AWS CloudHSM ClassicGuide de l'utilisateur

AWS CloudHSM Classic Guide de l'utilisateur

AWS CloudHSM Classic: Guide de l'utilisateurCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS CloudHSM Classic Guide de l'utilisateur

Table of Contents........................................................................................................................................................ v

Qu'est-ce qu'AWS CloudHSM Classic ? ................................................................................................. 1Conformité à la norme PCI (Payment Card Industry) DSS (Data Security Standard) ............................... 1Tarification ................................................................................................................................. 1Services connexes ...................................................................................................................... 1Pour obtenir une aide supplémentaire ............................................................................................ 2

Configuration ...................................................................................................................................... 3Créez un compte AWS. ............................................................................................................... 3Créer un utilisateur IAM ............................................................................................................... 3Contrôle de l'accès ..................................................................................................................... 5Configuration de l'environnement .................................................................................................. 6

Configuration à l'aide de AWS CloudFormation ....................................................................... 6Configuration manuelle ...................................................................................................... 10

Génération d'une clé SSH .......................................................................................................... 15Génération d'une clé SSH sous Linux .................................................................................. 15Génération d'une clé SSH sous Windows ............................................................................. 16Exemple de clé publique SSH ............................................................................................ 16Copie de la clé privée ....................................................................................................... 16

Configuration des outils d'interface de ligne de commande .............................................................. 17Installation des outils d'interface de ligne de commande .......................................................... 18Configuration des outils d'interface de ligne de commande ...................................................... 20

Mise en route ................................................................................................................................... 25Mise en service de vos HSM ...................................................................................................... 26Configuration de vos HSM ......................................................................................................... 27

Obtenir l'identifiant ENI et l'adresse IP du HSM ..................................................................... 28Appliquer le groupe de sécurité .......................................................................................... 28Initialiser le HSM .............................................................................................................. 29Connecter votre HSM sur site ............................................................................................. 30

Configuration de votre client AWS CloudHSM Classic .................................................................... 30Configuration d'un client Linux HSM .................................................................................... 30Configuration d'un client HSM Windows ............................................................................... 33

Bonnes pratiques .............................................................................................................................. 36Bonnes pratiques d'ordre général ................................................................................................ 36Bonnes pratiques des mots de passe .......................................................................................... 36Feuille de calcul de mot de passe ............................................................................................... 37

Opérations et maintenance ................................................................................................................. 38Haute disponibilité et équilibrage de charge .......................................................................................... 39

Bonnes pratiques pour la haute disponibilité et l'équilibrage de charge .............................................. 40Bonnes pratiques d'ordre général ........................................................................................ 40Bonnes pratiques pour la perte et la récupération .................................................................. 40

Création d'un groupe de partitions haute disponibilité ..................................................................... 42Création d'un groupe de partitions haute disponibilité ............................................................. 43Enregistrer le client ........................................................................................................... 44

Réplication de clés ............................................................................................................................ 46Sauvegarde et restauration des données HSM ...................................................................................... 47

Sauvegarde des données HSM sous Windows .............................................................................. 47Restauration des données HSM à partir d'un HSM de sauvegarde Luna ............................................ 48

Intégration des applications tierces à AWS CloudHSM Classic ................................................................. 50Chiffrement TDE (Transparent Data Encryption) avec AWS CloudHSM Classic ................................... 50

Chiffrement TDE d'Oracle Database avec AWS CloudHSM Classic ........................................... 50Microsoft SQL Server avec AWS CloudHSM Classic .............................................................. 51

Chiffrement de volume pour Amazon Elastic Block Store ................................................................ 51Chiffrement avec Amazon Simple Storage Service (S3) et SafeNet KeySecure ................................... 51

iii

AWS CloudHSM Classic Guide de l'utilisateur

Configuration de la terminaison SSL sur un serveur Web Apache avec des clés privées stockées dansAWS CloudHSM Classic ............................................................................................................ 51Création de vos propres applications ........................................................................................... 52

Arrêt de l'utilisation d'un HSM ............................................................................................................. 53Documentation SafeNet Luna SA ........................................................................................................ 54Connexion CloudTrail ........................................................................................................................ 55

Informations AWS CloudHSM Classic dans CloudTrail .................................................................... 55Présentation des entrées des fichiers journaux AWS CloudHSM Classic ............................................ 55

Dépannage de AWS CloudHSM Classic ............................................................................................... 57Mon HSM ne fonctionne pas. Que puis-je faire ? ........................................................................... 57Comment remettre à zéro mon HSM ........................................................................................... 57Remplacer un HSM ................................................................................................................... 57

