backup do Luna é anexado à máquina do cliente diretamente via USB. A máquina do cliente éuma máquina Windows ou Linux que está fora da AWS, com o software cliente SafeNet Luna instalado. Amáquina do cliente também deve ter conectividade IP com o HSM na nuvem da AWS.
Tópicos• Fazer o backup de dados do HSM no Windows (p. 45)• Restaurar dados do HSM a partir de um HSM de backup do Luna (p. 46)
Fazer o backup de dados do HSM no WindowsPara fazer o backup de dados do HSM no Windows
1. Conecte o HSM de backup do Luna no computador com Windows por meio do USB. Para obter maisinformações sobre o HSM de backup do Luna, consulte o Resumo do produto HSM de backup doLuna no site da Gemalto SafeNet.
2. Instale o driver do backup remoto do Luna (610-011646-001) a partir do seguinte local:
https://s3.amazonaws.com/cloudhsm-software/610-011646-001.tar3. No Painel de controle, abra o Gerenciador de dispositivos, selecione Dispositivo Luna G5 e, em
seguida, clique com o botão direito e selecione Atualizar software do driver.4. Siga as etapas em Configurar o HSM (p. 26) e Configuração do cliente AWS CloudHSM
Classic (p. 29).5. Usando o PuTTY, conecte-se ao HSM via SSH.6. Execute o seguinte comando no HSM para exibir os detalhes do dispositivo HSM:
lunash:> hsm show
7. Execute o seguinte comando no HSM para exibir o conteúdo da partição:
lunash:> par showc -par pm
45
AWS CloudHSM Classic Guia do usuárioRestaurar dados do HSM a partirde um HSM de backup do Luna
8. Execute o seguinte comando no prompt de comando do Windows para estabelecer uma conexãoNTLS:
C:\> vtl verify
9. Execute o seguinte comando para listar os slots disponíveis:
C:\> vtl listslots
10. Execute o seguinte comando para restaurar o dispositivo HSM de backup do Luna às suasconfigurações de fábrica. Quando for solicitado, digite yes para confirmar.
C:\> vtl backup token factoryreset -target 2
11. Execute o seguinte comando para inicializar o dispositivo HSM de backup do Luna. Digite yes quandosolicitado para inicializar o HSM, e no para usar autenticação PED.
C:\> vtl backup token init -target 2 -label BackupHSM
Important
É importante que o HSM use autenticação de senha.12. Execute o comando de backup remoto:
C:\> vtl backup -source 1 -target 2 -partition pm_backup
13. Digite yes quando solicitado para criar o novo backup.14. Caso queira verificar os detalhes do backup, execute o seguinte comando:
C:\> vtl backup token show -target 2
Restaurar dados do HSM a partir de um HSM debackup do Luna
Para restaurar dados do HSM
1. Usando o PuTTY, conecte-se ao HSM via SSH.2. Faça login no HSM como administrador (Responsável pela segurança).
lunash:> hsm login
3. Limpe o conteúdo da partição realizando a ação seguinte no seu HSM. Quando solicitado, insira asenha para esse tipo de partição e digite proceed.
lunash:> partition clear -partition pm
4. Execute o seguinte comando para verificar se a partição está limpa:
lunash:> partition showcontents -partition pm
5. Execute o seguinte comando no prompt de comando do Windows para confirmar que não existemobjetos na partição do HSM:
46
AWS CloudHSM Classic Guia do usuárioRestaurar dados do HSM a partirde um HSM de backup do Luna
C:\> cmu li
6. Execute o seguinte comando para iniciar a restauração. Insira as senhas quando for solicitado.
C:\> vtl backup restore -source 2 -partition pm_backup -target 1
7. Confirme se a restauração foi realizada com sucesso por meio da seguinte ação no HSM. Insira suasenha quando for solicitado.
lunash:> partition showcontents -partition pm
8. Execute o seguinte comando para verificar se o cliente pode acessar os objetos do HSM que foramrestaurados:
C:\> cmu li
47
AWS CloudHSM Classic Guia do usuárioTransparent Data Encryption com AWS CloudHSM Classic
Integrar aplicativos de terceiros noAWS CloudHSM Classic
Este capítulo descreve como usar aplicativos de terceiros com o AWS CloudHSM Classic.
Tópicos• Transparent Data Encryption com AWS CloudHSM Classic (p. 48)• Criptografia do volume de Amazon Elastic Block Store (p. 49)• Criptografia com o Amazon Simple Storage Service (S3) e o SafeNet KeySecure (p. 49)• Configurar terminação SSL em um servidor web Apache com chaves privadas armazenadas no AWS
CloudHSM Classic (p. 49)• Criar seus próprios aplicativos (p. 50)
Se o aplicativo procurado não está listado, entre em contato com o AWS Support ou consulteInteroperabilidade do HSM no site da Gemalto SafeNet.
Transparent Data Encryption com AWS CloudHSMClassic
A Transparent Data Encryption (TDE - Criptografia de dados transparente) reduz o risco de roubo de dadosconfidenciais ao criptografar dados sensíveis, como números de cartões de crédito, armazenados emtablespaces ou colunas da tabela de aplicativos (os contêineres para todos os objetos armazenados emum banco de dados).
O tópico a seguir descreve como configurar um banco de dados Oracle ou Microsoft SQL Server usandoTDE e, ao mesmo tempo, armazenar a chave mestre de criptografia no AWS CloudHSM Classic.
TDE do banco de dados Oracle com o AWSCloudHSM ClassicEssas instruções explicam como integrar um banco de dados Oracle e o HSM, além de incluir asinformações necessárias para instalar, configurar e integrar um banco de dados Oracle ao AWSCloudHSM Classic.
Para configurar a TDE para o Oracle Database 11g
As instruções a seguir estão explicadas em detalhes no Guia de integração da banco de dados Oracle nosite da Gemalto SafeNet.
1. Configure os dispositivos HSM/PCI/Luna SA. Para obter mais informações, consulte as instruções emConfiguração do AWS CloudHSM Classic (p. 3).
2. Instale o Oracle Database 11g na máquina de destino.3. Integre o Oracle Database 11g R1 (11.1.0.6 ou 11.1.0.7) ou 11g R2 (11.2.0.1, 11.2.0.2, ou 11.2.0.3)
aos HSMs.
48
AWS CloudHSM Classic Guia do usuárioMicrosoft SQL Server com o AWS CloudHSM Classic
Microsoft SQL Server com o AWS CloudHSM ClassicO tópico a seguir descreve como usar a TDE do Microsoft SQL Server e a biblioteca Extensible KeyManagement (EKM) com o AWS CloudHSM Classic.
Para obter mais informações sobre a biblioteca EKM, acesse http://technet.microsoft.com/en-us/library/bb895340.aspx
Para configurar a TDE para Microsoft SQL Server e a biblioteca EKM
As instruções a seguir estão explicadas em detalhes no Guia de integração do Microsoft SQL Server nosite da Gemalto SafeNet.
1. Configure os dispositivos HSM. Consulte as instruções em Configuração do AWS CloudHSMClassic (p. 3).
2. Integre os dispositivos HSM/PCI/Luna SA ao Microsoft SQL Server.3. Faça o download e instale as bibliotecas EKM da SafeNet.
Criptografia do volume de Amazon Elastic BlockStore
Para usar a criptografia de volumes para o Amazon Elastic Block Store (Amazon EBS) com SafeNetKeySecure, SafeNet ProtectV e AWS CloudHSM Classic, consulte os Produtos da Gemalto SafeNet noAWS Marketplace.
Criptografia com o Amazon Simple Storage Service(S3) e o SafeNet KeySecure
Para obter informações sobre como usar a criptografia do Amazon Simple Storage Service (Amazon S3)com o SafeNet ProtectApp e o SafeNet KeySecure, consulte o Guia de integração do SafeNet KMIP e doAmazon S3 no site da SafeNet.
Configurar terminação SSL em um servidor webApache com chaves privadas armazenadas noAWS CloudHSM Classic
Os dispositivos HSM do Luna da SafeNet se integram ao servidor HTTP Apache para oferecer melhoriassignificativas de desempenho, transferindo operações de criptografia do servidor HTTP Apache para osdispositivos HSM do Luna da SafeNet. Além disso, os dispositivos HSM do Luna oferecem segurança extraao proteger e gerenciar a chave privada SSL de alto valor do servidor dentro de um módulo de segurançade hardware certificado pelo FIPS 140-2. Para obter mais informações sobre as bibliotecas necessáriaspara a integração do Apache, consulte o Guia de integração do servidor HTTP Apache no site da GemaltoSafeNet. Você também pode precisar do OpenSSL Apache Toolkit para o HSM Luna para integrar o HSMao servidor web Apache.
49
AWS CloudHSM Classic Guia do usuárioCriar seus próprios aplicativos
Criar seus próprios aplicativosPara obter mais informações sobre como configurar os aplicativos para usar uma ou mais operações daAPI oferecidas pelo cliente SafeNet, acesse Cliente configurado e registrado usando uma partição do HSMe Integrar o Luna SA aos aplicativos na documentação do Luna SA da SafeNet.
50
AWS CloudHSM Classic Guia do usuário
Como parar de usar um HSMAAWS normalmente não remove o acesso a um dispositivo HSM que contém material de chaves. Issoprotege tanto você quanto a AWS contra riscos associados à destruição acidental de material de chavesque possa estar em uso.
Important
Caso precise parar de usar um dispositivo HSM (por exemplo, quando sua assinatura termina),faça o backup do conteúdo do HSM em outro HSM sob o seu controle, ou confirme que as chavesarmazenadas nesse HSM não são mais necessárias.
Conclua as etapas a seguir para parar de usar um dispositivo HSM.
Para parar de usar um dispositivo HSM
1. Na instância de controle, conecte-se ao HSM via SSH. <private_key_file> é a parte privada dachave SSH fornecida no momento em que o HSM foi provisionado.
$ ssh -i <private_key_file> manager@<hsm_ip_address>
2. Zere o HSM tentando fazer login como administrador do HSM, usando uma senha inválida três vezes.Para obter mais informações, consulte Como faço para zerar meu HSM (p. 55).
3. Desclassifique o dispositivo HSM, executando primeiro o seguinte comando para rotacionar todos osregistros.
lunash:> syslog rotate
4. Exclua todos os registros.
lunash:> syslog cleanup
5. Use um dos métodos a seguir para remover o acesso ao HSM:
• Use as ferramentas da interface da linha de comando do AWS CloudHSM Classic para remover oacesso ao HSM com o comando delete-hsm (p. 76).
• Use a API do AWS CloudHSM Classic para remover o acesso ao HSM com a operação DeleteHsm.Para mais informações, consulte o AWS CloudHSM Developer Guide.
Se encontrar dificuldades para remover o acesso ao HSM, entre em contato com o AWS Support Center.
A AWS reserva o direito de encerrar serviço e reinicializar um HSM em caso de não pagamento.
51
AWS CloudHSM Classic Guia do usuário
Documentação do Luna SA daSafeNet
Para obter mais informações sobre a configuração, operação e manutenção do dispositivo Luna SA daSafeNet, acesse a seguinte documentação:
Luna SA 5.3
Documentação de produto do Luna SA 5.3Luna SA 5.1
Documentação de produto do Luna SA 5.1
52
AWS CloudHSM Classic Guia do usuárioInformações do AWS CloudHSM Classic em CloudTrail
Registro em log de chamadas de APIdo AWS CloudHSM Classic usando oCloudTrail
O AWS CloudHSM Classic está integrado ao AWS CloudTrail, um serviço que captura as chamadas APIfeitas pelo, ou em nome do AWS CloudHSM Classic na conta da AWS e distribui os arquivos de registropara um bucket do Amazon S3 especificado por você. CloudTrail captura chamadas da API da AWSCloudHSM Classic e ILC. Com as informações coletadas pelo CloudTrail, você pode determinar qualsolicitação foi feita para AWS CloudHSM Classic, o endereço IP de origem do qual a solicitação foi feita,quem fez a solicitação, quando ela foi feita etc. Para obter mais informações sobre o CloudTrail, incluindocomo configurá-lo e habilitá-lo, consulte o AWS CloudTrail User Guide.