Référence de l'interface de ligne de commande .................................................................................... 59Mise à jour des outils ................................................................................................................ 59Référence des commandes d'interface de ligne de commande ......................................................... 59

add-hsm-to-hapg ............................................................................................................... 60clone-hapg ....................................................................................................................... 63clone-hsm ........................................................................................................................ 65create-client ..................................................................................................................... 68créer-hapg ....................................................................................................................... 70create-hsm ....................................................................................................................... 72delete-client ...................................................................................................................... 75delete-hapg ...................................................................................................................... 76delete-hsm ....................................................................................................................... 78deregister-client-from-hapg ................................................................................................. 80describe-client .................................................................................................................. 82describe-hapg ................................................................................................................... 84describe-hsm .................................................................................................................... 86get-client-configuration ....................................................................................................... 87initialize-hsm .................................................................................................................... 90list-clients ......................................................................................................................... 92list-hapgs ......................................................................................................................... 94list-hsms .......................................................................................................................... 96modify-hsm ...................................................................................................................... 97register-client-to-hapg ....................................................................................................... 100remove-hsm-from-hapg .................................................................................................... 102Version .......................................................................................................................... 104

Dépannage ............................................................................................................................. 105RuntimeError : Luna demande un mot de passe. .................................................................. 105La commande delete-hsm semble aboutir, mais le HSM n'est pas supprimé. ............................. 105

Limites ........................................................................................................................................... 106Annexes ........................................................................................................................................ 107

Mise en route manuelle ............................................................................................................ 107Mise en service manuelle d'un HSM .................................................................................. 107Initialisation manuelle d'un HSM ........................................................................................ 107Haute disponibilité ........................................................................................................... 109

Connexion de plusieurs instances client à AWS CloudHSM Classic avec un seul certificat ................... 115Création d'une AMI avec la configuration du client HSM ........................................................ 115Création d'un compartiment Amazon S3 et des rôles ............................................................ 116

Exemple d'application .............................................................................................................. 117Exemple d'application avec C ........................................................................................... 117Exemple d'application avec Java ....................................................................................... 117

Guide de mise à niveau AWS CloudHSM Classic ........................................................................ 119Mise à niveau du logiciel HSM .......................................................................................... 119Mise à jour du microprogramme HSM ................................................................................ 123

Historique du document ................................................................................................................... 125

iv

AWS CloudHSM Classic Guide de l'utilisateur

Il s'agit du guide de l'utilisateur pour AWS CloudHSM Classic. Pour obtenir la dernière version, consultez lemanuel AWS CloudHSM User Guide.

v

AWS CloudHSM Classic Guide de l'utilisateurConformité à la norme PCI (Payment Card

Industry) DSS (Data Security Standard)

Qu'est-ce qu'AWS CloudHSMClassic ?

Un module de sécurité matériel (HSM, Hardware Security Module) est une appliance matérielle qui offreun stockage de clé et des opérations de chiffrement sécurisé au sein d'un module matériel inviolable. LesHSM garantissent un stockage sécurisé des clés cryptographiques et les utilisent uniquement au sein de lalimite cryptographique de l'appliance.

AWS CloudHSM Classic vous permet de respecter les exigences professionnelles, contractuelles etréglementaires relatives à la sécurité des données en mettant à votre disposition des appliances HSMdédiées dans le cloud AWS. Les partenaires AWS et AWS Marketplace offrent une série de solutions enmatière de protection des données sensibles au sein de la plateforme AWS. Toutefois, une protectionsupplémentaire est nécessaire pour certaines applications et données qui sont soumises à des exigencescontractuelles ou réglementaires strictes en termes de gestion des clés de chiffrement.

Jusqu'à présent, les seules options qui s'offraient à vous consistaient à conserver les données sensiblesou les clés de chiffrement protégeant ces données dans vos centres de données sur site. Cependant, cesoptions vous empêchaient de procéder à la migration de ces applications vers le cloud ou ralentissaientfortement les performances de ces applications. AWS CloudHSM Classic vous permet de protéger vos clésde chiffrement dans des HSM conformes aux normes gouvernementales relatives à la gestion sécuriséedes clés. Vous pouvez générer, stocker et gérer de manière sécurisée les clés de chiffrement utilisées pourle chiffrement des données, afin d'être le seul à pouvoir accéder à ces clés. Avec AWS CloudHSM Classic,vous êtes en mesure de respecter les exigences strictes en termes de gestion des clés dans le cloud AWSsans que les performances de vos applications en pâtissent.  

Conformité à la norme PCI (Payment Card Industry)DSS (Data Security Standard)

AWS CloudHSM Classic prend en charge le traitement, le stockage et la transmission des données decartes bancaires par un commerçant ou un fournisseur de services, et a été validé comme étant conformeà la norme PCI (Payment Card Industry) DSS (Data Security Standard). Pour plus d'information sur PCIDSS, et notamment sur la manière de demander une copie de l'AWS PCI Compliance Package, consultezPCI DSS, niveau 1.

TarificationPour plus d'informations sur la tarification, consultez Tarification AWS CloudHSM Classic.

Services connexesAWS CloudHSM Classic fonctionne avec Amazon Virtual Private Cloud (Amazon VPC). Lesappliances HSM sont mises en service dans votre VPC avec l'adresse IP que vous spécifiez. Vousdisposez ainsi d'une connexion réseau simple et privée pour vos instances EC2. En plaçant lesappliances HSM à proximité de vos instances EC2, vous réduisez la latence du réseau, ce qui permet

1

AWS CloudHSM Classic Guide de l'utilisateurPour obtenir une aide supplémentaire

d'améliorer les performances de vos applications. Vos appliances HSM sont dédiées exclusivement àvous-même et les autres clients AWS n'y ont pas accès. Disponible dans plusieurs régions et zones dedisponibilité, AWS CloudHSM Classic peut être utilisé pour créer des applications hautement disponibles etdurables.

Pour plus d'informations sur Amazon VPC, consultez En quoi consiste VPC ? dans le Amazon VPC Guidede l'utilisateur.

Pour obtenir une aide supplémentaireNous vous conseillons de consulter les forums de discussion d'AWS. Ce sont des forums communautairesdestinés aux utilisateurs qui ont des questions techniques concernant les services AWS. Pour consulter leforum dédié à AWS CloudHSM et à AWS CloudHSM Classic, accédez à https://forums.aws.amazon.com/forum.jspa?forumID=156.

Vous pouvez également obtenir de l'aide en adhérant au programme AWS Premium Support, qui est unservice d'assistance individuelle rapide (pour en savoir plus, consultez la page https://aws.amazon.com/premiumsupport).

2

AWS CloudHSM Classic Guide de l'utilisateurCréez un compte AWS.

Configuration de AWS CloudHSMClassic

Avant de pouvoir utiliser AWS CloudHSM Classic, vous devez posséder un compte AWS et unenvironnement spécifique dans lequel vos appliances HSM sont mises en service.

Rubriques• Créez un compte AWS. (p. 3)• Créer un utilisateur IAM (p. 3)• Contrôle de l'accès aux ressources AWS CloudHSM Classic (p. 5)• Configuration de l'environnement AWS CloudHSM Classic (p. 6)• Génération d'une clé SSH (p. 15)• Configuration des outils d'interface de ligne de commande AWS CloudHSM Classic (p. 17)

Créez un compte AWS.Votre compte AWS vous donne accès à tous les services, mais seules les ressources que vous utilisezvous sont facturées.

Si vous n'avez pas de compte AWS, suivez la procédure suivante pour en créer un.

Pour s'inscrire sur AWS

1. Ouvrez https://aws.amazon.com/, puis choisissez Create an AWS Account.2. Suivez les instructions en ligne.

Les informations d'identification de votre compte racine vous identifient aux services dans AWS et vousaccordent une utilisation illimitée de vos ressources AWS. Pour permettre aux autres utilisateurs degérer les ressources AWS CloudHSM Classic sans partager vos informations d'identification, utilisezAWS Identity and Access Management (IAM). Nous recommandons que tout le monde travaille en tantqu'utilisateur IAM, même le propriétaire du compte. Vous devez créer un utilisateur IAM pour vous-même,accorder à cet utilisateur IAM des privilèges d'administrateur et l'utiliser pour tout votre travail. Pour plusd'informations, consultez Contrôle de l'accès aux ressources AWS CloudHSM Classic (p. 5).

Créer un utilisateur IAML'API AWS CloudHSM Classic et les outils d'interface de ligne de commande nécessitent vos clésd'accès afin que le service puisse déterminer si vous avez l'autorisation d'accéder à ses ressources. Vouspouvez créer des clés d'accès pour votre compte AWS afin d'accéder à l'API ou à l'interface de ligne decommande. Cependant, nous vous recommandons d'éviter d'accéder à AWS en utilisant vos clés d'accèsau compte AWS racine. Nous vous conseillons plutôt d'utiliser AWS Identity and Access Management(IAM) pour créer un utilisateur IAM et d'ajouter l'utilisateur IAM à un groupe IAM avec les autorisationsadministratives requises. Cette opération accorde à l'utilisateur IAM les autorisations administratives.Utilisez ensuite les clés d'accès pour l'utilisateur IAM avec l'API et l'interface de ligne de commande AWSCloudHSM Classic.