Informações do AWS CloudHSM Classic emCloudTrail
Quando o registro em log do CloudTrail está habilitado na conta da AWS, as chamadas de API feitaspara ações do AWS CloudHSM Classic são acompanhadas em arquivos de log. Os registros do AWSCloudHSM Classic são gravados juntamente com outros registros de serviços da AWS em um arquivode log. O CloudTrail determina quando criar e gravar em um novo arquivo de acordo com o período e otamanho do arquivo.
Cada entrada de log contém informações sobre quem gerou a solicitação. As informações sobre aidentidade do usuário no log ajudam a determinar se a solicitação foi feita com credenciais de usuárioraiz ou do IAM, com credenciais de segurança temporárias para uma função ou um usuário federado oupor outro serviço da AWS. Para obter mais informações, consulte o campo userIdentity na Referência deevento do CloudTrail.
É possível armazenar os arquivos de log em seu bucket pelo tempo que você desejar, mas tambémé possível definir regras de ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de logautomaticamente. Por padrão, os arquivos de log são criptografados usando server-side encryption (SSE –criptografia server-side) do Amazon S3.
É possível optar por ter as notificações do CloudTrail publicadas pelo Amazon SNS quando os arquivos delog novos forem entregues caso você queira agir rapidamente após a entrega do arquivo de log. Para obtermais informações, consulte Configuring Amazon SNS Notifications.
Você também pode agregar arquivos de log do AWS CloudHSM Classic de várias regiões e contas daAWS em um único bucket do Amazon S3. Para obter mais informações, consulte Agregando arquivos delog do CloudTrail em um único bucket do Amazon S3.
Noções básicas das entradas dos arquivos de logdo AWS CloudHSM Classic
Os arquivos de log do CloudTrail podem conter uma ou mais entradas de log, e cada entrada é compostade vários eventos em formato JSON. Uma entrada de log representa uma única solicitação de qualquer
53
AWS CloudHSM Classic Guia do usuárioNoções básicas das entradas dos arquivos
de log do AWS CloudHSM Classic
origem e inclui informações sobre a ação solicitada, quaisquer parâmetros, a data e hora da ação e assimpor diante. Não é garantido que as entradas de log estejam em uma ordem específica. Ou seja, elas nãosão um rastreamento ordenado das chamadas de API públicas.
As informações confidenciais, como senhas, tokens de autenticação, comentários de arquivos e oconteúdo do arquivo são redigidas nas entradas do registro.
O exemplo a seguir mostra uma entrada de registro do CloudTrail para o AWS CloudHSM Classic.
{ "Records" : [ { "userIdentity" : { "type" : "IAMUser", "principalId" : "<user_id>", "arn" : "<user_arn>", "accountId" : "<account_id>", "accessKeyId" : "<access_key_id>", "userName" : "<username>" }, "eventTime" : "<event_time>", "eventSource" : "cloudhsm.amazonaws.com", "eventName" : "CreateHsm", "awsRegion" : "<region>", "sourceIPAddress" : "<IP_address>", "userAgent" : "<user_agent>", "requestParameters" : { "iamRoleArn" : "<IAM_role_arn>", "sshKey" : "<SSH_public_key>", "syslogIp" : "<syslog_ip>", "subscriptionType" : "<subscription_type>", "subnetId" : "<subnet_id>" }, "responseElements" : { "hsmArn" : "<hsm_arn>" }, "requestID" : "<request_id>", "eventID" : "<event_id>" } ]}
54
AWS CloudHSM Classic Guia do usuárioMeu HSM não está funcionando. O que devo fazer?
Solucionar problemas do AWSCloudHSM Classic
Para ver as perguntas frequentes sobre o AWS CloudHSM Classic, consulte Perguntas frequentes doAWS CloudHSM Classic.
Tópicos• Meu HSM não está funcionando. O que devo fazer? (p. 55)• Como faço para zerar meu HSM (p. 55)• Substituir um HSM com falha (p. 55)
Meu HSM não está funcionando. O que devo fazer?Entrar em contato com o AWS Support. Seu incidente será direcionado para a equipe que oferece suporteao AWS CloudHSM Classic.
Como faço para zerar meu HSMUm HSM pode estar em um desses dois estados: zerado ou não zerado. Zerado significar que o HSMestá em branco e pronto para uso do cliente. Não zerado significa que ele tem material de chaves ouconfigurações ainda nele. Caso precise manter qualquer uma dessas chaves no HSM, faça o backup doHSM antes de zerá-lo. Para obter informações sobre o backup das informações de chave, consulte Backupe restauração de dados para um HSM Luna Backup HSM SA (p. 45).
Para zerar o HSM, use o SSH para se conectar ao HSM e, em seguida, tente fazer login comoadministrador três vezes usando uma senha inválida. Isso zera o HSM.
lunash:> hsm login
Substituir um HSM com falhaCaso um dos HSMs falhe, substitua-o usando o procedimento a seguir.
Note
Todos os comandos de exemplo pressupõem que você tenha definido aws_access_key_id,aws_secret_access_key e aws_region em um arquivo de configuração em ~/cloudhsm.conf.Para obter mais informações, consulte Arquivos de configuração (p. 21).
1. Remova o HSM com falha do grupo de partição HA usando o comando remove-hsm-from-hapg (p. 100) a seguir.
Este comando requer conectividade de SSH com o HSM. Para obter mais informações, consulteConexões SSH (p. 20).
55
AWS CloudHSM Classic Guia do usuárioSubstituir HSM
$ cloudhsm remove-hsm-from-hapg --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \--so-password <so_password>
Os parâmetros são os seguintes:
<hsm_arn>
O identificador do HSM com falha.<so_password>
A senha do responsável pela segurança para <hsm_dest_arn>.2. Copie a associação e o material de chaves do grupo de partição HA para o novo HSM usando o
comando clone-hsm (p. 63) a seguir.
Este comando requer conectividade SSH com ambos os HSMs de origem e destino. Para obter maisinformações, consulte Conexões SSH (p. 20).
Warning
Não use o comando clone-hsm (p. 63) de uma instância que também é um cliente do HSMa ser clonado.
$ cloudhsm clone-hsm --conf_file ~/cloudhsm.conf \--source-hsm-arn <hsm_source_arn> \--dest-hsm-arn <hsm_dest_arn> \--so-password <so_password>
Os parâmetros são os seguintes:
<hsm_source_arn>
O identificador de um HSM operacional no mesmo grupo de partição HA do HSM com falha. Elenão pode ser o HSM com falha.
<hsm_dest_arn>
O identificador do novo HSM para o qual deseja clonar.<so_password>
A senha do responsável pela segurança para <hsm_dest_arn>.
Este comando solicita ao usuário a senha e o domínio de clonagem de cada partição do HSM deorigem.
Este comando copia todas as partições e material de chaves do grupo de partição HA membro doHSM, para o HSM de destino, e une o HSM de destino ao grupo de partição HA.
56
AWS CloudHSM Classic Guia do usuárioAtualização das ferramentas
AWS CloudHSM Command LineInterface Tools Reference
Esse é o AWS CloudHSM Command Line Interface Tools Reference. Ele fornece descrições, sintaxe eexemplos de uso para cada um dos comandos do serviço AWS CloudHSM Classic.
Tópicos• Atualização das ferramentas da ILC do AWS CloudHSM Classic (p. 57)• AWS CloudHSM ClassicReferência de comandos da CLI (p. 57)• Solução de problemas (p. 102)
Atualização das ferramentas da ILC do AWSCloudHSM Classic
Para atualizar as ferramentas da ILC do AWS CloudHSM Classic, faça download do arquivo egg estávelmais recente executando o seguinte comando na instância:
$ wget https://s3.amazonaws.com/cloudhsm-software/CloudHsmCLI.egg
Atualize as ferramentas da CLI na instância executando o seguinte comando, que substitui a versãoexistente:
$ sudo easy_install-2.7 -s /usr/local/bin CloudHsmCLI.egg
Para verificar se as ferramentas da ILC do AWS CloudHSM Classic estão instaladas corretamente,execute o comando versão (p. 102):
$ cloudhsm version{ "Version": "<version>"}
AWS CloudHSM ClassicReferência de comandosda CLI
Todo comando da ILC do AWS CloudHSM Classic começa com cloudhsm, seguido pelo identificador decomando e, em seguida, as opções do comando. Por exemplo:
$ cloudhsm [command] [option] ...
Para exibir a lista de comandos suportados pelas ferramentas da ILC do AWS CloudHSM Classic, envie aopção --help para o comando cloudhsm.
57
AWS CloudHSM Classic Guia do usuárioadd-hsm-to-hapg
$ cloudhsm --help
As ferramentas da ILC do AWS CloudHSM Classic contêm os seguintes comandos:
Tópicos• add-hsm-to-hapg (p. 58)• clone-hapg (p. 61)• clone-hsm (p. 63)• create-client (p. 66)• create-hapg (p. 68)• create-hsm (p. 70)• delete-client (p. 73)• delete-hapg (p. 74)• delete-hsm (p. 76)• deregister-client-from-hapg (p. 78)• describe-client (p. 80)• describe-hapg (p. 81)• describe-hsm (p. 83)• get-client-configuration (p. 85)• initialize-hsm (p. 88)• list-clients (p. 90)• list-hapgs (p. 92)• list-hsms (p. 93)• modify-hsm (p. 95)• register-client-to-hapg (p. 98)• remove-hsm-from-hapg (p. 100)• versão (p. 102)
add-hsm-to-hapgDescriçãoAdiciona um HSM em um grupo de partição de alta disponibilidade (HA). Uma partição correspondente aogrupo de partição HA é criado no HSM.
Este comando requer conectividade de SSH com o HSM. Para obter mais informações, consulte ConexõesSSH (p. 20).
Uso
cloudhsm add-hsm-to-hapg --hsm-arn <value> --hapg-arn <value> --so-password <value> --partition-password <value> --cloning-domain <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value>
58
AWS CloudHSM Classic Guia do usuárioadd-hsm-to-hapg
[--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Opções--hsm-arn
O ARN que identifica o HSM a ser adicionado.
Exigido: sim.
Isso pode ser especificado na configuração hsm_arn em --conf_file.--hapg-arn
O ARN que identifica o grupo de partição HA para o qual será adicionado.
Exigido: sim.
Isso pode ser especificado na configuração hapg_arn em --conf_file.--so-password
A senha do oficial de segurança de HSM. Ela pode incluir letras maiúsculas e minúsculas, números ecaracteres não alfanuméricos. Não pode incluir espaços.
Exigido: sim.
Isso pode ser especificado na configuração so_password em --conf_file.--partition-password
A senha que será definida para as partições do membro. Os clientes utilizam essa senha para acessaro grupo de partição.
Exigido: sim
Isso pode ser especificado na configuração partition_password em --conf_file.--cloning-domain
O domínio de clonagem para as partições no grupo. Esse não é o mesmo que o --cloning-domainusado no comando initialize-hsm (p. 88).
Exigido: sim
Isso pode ser especificado na configuração cloning_domain em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
59
AWS CloudHSM Classic Guia do usuárioadd-hsm-to-hapg
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoO status da operação.
{ "Status": "Addition of HSM <hsm-arn> to HAPG <hapg-arn> successful"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• remove-hsm-from-hapg (p. 100)
60
AWS CloudHSM Classic Guia do usuárioclone-hapg
clone-hapgDescriçãoCopia o conteúdo de um grupo de partição de alta disponibilidade (HA) para outro grupo de partição HA.
O domínio de clonagem e a senha da partição devem ser os mesmos para ambos os grupos de partiçãoHA de origem e destino.
Este comando requer conectividade SSH com todos os HSMs em ambos os grupos de partição HA deorigem e de destino. Para obter mais informações, consulte Conexões SSH (p. 20).
Warning
Não se deve executar esse comando de uma instância que também é cliente do grupo de partiçãoHA que está sendo clonado.
Usocloudhsm clone-hapg --src-hapg-arn <value> --dest-hapg-arn <value> --hapg-password <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--src-hapg-arn
O ARN que identifica o grupo de partição HA do qual será copiado. Ambos os grupos de partição HAdevem ter os mesmos domínios de clonagem e senhas de partição.