3

AWS CloudHSM Classic Guide de l'utilisateurCréer un utilisateur IAM

Si vous êtes inscrit à AWS, mais que vous n'avez pas créé d'utilisateur IAM pour vous-même, vous pouvezle faire avec la console IAM.

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs(console)

1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Utilisateur racineet en saisissant l'adresse e-mail de votre compte AWS. Sur la page suivante, saisissez votre mot depasse.

Note

Nous vous recommandons vivement de respecter la bonne pratique qui consiste àavoir recours à l'utilisateur Administrator IAM ci-dessous et à mettre en sécurité lesinformations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racinepour effectuer certaines tâches de gestion des comptes et des services.

2. Dans le panneau de navigation, choisissez Utilisateurs, puis Add user (Ajouter un utilisateur).3. Dans User name (Nom d'utilisateur), entrez Administrator.4. Cochez la case en regard de AWS Management Console access. Puis, sélectionnez Custom

password (Mot de passe personnalisé, et entrez votre nouveau mot de passe dans la zone de texte.5. Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première

connexion. Décochez la case en regard de User must create a new password at next sign-in(L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvelutilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

6. Choisissez Next: Permissions (Suivant : Autorisations).7. Sous Set permissions (Accorder des autorisations), choisissez Add user to group (Ajouter un utilisateur

au groupe).8. Choisissez Create group.9. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), tapez

Administrators.10. Choisissez Filter policies (Filtrer les stratégies), puis sélectionnez AWS managed -job function

(Fonction -job gérée par) pour filtrer le contenu de la table.11. Dans la liste des stratégies, cochez la case AdministratorAccess. Choisissez ensuite Create group.

Note

Vous devez activer l'accès des rôles et utilisateurs IAM à la facturation avant de pouvoirutiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing andCost Management. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant surcomment déléguer l'accès à la console de facturation.

12. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refreshsi nécessaire pour afficher le groupe dans la liste.

13. Choisissez Next: Tags (Suivant : Balises).14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-

valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des entitésIAM dans le IAM Guide de l'utilisateur.

15. Choisissez Next: Review pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur.Une fois que vous êtes prêt à continuer, choisissez Create user.

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vosutilisateurs l'accès aux ressources de votre compte AWS. Pour en savoir plus sur l'utilisation des stratégiesafin de limiter les autorisations d'accès des utilisateurs à certaines ressources AWS, consultez Gestion desaccès et Exemples de stratégies.

4

AWS CloudHSM Classic Guide de l'utilisateurContrôle de l'accès

Pour vous connecter en tant que nouvel utilisateur IAM, déconnectez-vous de AWS Management Console,puis utilisez l'URL suivante, où <your_aws_account_id> désigne votre numéro de compte AWS sansles traits d'union (par exemple, si votre numéro de compte AWS est 1234-5678-9012, votre ID de compteAWS est 123456789012) :

https://<your_aws_account_id>.signin.aws.amazon.com/console/

Saisissez le nom utilisateur et le mot de passe IAM que vous venez de créer. Lorsque vous êtes connecté,la barre de navigation affiche « <your_user_name> @ <your_aws_account_id> ».

Si vous ne voulez pas que l'URL de votre page de connexion contienne votre ID de compte AWS, vouspouvez créer un alias de compte. Sur le tableau de bord IAM, cliquez sur Customize (Personnaliser) etentrez un alias, par exemple le nom de votre société. Pour vous connecter après avoir créé un alias decompte, utilisez l'URL suivante :

https://<your_account_alias>.signin.aws.amazon.com/console/

Pour plus d'informations sur l'utilisation des stratégies IAM pour contrôler l'accès à vos ressources AWSDirectory Service, consultez Contrôle de l'accès aux ressources AWS CloudHSM Classic (p. 5).

Contrôle de l'accès aux ressources AWSCloudHSM Classic

Par défaut, les utilisateurs IAM ne disposent pas d'autorisations sur les opérations AWS CloudHSMClassic. Pour permettre aux utilisateurs IAM de gérer les opérations AWS CloudHSM Classic, vous devezcréer une stratégie IAM qui donne explicitement aux utilisateurs IAM l'autorisation d'utiliser certainesopérations AWS CloudHSM Classic et attacher la stratégie aux utilisateurs ou groupes IAM qui requièrentces autorisations. Pour plus d'informations sur les stratégies IAM, consultez Autorisations et stratégiesdans le manuel IAM Guide de l'utilisateur.

La déclaration de stratégie suivante donne à un utilisateur ou à un groupe l'autorisation d'utiliser toutes lesopérations AWS CloudHSM Classic.

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : "cloudhsm:*", "Resource" : "*" } ]}

La déclaration de stratégie suivante donne à un utilisateur ou à un groupe les autorisations nécessairespour utiliser les opérations de lecture des ressources AWS CloudHSM Classic.

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "cloudhsm:Get*", "cloudhsm:List*",

5

AWS CloudHSM Classic Guide de l'utilisateurConfiguration de l'environnement

"cloudhsm:Describe*" ], "Resource" : "*" } ]}

Pour plus d'informations sur IAM, consultez les ressources suivantes :

• Identity and Access Management (IAM)• IAM Guide de l'utilisateur

Configuration de l'environnement AWS CloudHSMClassic

AWS CloudHSM Classic requiert l'environnement suivant avant de mettre en service une appliance HSM.

• Un virtual private cloud (VPC) dans la région où vous voulez le service AWS CloudHSM Classic. Pourplus d'informations sur Amazon VPC, consultez En quoi consiste VPC ? dans le Amazon VPC Guide del'utilisateur.

• Un sous-réseau privé (un sous-réseau sans aucune passerelle Internet) dans le VPC. L'appliance HSMest mise en service dans ce sous-réseau.

• Un sous-réseau public (un sous-réseau avec une passerelle Internet liée). Les instances de contrôle sontliées à ce sous-réseau.

• Un rôle AWS Identity and Access Management (IAM) qui délègue l'accès à vos ressources AWS àAWS CloudHSM Classic. Cela est nécessaire pour permettre à AWS CloudHSM Classic de créer etde configurer les ressources AWS en votre nom, telles que les interfaces réseau Elastic. Pour plusd'informations sur les rôles IAM, consultez Rôles dans le manuel IAM Guide de l'utilisateur.

• Une instance EC2, dans le même VPC en tant qu'appliance HSM, avec le logiciel client SafeNet installé.Cette instance s'appelle l'instance de contrôle et est utilisée pour vous connecter à l'appliance HSM etgérer cette dernière.

• Un groupe de sécurité dont le port 22 (pour SSH) ou le port 3389 (pour RDP) est ouvert sur votre réseau.Ce groupe de sécurité est lié à vos instances de contrôle afin que vous puissiez y accéder à distance.Pour plus d'informations, consultez Autorisation du trafic entrant pour vos instances Linux dans leAmazon EC2 Guide de l'utilisateur pour les instances Linux.

Vous pouvez utiliser AWS CloudFormation pour configurer votre environnement AWS CloudHSM Classicou configurer votre environnement manuellement.

• Configuration automatique de votre environnement AWS CloudHSM Classic à l'aide de AWSCloudFormation (p. 6)

• Configuration manuelle de votre environnement AWS CloudHSM Classic (p. 10)

Configuration automatique de votre environnementAWS CloudHSM Classic à l'aide de AWSCloudFormationVous pouvez utiliser un modèle AWS CloudFormation depuis AWS CloudHSM Classic pour configurerautomatiquement votre environnement AWS pour AWS CloudHSM Classic.

6

AWS CloudHSM Classic Guide de l'utilisateurConfiguration à l'aide de AWS CloudFormation

Rubriques• Prérequis (p. 7)• Détails de l'environnement AWS CloudHSM Classic (p. 7)• Configuration de votre environnement AWS CloudHSM Classic à l'aide de AWS

CloudFormation (p. 9)• Préparation de la mise en service de vos HSM (p. 10)

PrérequisAvant de démarrer ce processus, vous devez disposer des éléments suivants :

• Votre compte AWS doit disposer d'un VPC disponible pour être créé dans la région sélectionnée. Pourobtenir le nombre de VPC autorisé par région AWS, consultez Limites Amazon VPC dans le AmazonVPC Guide de l'utilisateur.

• Une paire de clés Amazon EC2. Vous utiliserez cette paire de clés pour accéder à l'instance client crééepar AWS CloudFormation. Vous devez créer cette paire de clés dans la même région AWS où vous allezconfigurer votre environnement AWS CloudHSM Classic. Pour plus d'informations, consultez Création devotre paire de clés à l'aide d'Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instancesLinux.

Détails de l'environnement AWS CloudHSM ClassicLe schéma suivant illustre l'environnement AWS que le modèle AWS CloudFormation configureautomatiquement pour que vous puissiez l'utiliser avec AWS CloudHSM Classic.