Exigido: sim
Isso pode ser especificado na configuração src_hapg_arn em --conf_file.--dest-hapg-arn
O ARN que identifica o grupo de partição HA para o qual será copiado. Ambos os grupos de partiçãoHA devem ter os mesmos domínios de clonagem e senhas de partição.
Exigido: sim
Isso pode ser especificado na configuração dest_hapg_arn em --conf_file.--hapg-password
A senha a ser usada para acessar o grupo de partição HA. Essa senha deve ser a mesma para ambosos grupos da partição HA de origem e destino
Exigido: sim
61
AWS CloudHSM Classic Guia do usuárioclone-hapg
Isso pode ser especificado na configuração partition_password em --conf_file.--force
Não exibir as mensagens de verificação de segurança.
Exigido: não
Isso pode ser especificado na configuração force em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
62
AWS CloudHSM Classic Guia do usuárioclone-hsm
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoO status da operação.
cloudhsmcli.hapg_cloner: Backing up existing config filescloudhsmcli.hapg_cloner: Collecting information about the HA Partition groupscloudhsmcli.hapg_cloner: Setting up a cloning environmentcloudhsmcli.hapg_cloner: Cloning the HA partition groupscloudhsmcli.hapg_cloner: Cleaning up the cloning environmentcloudhsmcli.hapg_cloner: Restoring existing config files{ "Status": "Completed cloning the HA partition group <src-hapg-arn> to the HA partition group <dest-hapg-arn>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
clone-hsmDescriçãoCopia as associações e o material de chaves do grupo de partição de alta disponibilidade (HA) de um HSMpara outro.
Ambos os HSMs de origem e destino devem ser inicializados com o mesmo domínio de clonagem.
Este comando solicita ao usuário a senha e o domínio de clonagem de cada partição do HSM de origem.
Este comando copia todas as partições e material de chaves do grupo de partição HA membro do HSM,para o HSM de destino, e une o HSM de destino ao grupo de partição HA.
Remova um HSM com falha do grupo de partição HA com o comando remove-hsm-from-hapg (p. 100).
Este comando requer conectividade SSH com ambos os HSMs de origem e destino. Para obter maisinformações, consulte Conexões SSH (p. 20).
Warning
Executar esse comando em um cliente do HSM clonado pode interromper temporariamente osaplicativos com respaldo HSM em execução no cliente.
Uso
cloudhsm clone-hsm --src-hsm-arn <value> --dest-hsm-arn <value> [--force] --so-password <value> --aws-region <value> --aws-access-key-id <value>
63
AWS CloudHSM Classic Guia do usuárioclone-hsm
--aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--src-hsm-arn
O ARN que identifica o HSM do qual será feita a cópia.
Exigido: sim
Isso pode ser especificado na configuração src_hsm_arn em --conf_file.--dest-hsm-arn
O ARN que identifica o HSM para o qual será feita a cópia.
Exigido: sim
Isso pode ser especificado na configuração dest_hsm_arn em --conf_file.--force
Não exibir as mensagens de verificação de segurança.
Exigido: não
Isso pode ser especificado na configuração force em --conf_file.--so-password
A senha do responsável pela segurança para --dest-hsm-arn.
Exigido: sim
Isso pode ser especificado na configuração so_password em --conf_file.--ssh-username
O nome de usuário SSH usado para autenticar com --dest-hsm-arn.
Exigido: sim
Isso pode ser especificado na configuração ssh_username em --conf_file.--ssh-password
A senha SSH usada para autenticar com --dest-hsm-arn.
Exigido: --ssh-key-filename ou --ssh-password
Isso pode ser especificado na configuração ssh_password em --conf_file.--ssh-key-filename
O arquivo que contém a chave SSH privada usada para autenticar com --dest-hsm-arn. A chavepública foi instalada no dispositivo HSM no momento em que foi provisionado.
Exigido: --ssh-key-filename ou --ssh-password
64
AWS CloudHSM Classic Guia do usuárioclone-hsm
Isso pode ser especificado na configuração ssh_key_filename em --conf_file.--ssh-key-passphrase
A frase secreta para desbloquear o arquivo de chave privada --ssh-key-filename.
Exigido: caso --ssh-key-filename seja usado.
Isso pode ser especificado na configuração ssh_key_passphrase em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
65
AWS CloudHSM Classic Guia do usuáriocreate-client
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoO status da operação.
cloudhsmcli.hsm_cloner: Backing up existing config filescloudhsmcli.hsm_cloner: Collecting information about the HSMscloudhsmcli.hsm_cloner: Creating partitions on the destination HSMPlease provide the password for <partition1>:Please provide the cloning domain for <partition1>:cloudhsmcli.hsm_cloner: A partition was created: <partition1_label> (<dest_partition1_ID>)Please provide the password for <partition2>:Please provide the cloning domain for <partition2>:cloudhsmcli.hsm_cloner: A partition was created: <partition2_label> (<dest_partition2_ID>)Please provide the password for <partition3>:Please provide the cloning domain for <partition3>:cloudhsmcli.hsm_cloner: A partition was created: <partition3_label> (<dest_partition3_ID>)cloudhsmcli.hsm_cloner: Setting up a cloning environmentcloudhsmcli.hsm_cloner: Replicating keys from the source HSMcloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition1_ID> to <dest_partition1_ID> successfullycloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition2_ID> to <dest_partition2_ID> successfullycloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition3_ID> to <dest_partition3_ID> successfullycloudhsmcli.hsm_cloner: Cleaning up the cloning environmentcloudhsmcli.hsm_cloner: Restoring existing config filescloudhsmcli.hsm_cloner: Cloning the client/partition configuration on the HSM{ "Status": "Completed cloning the HSM <src-hsm-arn> to the HSM <dest-hsm-arn>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• Substituir um HSM com falha (p. 55)
create-clientDescriçãoCria um cliente do Hardware Security Module (HSM - Módulo de segurança de hardware).
Usocloudhsm create-client --certificate-file <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value>
66
AWS CloudHSM Classic Guia do usuáriocreate-client
[--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--certificate-file
O arquivo que contém o certificado PEM X.509 v3 codificado em base64 para ser instalado nos HSMsusados por esse cliente. Para obter mais informações, consulte Certificados do cliente (p. 21).
Exigido: sim
Isso pode ser especificado na configuração certificate_file em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.
67
AWS CloudHSM Classic Guia do usuáriocreate-hapg
--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoO ARN do cliente.
{ "ClientArn": "<client_arn>", "RequestId": "<request_id>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
create-hapgDescriçãoCria um grupo de partição de alta disponibilidade (HA). Um grupo de partição HA é um grupo de partiçõesque abrange vários HSMs físicos.
Adicione HSMs e partições ao grupo de partição HA com o comando add-hsm-to-hapg (p. 58).
Uso
cloudhsm create-hapg --group-label <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--group-label
O rótulo do novo grupo de partição HA.
68
AWS CloudHSM Classic Guia do usuáriocreate-hapg
Exigido: sim
Isso pode ser especificado na configuração group_label em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
69
AWS CloudHSM Classic Guia do usuáriocreate-hsm
ResultadoUm bloco JSON que contém o ARN do grupo de partição HA.
{ "HapgArn": "<hapg_arn>", "RequestId": "<request_id>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• Criar o grupo de partição HA (p. 40)
create-hsmDescriçãoCria um instância do HSM não inicializada.
Uma taxa inicial será cobrada para cada instância do HSM criada com o comando create-hsm (p. 70).Caso provisione acidentalmente um HSM e queira solicitar um reembolso, exclua a instância usandoo comando delete-hsm (p. 76), acesse o AWS Support Center, crie um novo processo e selecioneAtendimento ao cliente.
Important
A criação e o provisionamento de um HSM pode levar até 20 minutos. Monitore o status do HSMcom o comando describe-hsm (p. 83). O HSM está pronto para ser inicializado quando o statusfor alterado para RUNNING.
Usocloudhsm create-hsm --subnet-id <value> --ssh-public-key-file <value> --iam-role-arn <value> [--hsm-ip <value>] [--external-id <value>] [--syslog-ip <value>] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--subnet-id
O identificador da sub-rede da VPC, na qual deseja-se alocar o HSM.
70
AWS CloudHSM Classic Guia do usuáriocreate-hsm
Exigido: sim
Isso pode ser especificado na configuração subnet_id em --conf_file.--ssh-public-key-file
O arquivo que contém a chave pública SSH a ser instalada no HSM. Isso é usado para fazer login naconta de administrador no HSM.
Exigido: sim
Isso pode ser especificado na configuração ssh_public_key_file em --conf_file.--iam-role-arn
O ARN de uma função do IAM para permitir que o serviço do AWS CloudHSM Classic aloque uma ENIem seu nome.
Exigido: sim
Isso pode ser especificado na configuração iam_role_arn em --conf_file.--hsm-ip
O endereço IP desejado do HSM. Este endereço IP será atribuído à ENI anexada ao HSM.
Se um endereço IP não for especificado, será escolhido um endereço aleatório do intervalo CIDR dasub-rede.
Exigido: não
Isso pode ser especificado na configuração hsm_ip em --conf_file.--external-id
O ID externo do --iam-role-arn, se estiver presente.
Exigido: não
Isso pode ser especificado na configuração external_id em --conf_file.--syslog-ip
O novo endereço IP do servidor de monitoramento de syslog. O serviço do AWS CloudHSM Classicsuporta apenas um servidor de monitoramento de syslog.
Note
Essa opção só está disponível na CLI versão 2.2015.01.22.17.26.52 e posterior. Para obtermais informações, consulte versão (p. 102).
Exigido: não
Isso pode ser especificado na configuração syslog_ip em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
71
AWS CloudHSM Classic Guia do usuáriocreate-hsm
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoO ARN do HSM. Como esse comando gera a cobrança de uma taxa inicial para a sua conta, serásolicitada a verificação da operação antes da criação do HSM.
{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
72
AWS CloudHSM Classic Guia do usuáriodelete-client
Tópicos relacionados• Provisionar os HSMs (p. 25)
delete-clientDescriçãoExclui um cliente HSM.
Usocloudhsm delete-client --client-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--client-arn
O ARN que identifica o cliente a ser excluído.
Exigido: sim
Isso pode ser especificado na configuração client_arn em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
73
AWS CloudHSM Classic Guia do usuáriodelete-hapg
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.
ResultadoUm bloco JSON que contém o status da operação.
{ "RequestId": <request_id>, "Status": <status>}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
delete-hapgDescriçãoExclui um grupo de partição de alta disponibilidade (HA). As partições que compõem o grupo de partiçãoHA, bem como o material de chaves que elas contêm, não são excluídas por este comando.
Usocloudhsm delete-hapg --hapg-arn <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--hapg-arn
O ARN que identifica o grupo de partição HA a ser excluído.
Exigido: sim
Isso pode ser especificado na configuração hapg_arn em --conf_file.--force
Não exibir as mensagens de verificação de segurança.
74
AWS CloudHSM Classic Guia do usuáriodelete-hapg
Exigido: não
Isso pode ser especificado na configuração force em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
75
AWS CloudHSM Classic Guia do usuáriodelete-hsm
Exigido: Não.
ResultadoUm bloco JSON que contém o status da operação.
{ "Status": <status>}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
delete-hsmDescriçãoExclui um HSM.
O HSM deve ser zerado antes de chamar este comando. Para obter mais informações, consulte Comofaço para zerar meu HSM (p. 55).
Uso
cloudhsm delete-hsm --hsm-arn <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--hsm-arn
O ARN que identifica o HSM a ser excluído.
Exigido: sim
Isso pode ser especificado na configuração hsm_arn em --conf_file.--force
Não exibir as mensagens de verificação de segurança.
Exigido: não
Isso pode ser especificado na configuração force em --conf_file.--aws-region
O identificador da região, como us-east-2.
76
AWS CloudHSM Classic Guia do usuáriodelete-hsm
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém o status da operação.
{
77
AWS CloudHSM Classic Guia do usuárioderegister-client-from-hapg
"Status": "<status>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• create-hsm (p. 70)
deregister-client-from-hapgDescriçãoRemove um cliente HSM de um grupo de partição de alta disponibilidade (HA).