7

AWS CloudHSM Classic Guide de l'utilisateurConfiguration à l'aide de AWS CloudFormation

AWS CloudFormation crée et configure les ressources suivantes pour vous :

1. Un Virtual Private Cloud (VPC).2. Des sous-réseaux, y compris un sous-réseau qui est accessible publiquement et un sous-réseau privé

pour chaque zone de disponibilité. Prenez en compte les exemples suivants :• Pour les régions ayant trois zones de disponibilité, quatre sous-réseaux sont créés : un sous-réseau

qui est accessible publiquement (2a) et trois sous-réseaux privés (2b, 2c et 2d).• Pour les régions ayant deux zones de disponibilité, trois sous-réseaux sont créés : un sous-réseau qui

est accessible publiquement (2a) et deux sous-réseaux privés (2c et 2d).

Note

AWS CloudHSM Classic met à disposition chaque appliance HSM sur un sous-réseau privépour l'isoler d'Internet.

3. Une instance Amazon Elastic Compute Cloud (Amazon EC2) (m3.medium exécutant Amazon Linux; x86pour 64 bits) dans le sous-réseau public, avec le logiciel client SafeNet déjà installé. Cette instance estappelée instance client. Pour authentifier votre identité à l'instance client, vous utilisez la paire de clésque vous spécifiez lors de la création de la pile AWS CloudFormation.

4. Les groupes de sécurité qui autorisent les connexions SSH dans le sous-réseau public depuis Internet(4a), ainsi que les connexions SSH et NTLS dans le sous-réseau privé depuis le sous-réseau public(4b).

8

AWS CloudHSM Classic Guide de l'utilisateurConfiguration à l'aide de AWS CloudFormation

5. Une adresse IP Elastic pour l'instance client.6. Un rôle IAM qui permet à AWS CloudHSM Classic d'accéder à vos ressources AWS. (non représenté

dans le schéma précédent)7. Les informations d'identification IAM nécessaires pour envoyer une notification Amazon Simple

Notification Service (Amazon SNS) de la configuration de votre pile à AWS CloudHSM Classic. (nonreprésentées dans le schéma)

Configuration de votre environnement AWS CloudHSM Classic àl'aide de AWS CloudFormationComplétez les étapes suivantes pour que AWS CloudFormation configure votre environnement AWSCloudHSM Classic à partir du modèle cloudhsm-quickstart.

Pour utiliser AWS CloudFormation afin de configurer votre environnement AWS CloudHSM Classicautomatiquement

1. Connectez-vous à la AWS Management Console et ouvrez la console AWS CloudFormation àl'adresse https://console.aws.amazon.com/cloudformation.

2. Dans la barre de navigation, utilisez le sélecteur de région pour choisir une des régions AWS où AWSCloudHSM Classic est actuellement pris en charge :

• USA Est (Virginie du Nord)• USA Est (Ohio)• USA Ouest (Californie du Nord)• USA Ouest (Oregon)• Canada (Centre)• Europe (Irlande)• Europe (Francfort)• Asie-Pacifique (Tokyo)• Asie-Pacifique (Singapour)• Asie-Pacifique (Sydney)

3. Choisissez Créer une pile ou Créer une pile.4. Choisissez Spécifier une URL du modèle Amazon S3, puis tapez ou collez l'URL suivante : https://

cloudhsm.s3.amazonaws.com/cloudhsm-quickstart.json

Choisissez Suivant.5. Pour Nom de la pile, tapez un nom identifiable de la pile, tel que CloudHSM-Environment. Pour

KeyName, choisissez une paire de clés à utiliser lors de la connexion à votre instance client HSM.Choisissez Suivant.

6. (Facultatif) Sur la page Options, ajoutez les balises que vous souhaitez appliquer à la pile. Lorsquevous avez terminé, choisissez Next.

7. Sur la page Vérification, vérifiez vos paramètres, puis cochez la case Je sais que ce modèle peutconduire AWS CloudFormation à créer des ressources IAM. Cela atteste que vous comprenezque AWS CloudFormation créera un rôle IAM dans votre compte et utilisera le rôle IAM pour créerles autres ressources AWS décrites dans la section précédente (Détails de l'environnement AWSCloudHSM Classic (p. 7)).

Sélectionnez Create.