Este comando requer conectividade SSH com todos os HSMs nos grupos de partição de altadisponibilidade. Para obter mais informações, consulte Conexões SSH (p. 20).
Usocloudhsm deregister-client-from-hapg --client-arn <value> --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--client-arn
O ARN que identifica o cliente.
Exigido: sim
Isso pode ser especificado na configuração client_arn em --conf_file.--hapg-arn
O ARN do grupo de partição HA.
Exigido: sim
Isso pode ser especificado na configuração hapg_arn em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.
78
AWS CloudHSM Classic Guia do usuárioderegister-client-from-hapg
--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém o status da operação.
{ "Status": <status>}
79
AWS CloudHSM Classic Guia do usuáriodescribe-client
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• register-client-to-hapg (p. 98)
describe-clientDescriçãoRecupera informações sobre um cliente HSM.
Usocloudhsm describe-client --client-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--client-arn
O ARN que identifica o cliente para o qual recuperar as informações.
Exigido: sim
Isso pode ser especificado na configuração client_arn em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.
80
AWS CloudHSM Classic Guia do usuáriodescribe-hapg
--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém informações sobre o cliente especificado.
{ "Certificate": "<certificate>", "CertificateFingerprint": "<certificate_fingerprint>", "ClientArn": "<client_arn>", "Label": "<label>", "LastModifiedTimestamp": "<last_modified>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
describe-hapgDescriçãoRecupera informações sobre um grupo de partição de alta disponibilidade (HA).
81
AWS CloudHSM Classic Guia do usuáriodescribe-hapg
Uso
cloudhsm describe-hapg --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--hapg-arn
O ARN que identifica o grupo de partição HA sobre o qual serão obtidas informações.
Exigido: sim
Isso pode ser especificado na configuração hapg_arn em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.
82
AWS CloudHSM Classic Guia do usuáriodescribe-hsm
--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém informações sobre o grupo de partição HA especificado.
{ "HapgArn": "<hapg_arn>", "HapgSerial": "<hapg_serial>", "HsmsLastActionFailed": [], "HsmsPendingDeletion": [], "HsmsPendingRegistration": [], "Label": "<hapg_label>", "LastModifiedTimestamp": "<last_modified>", "PartitionSerialList": [ "<partition_serial_1>", "<partition_serial_2>" ], "State": "<state>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
describe-hsmDescriçãoRecupera informações sobre um HSM.
Usocloudhsm describe-hsm --hsm-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>]
83
AWS CloudHSM Classic Guia do usuáriodescribe-hsm
[--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--hsm-arn
O ARN que identifica o HSM para o qual obter informações.
Exigido: sim
Isso pode ser especificado na configuração hsm_arn em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
84
AWS CloudHSM Classic Guia do usuárioget-client-configuration
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém informações sobre o HSM especificado.
{ "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "<iam_role_arn>", "SerialNumber": "<serial_number>", "SoftwareVersion": "<version>", "SshPublicKey": "<public_key_contents>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "<start_date>", "SubscriptionType": "<subscription_type>", "VendorName": "<vendor>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
get-client-configurationDescriçãoObtém o arquivo de configuração e os certificados do servidor para um cliente. Este comando deve serexecutado em cada cliente atribuído ao grupo de partição de alta disponibilidade (HA) especificado.
É necessário executar novamente esse comando após realizar qualquer alteração no grupo de partiçãoHA, como adicionar ou remover um HSM.
Este comando requer acesso de gravação para determinados arquivos e diretórios no sistema local. Paraobter mais informações, consulte Definir a propriedade do diretório e do arquivo necessária (p. 19).
Este comando requer conectividade SSH com todos os HSMs nos grupos de partição HA. Para obter maisinformações, consulte Conexões SSH (p. 20).
Usocloudhsm get-client-configuration --client-arn <value> --hapg-arns <value1 value2 ...> [--cert-directory <value>] [--config-directory <value>] --aws-region <value>
85
AWS CloudHSM Classic Guia do usuárioget-client-configuration
--aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--client-arn
O ARN que identifica o cliente para o qual recuperar as informações.
Exigido: sim
Isso pode ser especificado na configuração client_arn em --conf_file.--hapg-arns
Uma lista de ARNs que identificam os grupos de partição HA associados ao cliente. Cada ARN na listaé separada por um espaço.
Exigido: sim
Isso pode ser especificado na configuração hapg_arns em --conf_file.--cert-directory
O diretório local em que o certificado do servidor será gravado. Caso esse parâmetro não sejaespecificado, o certificado do servidor será gravado no diretório de trabalho atual. O certificadodo servidor deve ser colocado no diretório de certificado do servidor. A localização do diretório decertificado do servidor varia de acordo com a versão do software cliente do LunaSA instalado.Software cliente versão 5.1
/usr/lunasa/cert/server
Software cliente versão 5.4
/usr/safenet/lunaclient/cert/server
Exigido: não
Isso pode ser especificado na configuração cert_directory em --conf_file.--config-directory
O diretório local em que o arquivo Chrystoki.conf será gravado. Caso esse parâmetro não sejaespecificado, o arquivo de configuração será gravado no diretório de trabalho atual. O arquivoChrystoki.conf deve ser colocado no /etc/ diretório.
Exigido: não
Isso pode ser especificado na configuração config_directory em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.
86
AWS CloudHSM Classic Guia do usuárioget-client-configuration
--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoAs informações sobre onde o arquivo de configuração e os certificados foram gravados.
The configuration file has been copied to <config-directory>The server certificate has been copied to <cert-directory>
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
87
AWS CloudHSM Classic Guia do usuárioinitialize-hsm
initialize-hsmDescriçãoExecuta a configuração inicial de um HSM. É necessário já ter alocado o recurso do HSM e ter o Nomede recurso da Amazon (ARN) resultante que identifica o HSM. Use o comando create-hsm (p. 70) paracriar uma instância do HSM. Use o comando list-hsms (p. 93) para obter uma lista de ARNs do HSM.
O HSM deve ser zerado antes de chamar este comando. Para obter mais informações, consulte Comofaço para zerar meu HSM (p. 55).
Este comando requer conectividade de SSH com o HSM. Para obter mais informações, consulte ConexõesSSH (p. 20).
Note
Inicializar um HSM cria a conta do responsável pela segurança do HSM (também conhecidocomo administrador) e requer que uma senha seja criada e atribuída àquela conta. Anote a senhana Planilha de senha (p. 35) e não a perca. Recomendamos imprimir uma cópia do Planilha desenha (p. 35), usá-lo para registrar as senhas do AWS CloudHSM Classic e armazená-lo em umlugar seguro. Também recomendamos armazenar pelo menos uma cópia dessa planilha em umlocal externo seguro. A AWS não dispõe da capacidade de recuperar o material principal de umHSM para o qual você não tenha as credenciais apropriadas de oficial de segurança do HSM.
Uso
cloudhsm initialize-hsm --hsm-arn <value> --label <value> --so-password <value> --cloning-domain <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Opções--hsm-arn
O ARN que identifica o HSM a ser inicializado.
Exigido: sim.
Isso pode ser especificado na configuração hsm_arn em --conf_file.--label
O rótulo do HSM. Use apenas letras e números. Não são permitidos caracteres especiais.
Exigido: sim.
Isso pode ser especificado na configuração label em --conf_file.
88
AWS CloudHSM Classic Guia do usuárioinitialize-hsm
--so-password
A senha do oficial de segurança de HSM. Ela pode incluir letras maiúsculas e minúsculas, números ecaracteres não alfanuméricos. Não pode incluir espaços.
Exigido: sim.
Isso pode ser especificado na configuração so_password em --conf_file.--cloning-domain
O domínio de clonagem a ser definido para o HSM.
Exigido: sim.
Isso pode ser especificado na configuração cloning_domain em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
89
AWS CloudHSM Classic Guia do usuáriolist-clients
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém o status da operação.
{ "Status": "Initialization of the HSM successful"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• Configurar o HSM (p. 26)
list-clientsDescriçãoRecupera os identificadores dos clientes pertencentes ao consumidor atual.
Usocloudhsm list-clients --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.
90
AWS CloudHSM Classic Guia do usuáriolist-clients
--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém a lista de ARNs que identificam os cliente.
{ "ClientList": [ "<client1_arn>",
91
AWS CloudHSM Classic Guia do usuáriolist-hapgs
"<client2_arn>" ]}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
list-hapgsDescriçãoRecupera os identificadores de todos os grupos de partição de alta disponibilidade (HA) pertencentes aocliente atual.
Uso
cloudhsm list-hapgs --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.
92
AWS CloudHSM Classic Guia do usuáriolist-hsms
--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém a lista de ARNs que identificam os grupos de partição de alta disponibilidade.
{ "HapgList": [ "<hapg1_arn>", "<hapg2_arn>" ]}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
list-hsmsDescriçãoRecupera os identificadores de todos os HSMs provisionados para o cliente atual.
Usocloudhsm list-hsms --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>]
93
AWS CloudHSM Classic Guia do usuáriolist-hsms
[--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.
94
AWS CloudHSM Classic Guia do usuáriomodify-hsm
--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém a lista de ARNs que identificam os HSMs.
{ "HsmList": [ "<hsm1_arn>", "<hsm2_arn>" ]}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
modify-hsmDescriçãoModifica uma instância do HSM existente.
Important
Este comando pode fazer com que o HSM fique offline por até 15 minutos enquanto o serviço doAWS CloudHSM Classic é reconfigurado. Se estiver modificando um HSM de produção, garantaque o serviço do AWS CloudHSM Classic está configurado para alta disponibilidade e considereexecutar esse comando durante uma janela de manutenção.
Usocloudhsm modify-hsm --hsm-arn <value> [--subnet-id <value>] [--iam-role-arn <value>] [--hsm-ip <value>] [--external-id <value>] [--syslog-ip <value>] [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--hsm-arn
O ARN que identifica o HSM a ser modificado.
95
AWS CloudHSM Classic Guia do usuáriomodify-hsm
Exigido: sim
Isso pode ser especificado na configuração hsm_arn em --conf_file.--subnet-id
O identificador da nova sub-rede na VPC, na qual deseja-se alocar o HSM. A nova sub-rede deveestar na mesma zona de disponibilidade da sub-rede atual.
Exigido: não
Isso pode ser especificado na configuração subnet_id em --conf_file.--iam-role-arn
O ARN da nova função do IAM que permite que o serviço do AWS CloudHSM Classic aloque uma ENIem seu nome.
Exigido: não
Isso pode ser especificado na configuração iam_role_arn em --conf_file.--hsm-ip
O novo endereço IP do HSM. Este endereço IP é atribuído à ENI anexada ao HSM. A sub-rede à qualo novo endereço IP pertence deve estar na mesma zona de disponibilidade da sub-rede do endereçoIP anterior.
Exigido: não
Isso pode ser especificado na configuração hsm_ip em --conf_file.--external-id
O novo ID externo do --iam-role-arn.
Exigido: não
Isso pode ser especificado na configuração external_id em --conf_file.--syslog-ip
O novo endereço IP do servidor de monitoramento de syslog. O serviço do AWS CloudHSM Classicsuporta apenas um servidor de monitoramento de syslog.
Exigido: não
Isso pode ser especificado na configuração syslog_ip em --conf_file.--force
Não exibir as mensagens de verificação de segurança.
Exigido: não
Isso pode ser especificado na configuração force em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
96
AWS CloudHSM Classic Guia do usuáriomodify-hsm
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoO ARN do HSM.
{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
97
AWS CloudHSM Classic Guia do usuárioregister-client-to-hapg
VersãoEsse comando só está disponível na CLI versão 2.2015.01.22.17.26.52 e posterior. Para obter maisinformações, consulte versão (p. 102).
Tópicos relacionados• create-hsm (p. 70)
register-client-to-hapgDescriçãoAdiciona um cliente do HSM em um grupo de partição de alta disponibilidade (HA).
É necessário executar novamente esse comando após realizar qualquer alteração no grupo de partiçãoHA, como adicionar um HSM.
Este comando requer conectividade SSH com todos os HSMs nos grupos de partição de altadisponibilidade. Para obter mais informações, consulte Conexões SSH (p. 20).
Uso
cloudhsm register-client-to-hapg --client-arn <value> --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--client-arn
O ARN que identifica o cliente.