9

AWS CloudHSM Classic Guide de l'utilisateurConfiguration manuelle

Une fois la pile créée, l'état passe à CREATE_COMPLETE. Si une erreur se produit, la pile est restauréeet l'état passe finalement à ROLLBACK_COMPLETE. Vous pouvez utiliser l'onglet Événements dans laconsole AWS CloudFormation pour vous aider à déterminer pourquoi la défaillance s'est produite.

Pour plus d'informations sur les piles AWS CloudFormation, consultez Affichage des ressources et desdonnées de la pile AWS CloudFormationAWS Management Console dans , dans le AWS CloudFormationGuide de l'utilisateur.

Préparation de la mise en service de vos HSMCollectez les informations suivantes. Ces informations sont nécessaires pour mettre en service vos HSM.Ces informations sont disponibles dans l'onglet Sorties de la console AWS CloudFormation lorsque votrepile AWS CloudFormation est terminée.

• L'ARN du rôle IAM• Les ID des sous-réseaux privés• L'adresse IP du client

Après la collecte de ces informations, passez à Génération d'une clé SSH (p. 15).

Configuration manuelle de votre environnement AWSCloudHSM ClassicUtilisez les procédures suivantes pour configurer manuellement votre environnement AWS à utiliser avecAWS CloudHSM Classic. Si vous préférez, vous pouvez utiliser un modèle AWS CloudFormation fourni parAWS CloudHSM Classic pour configurer votre environnement automatiquement. Pour plus d'informations,consultez Configuration automatique de votre environnement AWS CloudHSM Classic à l'aide de AWSCloudFormation (p. 6).

Pour configurer manuellement votre environnement, suivez les étapes de chacune des rubriques suivantes.

Rubriques• Créer un Virtual Private Cloud (VPC) (p. 10)• Création de sous-réseaux privés (p. 11)• Création d'un groupe de sécurité (p. 11)• Créez un rôle IAM. (p. 12)• Lancement d'une instance client (p. 13)• Préparation de la mise en service de vos HSM (p. 14)

Créer un Virtual Private Cloud (VPC)Utilisez Amazon Virtual Private Cloud (Amazon VPC) pour créer un nouveau VPC.

Pour créer un VPC

1. Connectez-vous au AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans la barre de navigation, utilisez le sélecteur de région pour choisir une des régions AWS où AWSCloudHSM Classic est actuellement pris en charge :

• USA Est (Virginie du Nord)• USA Est (Ohio)• USA Ouest (Californie du Nord)

10

AWS CloudHSM Classic Guide de l'utilisateurConfiguration manuelle

• USA Ouest (Oregon)• Canada (Centre)• Europe (Irlande)• Europe (Francfort)• Asie-Pacifique (Tokyo)• Asie-Pacifique (Singapour)• Asie-Pacifique (Sydney)

3. Choisissez Start VPC Wizard.4. Choisissez la première option, VPC with a Single Public Subnet, puis Select.5. Pour VPC name: (Nom du VPC :), tapez un nom identifiable tel que CloudHSM. Pour Subnet name:

(Nom du sous-réseau :), tapez un nom identifiable tel que CloudHSM public subnet. Conservezles valeurs par défaut de toutes les autres options et choisissez Créer VPC.

Création de sous-réseaux privésCréez un sous-réseau privé (un sous-réseau sans aucune passerelle Internet liée) pour chaque zone dedisponibilité de la région. Cela offre une flexibilité optimale dans le choix du sous-réseau pour vos HSM. Lamise en service des HSM dans différentes zones de disponibilité offre la configuration la plus robuste pourune haute disponibilité.

Pour créer les sous-réseaux privés dans votre VPC HSM

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Sous-réseaux (subnets), puis Créer le sous-réseau (subnet).3. Dans la boîte de dialogue Créer le sous-réseau (subnet), procédez comme suit :

a. Pour Name tag (Balise de nom), tapez un nom identifiable tel que CloudHSM private subnet.b. Pour VPC, choisissez le VPC AWS CloudHSM Classic que vous avez créé précédemment.c. Pour Zone de disponibilité, choisissez la première zone de disponibilité dans la liste.d. Pour Bloc d'adresse CIDR, tapez le bloc d'adresse CIDR à utiliser pour le sous-réseau.

Pour plus d'informations sur le choix d'un bloc d'adresse CIDR du sous-réseau, consultezDimensionnement des sous-réseaux dans le Amazon VPC Guide de l'utilisateur.

Choisissez Yes, Create.4. Répétez les étapes 3 et 4 pour chaque zone de disponibilité restante de la région.

Création d'un groupe de sécuritéCréez un groupe de sécurité à utiliser avec AWS CloudHSM Classic, puis ajoutez les règles entrantesobligatoires à votre groupe de sécurité.