Exigido: sim.
Isso pode ser especificado na configuração client_arn em --conf_file.--hapg-arn
O ARN que identifica o grupo de partição HA.
Exigido: sim
Isso pode ser especificado na configuração hapg_arn em --conf_file.--aws-region
O identificador da região, como us-east-2.
98
AWS CloudHSM Classic Guia do usuárioregister-client-to-hapg
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém o status da operação.
{
99
AWS CloudHSM Classic Guia do usuárioremove-hsm-from-hapg
"Status": <status>}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• deregister-client-from-hapg (p. 78)
remove-hsm-from-hapgDescriçãoRemove um HSM de um grupo de partição de alta disponibilidade (HA). A partição e o material de chavescorrespondentes ao grupo de partição HA são removidos do HSM.
Este comando pode ser usado para remover um HSM com falha do grupo de partição HA.
Este comando requer conectividade de SSH com o HSM. Para obter mais informações, consulte ConexõesSSH (p. 20).
Uso
cloudhsm remove-hsm-from-hapg --hsm-arn <value> --hapg-arn <value> --so-password <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
Argumentos--hsm-arn
O ARN que identifica o HSM a ser removido.
Exigido: sim--hapg-arn
O ARN que identifica o grupo de partição HA do qual o HSM será removido.
Exigido: sim.
Isso pode ser especificado na configuração hapg_arn em --conf_file.--so-password
A senha do oficial de segurança de HSM. Ela pode incluir letras maiúsculas e minúsculas, números ecaracteres não alfanuméricos. Não pode incluir espaços.
100
AWS CloudHSM Classic Guia do usuárioremove-hsm-from-hapg
Exigido: sim.
Isso pode ser especificado na configuração so_password em --conf_file.--aws-region
O identificador da região, como us-east-2.
Exigido: sim.
Isso pode ser especificado na configuração aws_region em --conf_file.--aws-access-key-id
Sua ID de chave de acesso. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_access_key_id em --conf_file.--aws-secret-access-key
Sua chave de acesso secreta. Para obter mais informações, consulte Autenticação (p. 19).
Exigido: sim.
Isso pode ser especificado na configuração aws_secret_access_key em --conf_file.--aws-host
Substitui o host de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_host em --conf_file.--aws-port
Substitui a porta de serviço do AWS CloudHSM Classic.
Exigido: Não.
Isso pode ser especificado na configuração aws_port em --conf_file.--conf_file
O caminho e o nome do arquivo de configuração a serem usados. Para obter mais informações,consulte Arquivos de configuração (p. 21).
Exigido: Não.--quiet
Saída silenciosa. Somente os erros são relatados.
Exigido: Não.--verbose
Saída detalhada.
Exigido: Não.--help
Exibe a ajuda referente ao comando.
Exigido: Não.
101
AWS CloudHSM Classic Guia do usuárioversão
ResultadoUm bloco JSON que contém o status da operação.
{ "Status": "<status>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Tópicos relacionados• add-hsm-to-hapg (p. 58)
versãoDescriçãoRecupera as informações da versão das ferramentas da CLI do AWS CloudHSM Classic.
Uso
cloudhsm version [--help]
Argumentos--help
Exibe a ajuda referente ao comando.
Exigido: Não.
ResultadoUm bloco JSON que contém informações sobre a versão.
{ "Version": "<version>"}
As ferramentas de linha de comando do AWS CloudHSM Classic exibem erros em stderr.
Solução de problemasAs seções a seguir mostram alguns dos erros mais comuns que você pode encontrar ao usar a ILC doAWS CloudHSM Classic.
Tópicos• RuntimeError: Luna está solicitando uma senha. (p. 103)
102
AWS CloudHSM Classic Guia do usuárioRuntimeError: Luna está solicitando uma senha.
• O comando delete-hsm parece ter sido executado com sucesso, mas o HSM não foiexcluído. (p. 103)
RuntimeError: Luna está solicitando uma senha.Ao usar determinados comandos, a seguinte mensagem de erro será exibida:
RuntimeError: Luna is requesting a password. This indicates that there is nopersistent SSH connection to the HSM. Consult the AWS CloudHSM Classic CLI docsfor instructions on how to set up a persistent connection.
Este erro ocorre ao usar um comando que requer uma conexão SSH persistente com um HSM, comoinitialize-hsm (p. 88). Para obter mais informações sobre conexões SSH persistentes, consulteConexões SSH (p. 20).
O comando delete-hsm parece ter sido executado comsucesso, mas o HSM não foi excluído.Este erro pode ocorrer ao usar o comando delete-hsm (p. 76) para excluir um HSM que não estázerado. Para determinar se esse é o caso, após emitir o comando delete-hsm (p. 76), use o comandodescribe-hsm (p. 83) para obter informações sobre o HSM. Se o campo StatusDetails contém umamensagem do tipo "The CloudHSM must be zeroized before it can be deleted.", seránecessário zerar o HSM. Para obter mais informações sobre como zerar o HSM, consulte Como faço parazerar meu HSM (p. 55).
103
AWS CloudHSM Classic Guia do usuário
Limites do AWS CloudHSM ClassicA lista a seguir contém os limites para o serviço do AWS CloudHSM Classic. A menos que seja indicado deoutra forma, esses limites são por região e por conta da AWS.
• Dispositivos HSM: 3• Grupos de partição de alta disponibilidade: 20• Clientes: Não existe um limite explícito para o número de clientes. No entanto, a SafeNet não realizou
testes com mais de 1000 conexões de clientes simultâneas. Para obter mais informações, consulteConexões com o dispositivo - Limites na documentação do Luna SA da SafeNet.
Para solicitar um aumento desses limites, use o formulário de aumento do limite de serviço no Atendimentoao cliente da AWS.
104
AWS CloudHSM Classic Guia do usuárioConceitos básicos para ações manuais
ApêndicesA seguir estão os apêndices para o AWS CloudHSM User Guide. Eles fornecem informações adicionaispara algumas das operações e uso do AWS CloudHSM Classic.
Tópicos• Conceitos básicos para ações manuais (p. 105)• Conexão de várias instâncias do cliente ao AWS CloudHSM Classic com um certificado (p. 112)• Aplicativo de amostra (p. 114)• Guia de atualização do AWS CloudHSM Classic (p. 116)
Conceitos básicos para ações manuaisOs tópicos a seguir explicam como provisionar, inicializar e usar um HSM sem usar a CLI.
Tópicos• Provisionar um HSM manualmente (p. 105)• Inicializar um HSM manualmente (p. 105)• Alta disponibilidade (p. 107)
Provisionar um HSM manualmenteAs seguintes informações são necessárias para provisionar o HSM.
• Os identificadores das sub-redes privadas nas quais os HSMs serão provisionados.• O ARN da função do AWS CloudHSM Classic IAM.• A chave pública SSH. Para obter mais informações, consulte Gerar uma chave SSH (p. 14).
Important
Uma taxa inicial será cobrada para cada instância do HSM provisionada. Caso provisioneacidentalmente um HSM e queira solicitar um reembolso, exclua a instância, acesse o AWSSupport Center, crie um novo processo e selecione Atendimento ao cliente
Inicializar um HSM manualmentePara inicializar e configurar manualmente um HSM
Use os seguintes procedimentos para inicializar o HSM. Repita conforme necessário para cada HSM.
1. Se necessário, copie o arquivo de chave privada do SSH para a instância de controle. Esta é a parteprivada da chave usada para provisionar o HSM. Para obter mais informações, consulte Copiar achave privada (p. 16).
2. Na instância de controle, conecte-se ao dispositivo HSM via SSH. <private_key_file> é a parteprivada da chave SSH fornecida no momento em que o HSM foi provisionado.
$ ssh -i <private_key_file> manager@<hsm_ip_address>
3. (Opcional) Defina uma senha para o administrador executando o seguinte comando. Esta etapa éopcional. Continue usando o par de chaves SSH para se conectar ao HSM via SSH, se assim desejar.
105
AWS CloudHSM Classic Guia do usuárioInicializar um HSM manualmente
lunash:> user password manager
A nova senha será solicitada duas vezes. Anote a nova senha do administrador na Planilha desenha (p. 35).
4. Verifique o fuso horário, a data e a hora no HSM com o comando status date.
lunash:> status date
Fri Feb 7 20:09:20 UTC 2014
Command Result : 0 (Success)
Se o fuso horário estiver incorreto, defina-o com o comando sysconf timezone set. Se a data e/oua hora estiverem incorretas, defina-as com o comando sysconf time. Para obter mais informações,acesse Definir a hora e a data do sistema na documentação do Luna SA da SafeNet.
Note
A AWS configura o tempo de cada HSM para usar o fuso horário UTC. Essa também é aconfiguração padrão para as AMIs do Amazon Linux. Somente altere o fuso horário se ocliente HSM usa um fuso horário diferente do UTC.Caso altere o fuso horário, faça-o antes de definir a data e a hora do sistema; caso contrário,a alteração do fuso horário ajustará o horário que acabou de definir.
5. Inicialize o HSM executando as seguintes ações:
lunash:> hsm init -label <hsm_label>
O nome <hsm_label> deve ser exclusivo, sem espaços ou caracteres especiais.
Note
Caso planeje usar alta disponibilidade e balanceamento de carga em vários dispositivosHSM, conforme recomendado pela AWS, consulte Alta disponibilidade e balanceamento decarga (p. 37) para obter instruções adicionais.
Inicializar um HSM exclui permanentemente as chaves e todo o domínio de criptografia no HSM. Apósinicializar o HSM, todas as chaves existentes anteriormente são destruídas.
Inicializar um HSM define a senha para a conta do responsável pela segurança do HSM (tambémconhecido como administrador). Anote a senha do responsável pela segurança na Planilha desenha (p. 35) e não a perca. Recomendamos imprimir uma cópia do Planilha de senha (p. 35), usá-lo para registrar as senhas do AWS CloudHSM Classic e armazená-lo em um lugar seguro. Tambémrecomendamos armazenar pelo menos uma cópia dessa planilha em um local externo seguro. A AWSnão dispõe da capacidade de recuperar o material principal de um HSM para o qual você não tenha ascredenciais apropriadas de oficial de segurança do HSM.
6. Crie um par de chaves para o servidor HSM. Isso gera um certificado a partir da chave pública.
lunash:> sysconf regenCert
7. Faça uma associação entre o dispositivo HSM e uma interface NTLS, executando o seguinte:
lunash:> ntls bind eth0
8. Execute os comandos a seguir para fazer login no HSM usando a senha de administrador do HSM e,em seguida, crie uma partição:
106
AWS CloudHSM Classic Guia do usuárioAlta disponibilidade
lunash:> hsm login
lunash:> partition create -partition <partition_name>
O nome <partition_name> deve ser exclusivo, sem espaços ou caracteres especiais.9. Quando solicitado, digite proceed.10. Forneça a nova senha da partição quando solicitado. Anote o nome da partição e a senha na Planilha
de senha (p. 35), já que serão usados nas seguintes situações:
• Para autenticar o administrador executando tarefas de gerenciamento da partição via shell do Luna.• Para autenticar aplicativos clientes que desejam usar o HSM.
Alta disponibilidadeOs tópicos a seguir discutem a implementação da alta disponibilidade para os HSMs sem usar a CLI.
Tópicos• Configurar alta disponibilidade (p. 107)• Failover da alta disponibilidade e recuperação automática (p. 111)• Recuperar um HSM (p. 112)
Configurar alta disponibilidadePara configurar a alta disponibilidade (HA) e o balanceamento de carga para os HSMs, um HSM por vez,conclua o procedimento a seguir.
Configurar redundância de HA e balanceamento de carga
1. Configure a rede que contém os HSMs que serão usados no grupo de HA.2. Na instância de controle, conecte-se ao HSM via SSH. <private_key_file> é a parte privada da
chave SSH fornecida no momento em que o HSM foi provisionado.
$ ssh -i <private_key_file> manager@<hsm_ip_address>
3. Visualize as configurações de políticas necessárias para o HSM, executando o comando hsmshowPolicies.
lunash:> hsm showPoliciesHSM Label: <hsm_label>
Serial #: <hsm_serial>
Firmware: 6.2.1
The following capabilities describe this HSM, and cannot be altered except via firmware or capability updates.
Description Value=========== =====
Enable cloning Allowed ...
107
AWS CloudHSM Classic Guia do usuárioAlta disponibilidade
Enable network replication Allowed ...
The following policies describe the current configuration of this HSM and may by changed by the HSM Administrator.
Changing policies marked "destructive" will zeroize (erase completely) the entire HSM.Description Value Code Destructive =========== ===== ==== ===========.Allow cloning On 7 Yes..Allow network replication On 16 No...
Command Result : 0 (Success)
Anote os valores das seguintes políticas:
• Habilitar a clonagem• Habilitar a replicação de rede• Permitir clonagem• Permitir a replicação de rede
Se qualquer uma dessas políticas não estiver definida como Permitido, altere-as com o comando hsmchangePolicy.
lunash:> hsm changePolicy -policy <policy_code> -value <policy_value>
Note
A clonagem para um token de hardware é o método de backup para o qual os HSMs sãoconfigurados. Todos os HSMs em um grupo de HA devem usar o mesmo método de backup.
4. Inicialize os HSMs em um domínio de clonagem comum. Para dispositivos autenticados por senha,eles devem compartilhar o mesmo domínio de clonagem.
Warning
Inicializar um HSM exclui permanentemente as chaves e todo o domínio de criptografia noHSM. Após inicializar o HSM, todas as chaves existentes anteriormente são destruídas.
Note
• Caso já tenha configurado o dispositivo HSM em Configuração do cliente AWS CloudHSMClassic (p. 29), as etapas a seguir ajudam a reconfigurar o dispositivo HSM para HA.
• Três dos valores são necessários, mas o único que deve ser digitado na linha de comandoé um rótulo para o HSM (-label). Digitar a senha e o domínio de clonagem na linhade comando torna-os visível para qualquer pessoa que possa ver a tela do computador,ou para qualquer pessoa que posteriormente retroceda o console ou o buffer da sessãossh. Se omitir a senha e o domínio de clonagem, o shell do Luna solicita-os e esconde aentrada com os caracteres ********. Isso é preferível do ponto de vista da segurança. Além
108
AWS CloudHSM Classic Guia do usuárioAlta disponibilidade
disso, será solicitado que insira novamente cada string, ajudando, portanto, a garantir quea string digitada é realmente a desejada.
lunash:> hsm -init -label <hsm_label>> Please enter a password for the security officer> ********Please re-enter password to confirm:> ********Please enter the cloning domain to use for initializing thisHSM (press <enter> to use the default domain):> ********Please re-enter domain to confirm:> ********CAUTION: Are you sure you wish to re-initialize this HSM?All partitions and data will be erased.Type 'proceed' to initialize the HSM, or 'quit' to quit now.> proceed'hsm - init' successful.
5. Em cada HSM, execute as seguintes etapas:
a. Faça login no HSM como administrador (Responsável pela segurança).
lunash:> hsm login
Please enter the HSM Administrators' password: > ***********
'hsm login' successful.
Command Result : 0 (Success)
b. Crie uma partição. Quando solicitado, digite proceed e insira a senha da partição. A senha e odomínio de clonagem da partição devem ser os mesmos para todas as partições que farão partedo mesmo grupo de HA.
lunash:> partition create -partition <partition_name> -domain <cloning_domain>
Please ensure that you have purchased licenses for at least this number of partitions: 3
If you are sure to continue then type 'proceed', otherwise type 'quit'
> proceedProceeding...
Please enter a password for the partition: > **********
Please re-enter password to confirm: > **********
'partition create' successful.
Command Result : 0 (Success)
<partition_name> deve ser exclusivo, sem espaços ou caracteres especiais.
109
AWS CloudHSM Classic Guia do usuárioAlta disponibilidade
c. Anote as senhas e os números de série da partição e armazene essas informações em um localseguro.
lunash:> partition show
Partition SN: <partition1_serial> Partition Name: <partition1_name> Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=102701, Used=0, Free=102701 Partition Object Count: 0
Partition SN: <partition2_serial> Partition Name: <partition2_name> Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=102701, Used=0, Free=102701 Partition Object Count: 0
Command Result : 0 (Success)
d. Prossiga com a configuração normal do cliente, conforme descrito em Configuração do clienteAWS CloudHSM Classic (p. 29).
e. Registre o computador do cliente em cada partição que fará parte do grupo de HA. Em cadaHSM, atribua a partição ao respectivo cliente. Repita para cada HSM do grupo de HA.
lunash:> client assignPartition -client <client_name> -partition <partition1_name>lunash:> client assignPartition -client <client_name> -partition <partition2_name>
6. No cliente, crie um novo grupo de HA com o comando vtl haAdmin newGroup. Esse grupo usa apartition1 como partição primária.
Important
Em clientes Windows, é necessário executar o comando a seguir como administrador. Paratanto, clique com o botão direito do mouse na janela do cmd.exe e selecione Executar comoadministrador.
>vtl haAdmin newGroup -label <partition_group_label> -serialNum <partition1_serial> -password <partition1_password>
New group with label "<partition_group_label>" created at group number <partition_group_serial>.Group configuration is: HA Group Label: <partition_group_label> HA Group Number: <partition_group_serial> HA Group Slot #: <slot_number> Synchronization: enabled Group Members: <partition1_serial> Standby members: <none> In Sync: yes
Ao criar um novo grupo de HA, o serviço vtl cria o número de série para o grupo.7. Agora, o arquivo Chrystoki.conf (Linux/UNIX)/crystoki.ini (Windows) deve ter uma nova seção:
110
AWS CloudHSM Classic Guia do usuárioAlta disponibilidade
VirtualToken = {VirtualToken00Members = <partition1_serial>;VirtualToken00SN = <partition_group_serial>;VirtualToken00Label = <partition_group_label>;}
Important
Não altere o arquivo Chrystoki.conf/crystoki.ini.8. Adicione outro membro ao grupo de HA (Partition2 no segundo dispositivo) com o comando vtl
haAdmin addMember.
Important
Em clientes Windows, é necessário executar o comando a seguir como administrador. Paratanto, clique com o botão direito do mouse na janela do cmd.exe e selecione Executar comoadministrador.
>vtl haAdmin addMember -group <partition_group_serial> -serialNum <partition2_serial> -password <partition2_password>
Member <partition2_serial> successfully added to group <partition_group_serial>.New group configuration is: HA Group Label: <partition_group_label> HA Group Number: <partition_group_serial> HA Group Slot #: <slot_number> Synchronization: enabled Group Members: <partition1_serial>, <partition2_serial> Standby members: <none> In Sync: yes
Please use the command 'vtl haAdmin -synchronize' when you are ready to replicate data between all members of the HA group. (If you have additional members to add, you may wish to wait until you have added them before synchronizing to save time by avoiding multiple synchronizations.)
9. Verifique a configuração usando o comando a seguir e, em seguida, aponte o aplicativo do clientepara o HSM, se referindo a esse HSM por meio do rótulo do grupo de HA atribuído.
>vtl haAdmin show
Failover da alta disponibilidade e recuperação automáticaAs instruções a seguir utilizam os aplicativos configurator e vtl, que são parte das ferramentas de clientedo Luna SA. A localização desses aplicativos varia de acordo com o sistema operacional do cliente. Incluaesse caminho no comando ou adicione-o à variável de ambiente PATH.
Linux
/usr/safenet/lunaclient/bin/
Windows
%ProgramFiles%\SafeNet\LunaClient\bin\
111
AWS CloudHSM Classic Guia do usuárioConexão de várias instâncias do cliente aoAWS CloudHSM Classic com um certificado
Configuração de failover da alta disponibilidadeA AWS e a SafeNet recomendam manter o tempo de espera padrão de 20 segundos para failover. Issopode ser configurado executando o seguinte comando:
>configurator setValue -s "LunaSA Client" -e ReceiveTimeout -v <milliseconds>
Habilitar a recuperação automáticaA recuperação automática (autoRecovery) não está habilitada por padrão.
Para habilitar a autoRecovery
• Para habilitar a autoRecovery, execute o seguinte comando:
>vtl haAdmin -autoRecovery -retry <count>
Configurar o intervalo de repetição
Para configurar o intervalo de repetição
• Para configurar o intervalo de repetição, execute o seguinte comando:
>vtl haAdmin -autoRecovery -interval <seconds>
Recuperar um HSMEsta seção explica como recuperar um HSM em um grupo de HA depois que o cliente perde conectividadecom um dos HSMs no grupo. Se a conectividade de rede for perdida, o cliente HSM interrompepermanentemente a tentativa de conexão com o HSM assim que o período de repetição for excedido.O período de repetição é number-of-retries * retry-interval, onde a configuração padrão/recomendada é realizar 10 tentativas, com intervalos de 60 segundos, para um total de 10 minutos. Depoisque o período de repetição for excedido, o cliente HSM remove o HSM desconectado do grupo de HA eesse deve ser recuperado manualmente. Siga as instruções abaixo para recuperar um HSM.
Para recuperar um HSM, execute o comando vtl haAdmin recover no cliente que perdeu conectividadecom o HSM.
vtl haAdmin recover –group <group_label> -serialNum <partition_serial>
Important
Não execute uma ressincronização manual entre os membros do grupo de HA. Para obter maisinformações, consulte Melhores práticas para perda e recuperação (p. 38).
Conexão de várias instâncias do cliente ao AWSCloudHSM Classic com um certificado
Ao usar vários servidores com o AWS CloudHSM Classic, normalmente cada servidor gera um certificadoexclusivo usando o endereço IP da instância e registra esse certificado com o AWS CloudHSM Classic;etapas adicionais devem ser tomadas para permitir que essa instância acesse o dispositivo HSM. No
112
AWS CloudHSM Classic Guia do usuárioCriação de uma AMI com a configuração do cliente HSM
entanto, é possível evitar a necessidade de criação de certificados exclusivos por servidor, criando umaAMI com a configuração do cliente HSM ou um bucket do Amazon S3. Ambas as soluções podem serusadas com grupos do Auto Scaling para permitir que as instâncias do cliente aumentem ou diminuam.Isso permite que você tenha uma camada de serviços escalável que se integra ao AWS CloudHSMClassic.
Tópicos• Criação de uma AMI com a configuração do cliente HSM (p. 113)• Criar um bucket e funções do Amazon S3 (p. 114)
Criação de uma AMI com a configuração do clienteHSMCrie uma AMI com a configuração do cliente e, em seguida, crie várias instâncias a partir da AMI. Épossível usar um nome em vez de um endereço IP ao criar o certificado no cliente HSM, e você pode criarvárias instâncias a partir da mesma AMI sem recriar ou alterar o certificado.
Note
Caso use um nome em vez de um endereço IP ao criar o certificado no cliente HSM, certifique-sede que o nome do cliente registrado no dispositivo HSM corresponda de forma exata.
Para criar uma AMI com a configuração do cliente e preparar o cliente HSM
1. Execute os comandos a seguir no cliente HSM, onde ClientCertName é o nome escolhido para ocertificado no cliente HSM.
C:\Program Files\LunaSA>vtl createCert -n ClientCertNamePrivate Key created and written to: C:\Program Files\LunaSA\cert\client\ClientCertNameKey.pemCertificate created and written to: C:\Program Files\LunaSA\cert\client\ClientCertName.pem C:\Program Files\LunaSA>pscp "%programfiles%\LunaSA\cert\client\ClientCertName.pem" [email protected]:[email protected]'s password: ClientCertName.pem | 1 kB | 1.1 kB/s | ETA: 00:00:00 | 100%
2. Execute os comandos a seguir no HSM, onde ClientName é o nome do cliente HSM eClientCertName é o nome do certificado.
[hsm6105.iad6] lunash:>c reg -c ClientName -h ClientCertName 'client register' successful. Command Result : 0 (Success)[hsm6105.iad6] lunash:>c l registered client 1: ClientName
3. Após concluir as etapas acima, crie uma AMI que inclui a configuração do cliente e, em seguida, crieuma ou mais instâncias do Amazon EC2 a partir da AMI. Cada instância do Amazon EC2 pode seconectar ao dispositivo HSM usando o mesmo certificado e as instâncias iniciadas a partir dos gruposdo Auto Scaling podem estabelecer uma conexão segura com o AWS CloudHSM Classic.
113
AWS CloudHSM Classic Guia do usuárioCriar um bucket e funções do Amazon S3
Para obter mais informações sobre como criar AMIs, consulte Criação da sua AMI no guia Guia dousuário do Amazon EC2 para instâncias do Linux.
Para obter mais informações sobre como criar instâncias a partir das AMIs, consulte Ativar suainstância no guia Guia do usuário do Amazon EC2 para instâncias do Linux.
Criar um bucket e funções do Amazon S3Caso prefira não criar uma AMI, é possível criar um bucket do Amazon S3 com os certificados e as chavesnele e, em seguida, criar uma função com uma política anexada que permite acesso somente para leituraàquele bucket, e usar a função ao iniciar a instância para o aplicativo (inclusive com o Auto Scaling). Emseguida, você pode gravar scripts na instância para acessar os arquivos do Amazon S3.
Para criar um bucket e funções do Amazon S3
1. Crie um bucket do Amazon S3. Para obter mais informações, consulte Crie um bucket no Guia deconceitos básicos do Amazon Simple Storage Service.
2. Altere as permissões no bucket do Amazon S3 para reduzir as permissões para o conjunto mínimo depessoas necessário.
3. Faça upload dos certificados no bucket do Amazon S3.4. Crie uma função para o aplicativo. Para obter mais informações, consulte Criar funções do IAM no
Guia do usuário do IAM.5. Como parte da criação da função, modifique a política da função para permitir somente o acesso para
leitura ao bucket do Amazon S3 por exemplo, "Resource": ["arn:aws:S3:::bucket/*"].6. Use a função ao iniciar o aplicativo.7. Escreva scripts na instância do aplicativo para fazer download dos arquivos de certificado do bucket
do Amazon S3.
Isso permite que você atualize os certificados com o passar do tempo, e também não exige que vocêdescubra como proteger a AMI para prevenir o vazamento de credenciais.
Para saber mais sobre como usar funções do IAM com buckets do Amazon S3, consulte Usar funçõesdo IAM para distribuir não AWS credenciais para instâncias do EC2 no Blog de segurança do AWS ouUsar funções do IAM para conceder acesso a recursos do AWS no Amazon EC2 no AWS SDK for JavaDeveloper Guide.
Aplicativo de amostraOs produtos do SafeNet Luna incluem uma API que permite usar um HSM com seu aplicativo. Veja aseguir dois aplicativos de exemplo que usam um HSM, um escrito em C e outro em Java.
Tópicos• Aplicativo de exemplo em C (p. 114)• Aplicativo de exemplo em Java (p. 115)
Aplicativo de exemplo em CO procedimento a seguir mostra como compilar um programa de exemplo que usa a biblioteca PKCS#11da SafeNet para criptografar e descriptografar uma string, usando o HSM para executar as operações decriptografia. O código-fonte do exemplo está escrito na linguagem de programação C.
114
AWS CloudHSM Classic Guia do usuárioAplicativo de exemplo em Java
Para compilar o aplicativo de exemplo em C
1. Instale os certificados e o cliente da SafeNet na instância da sua VPC, conforme descrito nas seçõesanteriores.
2. Faça o download do código-fonte do exemplo na instância.3. No UNIX/Linux, faça o seguinte:
a.$ mkdir Sample
b.$ mv P11Sample.zip Sample
c.$ cd Sample/
d.$ unzip P11Sample.zip
e.$ more README.txt
4. Siga as instruções do arquivo README.txt para instalar o modelo, gcc, definir a variável de ambienteSfntLibPath, compilar o aplicativo de exemplo e executá-lo.
Aplicativo de exemplo em JavaAs instruções a seguir mostram como usar o Luna JSP, que consiste em um único provedor de serviçoJCA/JCE, para compilar um aplicativo de exemplo em Java que usa os produtos do SafeNet Luna paraoperações de criptografia seguras.
O Luna JSP traz vários aplicativos de exemplo que mostram como usar o provedor do Luna. Instale essesaplicativos de exemplo com o software cliente da SafeNet.
Os aplicativos de exemplo incluem comentários detalhados. Para obter mais informações, acesse LunaJSP na documentação do Luna SA da SafeNet.
Caso ainda não esteja instalado, será necessário instalar o ambiente de desenvolvimento Java nainstância do cliente. Em uma instância do Amazon Linux, execute o comando a seguir.
$ sudo yum install java-devel
Para compilar e executar os aplicativos Java
1. Crie um diretório de workspaces e altere para essa pasta.
$ mkdir ~/workspaces
$ cd ~/workspaces
2. Copie o código de exemplo em Java para sua pasta de workspaces.
$ cp -r /usr/safenet/lunaclient/jsp/ luna
Isso copia a árvore do arquivo de exemplo na pasta ~/workspaces/luna.3. Altere o diretório para a pasta de exemplos do luna.
115
AWS CloudHSM Classic Guia do usuárioGuia de atualização do AWS CloudHSM Classic
$ cd luna/samples
4. Atualize a senha da partição do HSM no código de exemplo em Java. Durante os exemplos, a senhauserpin é usada como senha da partição. Encontre todas as ocorrências do userpin no código deexemplo e as substitua pela sua senha da partição.
5. Compile o código de exemplo.
$ javac -classpath .:../lib/LunaProvider.jar ./com/safenetinc/luna/sample/*.java
6. Adicione o LunaProvider ao arquivo java.security.
a. Abra o arquivo em um editor de textos.
$ sudo vi $JAVA_HOME/lib/security/java.security
b. Adicione a linha a seguir após a última entrada do security.provider. Substitua<priority_order> pelo número de prioridade desejado.
security.provider.<priority_order>=com.safenetinc.luna.provider.LunaProvider
7. Execute o exemplo desejado. O comando a seguir executa o exemplo KeyStoreLunaDemo.
$ java -Djava.library.path=../lib/ -classpath .:../lib/LunaProvider.jar:../lib/libLunaAPI.so com.safenetinc.luna.sample.KeyStoreLunaDemo
Para obter mais informações, consulte os seguintes tópicos da documentação do Luna SA da SafeNet:
• Luna Java Security Provider (Luna JSP)• Instalação no Linux• Java
Guia de atualização do AWS CloudHSM ClassicUse as informações deste guia para atualizar o HSM (dispositivo) do Luna SA do AWS CloudHSM Classice o software cliente, assim como o firmware do HSM.
Note
Os caminhos de atualização detalhados neste guia são as únicas atualizações que o AWSCloudHSM Classic suporta. Qualquer versão de software ou firmware não documentada nesteguia não são compatíveis. Caso precise de uma versão de software ou firmware diferente, abraum processo de suporte na AWS Support Center.
Tópicos• Atualizar o software do HSM (p. 116)• Atualizar o firmware do HSM (p. 121)
Atualizar o software do HSMSiga estas etapas para atualizar o software AWS CloudHSM Classic Luna SA HSM (appliance) paraa versão mais recente, 5.3.13. Após a conclusão da atualização, use a documentação de produto da
116
AWS CloudHSM Classic Guia do usuárioAtualizar o software do HSM
SafeNet para a versão 5.3 do Luna SA, que pode ser encontrada em http://cloudhsm-safenet-docs-5.3.s3-website-us-east-1.amazonaws.com/.
Antes de continuar, observe os seguintes problemas que você pode encontrar.
• Se o nome do cliente usado para conexões NTLS tem um T maiúsculo ("T") como o oitavo caractere donome, o cliente não funcionará após a atualização. Para evitar esse problema, altere o nome do clienteantes de executar a atualização.
• A configuração do syslog para o dispositivo HSM será perdida. Após concluir a atualização, notifique aequipe do AWS CloudHSM Classic enviando um e-mail para [email protected] eatualizaremos a configuração do syslog para você.
Para atualizar a versão 5.3.13 do software do HSM (dispositivo) do Luna SA
1. Atualizar o software cliente do Luna SA para a versão 5.4 (p. 117).2. Faça o backup de todo o material de chaves no HSM para outro HSM ou em um HSM de
backup (p. 45).3. Atualizar o software cliente do Luna SA da versão 5.1.X para a versão 5.1.5 (p. 118).4. Atualizar o software cliente do Luna SA da versão 5.1.5 ou 5.3.X para a versão 5.3.10 (p. 119).5. Atualizar o software cliente do Luna SA da versão 5.3.10 para a versão 5.3.13 (p. 120).
Atualizar o software cliente para a versão 5.4Para atualizar o software cliente do Luna SA para a versão 5.4, siga o procedimento adequado para o seusistema operacional. Execute as etapas em todos os clientes que usam o HSM.
Para atualizar o software cliente no Linux
1. Encerre todos os aplicativos e serviços que estão usando o HSM.2. Execute /usr/lunasa/bin/uninstall.sh como raiz para desinstalar a versão existente do software cliente.
O arquivo de configuração será preservado em /etc/Christoki.conf.rpmsave, e os certificadosserão preservados no diretório /usr/lunasa/cert. Não exclua esses arquivos.
3. Faça o download do pacote do software cliente em https://s3.amazonaws.com/cloudhsm-safenet-client/SafeNet-Luna-Client-5-4-9.zip e, em seguida, extraia o arquivo.
4. Execute SafeNet-Luna-Client-5-4-9/linux/64/install.sh como raiz e selecione a opção Luna SA. Porpadrão, isso instala o software cliente em um diretório diferente do usado para a versão original.
5. Mova os certificados originais do diretório /usr/lunasa/cert para o diretório /usr/safenet/lunaclient/cert.
6. Edite as seguintes entradas no arquivo /etc/Christoki.conf. Modifique os caminhos de acordocom o novo local de instalação. Por exemplo, se o valor original para ClientCertFile era /usr/lunasa/cert/client/linux_client.pem, altere para /usr/safenet/lunaclient/cert/client/linux_client.pem.
ClientCertFile
Defina para o caminho do arquivo de certificado do cliente movido na etapa anterior.ClientPrivKeyFile
Defina para o caminho do arquivo de chave privada do cliente movido na etapa anterior.ServerCAFile
Defina para o caminho do arquivo do CA do servidor movido na etapa anterior.
117
AWS CloudHSM Classic Guia do usuárioAtualizar o software do HSM
SSLConfigFile
Defina para o caminho do arquivo openssl.cnf no diretório /usr/safenet/lunaclient/bin.
7. Se necessário, atualize a variável de ambiente PATH para que aponte para o diretório /usr/safenet/lunaclient/bin.
Para atualizar o software cliente no Windows
1. Encerre todos os aplicativos e serviços que estão usando o HSM.2. Se o software cliente existente é a versão 5.4.1 ou 5.4.2, vá para a próxima etapa.
Se o software cliente existente é uma versão anterior a 5.4.1, desinstale o software cliente e ospatches usando o serviço Programas e Recursos no Painel de Controle do Windows. O arquivo deconfiguração será preservado em chrystoki.ini, e os certificados serão preservados no diretórioProgram Files\LunaSA. Não exclua esses arquivos.
3. Faça o download do pacote do software cliente em https://s3.amazonaws.com/cloudhsm-safenet-client/SafeNet-Luna-Client-5-4-9.zip e, em seguida, extraia o arquivo.
4. Execute SafeNet-Luna-Client-5-4-9\win\64\LunaClient.msi e selecione a opção Luna SA. Por padrão,isso instala o software cliente em um diretório diferente do usado para a versão original. O arquivo deconfiguração e os certificados existentes serão preservados no diretório original.
5. Mova os certificados originais do diretório C:\Program Files\LunaSA\cert para o diretório C:\Program Files\SafeNet\LunaClient\cert.
6. Copie as seguintes entradas do arquivo original chrystoki.ini para o novo arquivo C:\ProgramFiles\SafeNet\LunaClient\chrystoki.ini. Modifique os caminhos de acordo com o novolocal de instalação. Por exemplo, se o valor original para ClientCertFile era C:\Program Files\LunaSA\cert\client\windows_client.pem, altere para C:\Program Files\SafeNet\LunaClient\cert\client\windows_client.pem.
ClientCertFile
Defina para o caminho do arquivo de certificado do cliente movido na etapa anterior.ClientPrivKeyFile
Defina para o caminho do arquivo de chave privada do cliente movido na etapa anterior.Todas as entradas ServerName*Todas as entradas ServerPort*
7. Se necessário, atualize a variável de ambiente PATH para que aponte para o diretório C:\ProgramFiles\SafeNet\LunaClient\.
Atualizar o software de dispositivo para a versão 5.1.5Para atualizar o software de dispositivo do Luna SA da versão 5.1.X para a versão 5.1.5, execute asseguintes etapas em uma instância do cliente que tenha conectividade IP com o dispositivo HSM.
Para atualizar o software de dispositivo do Luna SA
1. Encerre todos os aplicativos e serviços que estão usando o HSM.2. Faça download do pacote de atualização do software de dispositivo do Luna em https://
s3.amazonaws.com/cloudhsm-software/630-010165-018_REVA.tar e, em seguida, extraia os arquivosdo ficheiro.
118
AWS CloudHSM Classic Guia do usuárioAtualizar o software do HSM
3. Use o comando a seguir para copiar o arquivo lunasa_update-5.1.5-2.spkg para o dispositivoHSM, onde <private_key_file> é a parte privada da chave SSH fornecida quando o HSM foiprovisionado.
$ scp -i <private_key_file> lunasa_update-5.1.5-2.spkg manager@<hsm_ip_address>:
4. Use os seguintes comandos para se conectar ao dispositivo HSM e, em seguida, faça o login.
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
5. Use os seguintes comandos para verificar e, em seguida, instale a atualização do softwarede dispositivo do Luna SA. O valor a ser usado para <auth_code> está no arquivolunasa_update-5.1.5-2.auth contido no arquivo 630-010165-018_REVA.tar.
lunash:> package verify lunasa_update-5.1.5-2.spkg -authcode <auth_code>
lunash:> package update lunasa_update-5.1.5-2.spkg -authcode <auth_code>
6. Use o seguinte comando para reiniciar o dispositivo HSM.
lunash:> sysconf appliance reboot
Atualizar o software de dispositivo para a versão 5.3.10Para atualizar o software de dispositivo do Luna SA da versão 5.1.5 ou 5.3.X para a versão 5.3.10, executeas seguintes etapas em uma instância do cliente que tenha conectividade IP com o dispositivo HSM.
Para atualizar o software de dispositivo do Luna SA
1. Encerre todos os aplicativos e serviços que estão usando o HSM.2. Faça o download do pacote de atualização do software de dispositivo do Luna em https://
s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-SA-5-3-10.zip e, em seguida, extraia osarquivos do ficheiro.
3. Use o comando a seguir para copiar o arquivo lunasa_update-5.3.10-7.spkg para o dispositivoHSM, onde <private_key_file> é a parte privada da chave SSH fornecida quando o HSM foiprovisionado.
$ scp -i <private_key_file> lunasa_update-5.3.10-7.spkg manager@<hsm_ip_address>:
4. Use os seguintes comandos para se conectar ao dispositivo HSM e, em seguida, faça o login.
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
5. Use os seguintes comandos para verificar e, em seguida, instale a atualização do softwarede dispositivo do Luna SA. O valor a ser usado para <auth_code> está no arquivolunasa_update-5.3.10-7.auth contido no arquivo SafeNet-Luna-SA-5-3-10.zip.
lunash:> package verify lunasa_update-5.3.10-7.spkg -authcode <auth_code>
lunash:> package update lunasa_update-5.3.10-7.spkg -authcode <auth_code>
6. Use o seguinte comando para reiniciar o dispositivo HSM.
119
AWS CloudHSM Classic Guia do usuárioAtualizar o software do HSM
lunash:> sysconf appliance reboot
Atualizar o software de dispositivo para a versão 5.3.13Para atualizar o software de dispositivo do Luna SA da versão 5.3.10 para a versão 5.3.13, execute asseguintes etapas em uma instância do cliente que tenha conectividade IP com o dispositivo HSM.
Para atualizar o software de dispositivo do Luna SA
1. Encerre todos os aplicativos e serviços que estão usando o HSM.2. Faça o download do pacote de atualização do software de dispositivo do Luna em https://
s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-SA-5-3-13.zip e, em seguida, extraia osarquivos do ficheiro.
3. Use o comando a seguir para copiar o arquivo lunasa_update-5.3.13-1.spkg para o dispositivoHSM, onde <private_key_file> é a parte privada da chave SSH fornecida quando o HSM foiprovisionado.
$ scp -i <private_key_file> lunasa_update-5.3.13-1.spkg manager@<hsm_ip_address>:
4. Use os seguintes comandos para se conectar ao dispositivo HSM e, em seguida, faça o login.
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
5. Use os seguintes comandos para verificar e, em seguida, instale a atualização do softwarede dispositivo do Luna SA. O valor a ser usado para <auth_code> está no arquivolunasa_update-5.3.13-1.auth contido no arquivo SafeNet-Luna-SA-5-3-13.zip.
lunash:> package verify lunasa_update-5.3.13-1.spkg -authcode <auth_code>
lunash:> package update lunasa_update-5.3.13-1.spkg -authcode <auth_code>
6. Caso não precise de validação FIPS, aceite a atualização de firmware para a versão 6.20.2.
Caso precise de validação FIPS, não aceite a atualização de firmware. Após concluir a atualização dosoftware de dispositivo, consulte Atualizar o firmware do HSM (p. 121).
7. Use o seguinte comando para reiniciar o dispositivo HSM.
lunash:> sysconf appliance reboot
Desabilitar a verificação de IP NTLS
Após a atualização do HSM, é necessário desabilitar a verificação de IP NTLS para permitir que o HSMopere dentro da VPC. Para fazer isso, execute o seguinte comando do shell de dispositivo HSM.
lunash:> ntls ipcheck disable
120
AWS CloudHSM Classic Guia do usuárioAtualizar o firmware do HSM
Atualizar o firmware do HSMSe o HSM está executando uma versão de firmware anterior às da lista a seguir, siga estas instruções paraatualizar para a versão mais recente suportada. Antes de continuar, escolha qual versão do firmware doHSM será instalada. As seguintes opções estão disponíveis:
• 6.10.9 (validada pelo FIPS)• 6.20.2 (versão mais recente, não validada pelo FIPS)
Caso não necessite de validação FIPS, recomendamos que instale a versão 6.20.2 do firmware. Siga asinstruções para atualizar o software do dispositivo para a versão 5.3.13 (p. 120) e aplique a atualizaçãodo firmware quando ela for oferecida.
Caso precise de validação FIPS, use as etapas a seguir para atualizar o firmware para a versão 6.10.19.
Para atualizar o firmware do HSM para a versão 6.10.9
1. Faça o download do pacote de atualização do firmware do Luna SA em https://s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-FW-6-10-9.zip e, em seguida, extraia os arquivos do ficheiro.
2. Use o comando a seguir para copiar o arquivo 630-010430-010_SPKG_LunaFW_6.10.9.spkgpara o dispositivo HSM, onde <private_key_file> é a parte privada da chave SSH fornecidaquando o HSM foi provisionado.
$ scp -i <private_key_file> 630-010430-010_SPKG_LunaFW_6.10.9.spkg manager@<hsm_ip_address>:
3. Use os comandos a seguir para se conectar ao dispositivo HSM e, em seguida, faça o login no HSM.
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
4. Use o comando a seguir para instalar o pacote do firmware. O valor a ser usado para <auth_code>está no arquivo 630-010430-010_SPKG_LunaFW_6.10.9.auth contido no arquivo SafeNet-Luna-FW-6-10-9.zip.
lunash:> package update 630-010430-010_SPKG_LunaFW_6.10.9.spkg -authcode <auth_code>
5. Use o comando a seguir para atualizar o firmware do dispositivo HSM.
lunash:> hsm update firmware
6. Use o seguinte comando para reiniciar o dispositivo HSM.
lunash:> sysconf appliance reboot
121
AWS CloudHSM Classic Guia do usuário
Histórico do documentoA tabela a seguir descreve as mudanças importantes na documentação deste lançamento do AWSCloudHSM Classic.
• Última atualização da documentação: 14 de agosto de 2017
Mudança Descrição Alterado em
Atualização Guia renomeado para Guia deUsuário do AWS CloudHSMClassic. Publicado o novo Guiade Usuário do AWS CloudHSM.
14 de agosto de 2017
Atualização Atualização das instruções e dasversões de firmware suportadasno Guia de atualização do AWSCloudHSM Classic (p. 116).
27 de janeiro de 2017
Atualização Atualização das instruções edas versões de software doaplicativo Luna SA no Guia deatualização do AWS CloudHSMClassic (p. 116).
20 de janeiro de 2017
Atualização Adicionado suporte para a regiãoCanadá (Central).
8 de dezembro de 2016
Atualização Adicionado suporte para a regiãoLeste dos EUA (Ohio).
17 de outubro de 2016
Atualização Adicionado suporte para aregião Oeste dos EUA (Norte daCalifórnia).
20 de setembro de 2016
Atualização Atualização das instruções paraConfiguração automática doambiente do AWS CloudHSMClassic usando o AWSCloudFormation (p. 6).
Atualização das instruçõespara Configurar o ambientedo AWS CloudHSM Classicmanualmente (p. 9).
Atualização das instruções paraConfiguração de um cliente HSMno Linux (p. 29).
Atualização das instruções paraConfiguração de um cliente HSMno Windows (p. 31).
15 de setembro de 2016
122
AWS CloudHSM Classic Guia do usuário
Mudança Descrição Alterado emAtualização das instruçõesque explicam como Atualizar osoftware cliente para a versão5.4 (p. 117).
Atualização Modificação das instruçõespara Instalar as ferramentas daILC (p. 17).
18 de novembro de 2015
Atualização Adicionadas informações sobreo Conformidade com o Padrãode segurança de dados (DSS)da Indústria de cartões depagamento (PCI) (p. 1) paraAWS CloudHSM.
28 de outubro de 2015
Atualização Simplificação das instruções paraconfigurar um ambiente do AWSCloudHSM automaticamenteusando o AWS CloudFormation.Para obter mais detalhes,consulte Configurar oambiente do AWS CloudHSMClassic usando o AWSCloudFormation (p. 8).
23 de julho de 2015
Atualização Adição de novas instruçõespara instalar as ferramentasda CLI do AWS CloudHSMno Amazon Linux. Para obtermais detalhes, consulte Instalaras ferramentas da ILC AWSCloudHSM Classic (p. 18).
Atualização da configuraçãodo SSH recomendada parase conectar a um dispositivoHSM. Para obter mais detalhes,consulte Conexões SSH (p. 20).
Adição de um novo limite paradispositivos HSM e correção deoutros limites. Para obter maisdetalhes, consulte Limites doAWS CloudHSM Classic (p. 104).
10 de julho de 2015
Atualização Adição de novas versões defirmware do HSM suportadas eatualização das recomendaçõese instruções para atualizar ofirmware do HSM. Para obtermais detalhes, consulte Atualizaro firmware do HSM (p. 121).
9 de julho de 2015
123
AWS CloudHSM Classic Guia do usuário
Mudança Descrição Alterado em
Atualização Adicionado suporte para asregiões Ásia-Pacífico (Cingapura)e Ásia-Pacífico (Tóquio).
8 de junho de 2015
Nome do novo guia
Adição da CLI do AWSCloudHSM
O Guia de conceitos básicosdo AWS CloudHSM agora é oAWS CloudHSM User Guide.Isso inclui uma reescrita e umareestruturação fundamental doguia.
Consulte a documentaçãoda interface da linha decomando em AWS CloudHSMCommand Line Interface ToolsReference (p. 57).
8 de janeiro de 2015
Atualização Adição de suporte para asregiões Oeste dos EUA (Oregon)e Ásia-Pacífico (Sydney); novasseções sobre alta disponibilidadee balanceamento de carga;novas seções sobre recursospara implantação e integraçãoaos aplicativos de terceiros;e instruções sobre como usarum novo modelo do AWSCloudFormation para configurar oambiente do AWS CloudHSM.
5 de novembro de 2013
Versão inicial Primeira versão do Guia deconceitos básicos do AWSCloudHSM.
26 de março de 2013
124