Note

Les règles du groupe de sécurité fournies ici correspondent aux règles minimales dont vous avezbesoin pour démarrer avec AWS CloudHSM Classic. Pour les déploiements de production, vousdevez définir les règles appropriées pour limiter le trafic réseau selon vos stratégies de sécurité etbonnes pratiques.

Pour créer votre groupe de sécurité à utiliser avec AWS CloudHSM Classic

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

11

AWS CloudHSM Classic Guide de l'utilisateurConfiguration manuelle

2. Dans le volet de navigation, choisissez Groupes de sécurité, puis Créer un groupe de sécurité.3. Dans la boîte de dialogue Créer un groupe de sécurité, procédez comme suit :

a. Pour Name tag (Balise de nom), tapez un nom identifiable tel que CloudHSM_SG.b. Pour Nom du groupe, tapez un nom identifiable. Vous pouvez taper le même nom que celui utilisé

pour Balise Nom.c. Pour Description, tapez une description telle que SG for CloudHSM instances.d. Pour VPC, choisissez le VPC AWS CloudHSM Classic que vous avez créé précédemment.

4. Choisissez Yes, Create.

Pour ajouter les règles entrantes obligatoires à votre groupe de sécurité

1. Une fois votre groupe de sécurité sélectionné dans la liste, choisissez l'onglet Inbound Rules, puisModifier.

2. Procédez comme suit pour ajouter une règle entrante qui autorise le trafic sur le port 22 (SSH) depuisvotre réseau :

a. Pour Type, choisissez SSH (22).b. Pour Source, tapez le bloc d'adresse CIDR de votre réseau.c. Choisissez Add another rule.

3. Procédez comme suit pour ajouter une règle entrante qui autorise le trafic sur le port 22 (SSH) depuisvotre VPC :

a. Pour Type, choisissez SSH (22).b. Pour Source, tapez ou choisissez l'ID de groupe de sécurité du groupe de sécurité AWS

CloudHSM Classic que vous avez créé précédemment. Par exemple, sg-0123abcd.c. Choisissez Add another rule.

4. Procédez comme suit pour ajouter une règle entrante qui autorise le trafic sur le port 3389 (RDP)depuis votre réseau :

a. Pour Type, choisissez RDP (3389).b. Pour Source, tapez le bloc d'adresse CIDR de votre réseau.c. Choisissez Add another rule.

5. Procédez comme suit pour ajouter une règle entrante qui autorise le trafic sur le port 1792 depuis votreVPC :

a. Pour Type, choisissez Custom TCP Rule.b. Pour Plage de ports, tapez 1792.c. Pour Source, tapez ou choisissez l'ID de groupe de sécurité du groupe de sécurité AWS

CloudHSM Classic que vous avez créé précédemment. Par exemple, sg-0123abcd.6. Choisissez Save pour ajouter les quatre règles entrantes à votre groupe de sécurité.

Créez un rôle IAM.Vous devez accorder à AWS CloudHSM Classic l'autorisation d'effectuer certaines actions en votre nom,telles que répertorier vos VPC et créer des interfaces réseau Elastic (ENI) à attacher à vos HSM. Pource faire, vous créez un rôle IAM qu'AWS CloudHSM Classic est autorisé à assumer et qui accorde cesautorisations.

Pour créer le rôle IAM pour AWS CloudHSM Classic

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

12

AWS CloudHSM Classic Guide de l'utilisateurConfiguration manuelle

2. Dans le volet de navigation, choisissez Roles, puis Create New Role.3. Pour Role Name (Nom du rôle), tapez un nom identifiable tel que CloudHSM_Role, puis choisissez

Next Step (Étape suivante).4. Sélectionnez AWS Service Roles. Faites défiler l'écran vers le bas pour trouver AWS CloudHSM. Sur

la ligne AWS CloudHSM, choisissez Select (Sélectionner).5. Activez la case à cocher en regard de AWSCloudHSMRole, puis choisissez Next Step.6. Choisissez Create Role (Créer le rôle).

Lancement d'une instance clientLancez une instance Amazon Elastic Compute Cloud (Amazon EC2), appelée une instance client, pouraccéder au HSM. AWS CloudHSM Classic propose une Amazon Machine Image (AMI) que vous pouvezutiliser pour lancer cette instance client. L'AMI est préconfigurée avec l'interface de ligne de commande(CLI) AWS CloudHSM Classic et d'autres logiciels client HSM. Pour utiliser l'AMI afin de lancer uneinstance client, procédez comme suit.

Sinon, vous pouvez installer manuellement l'interface de ligne de commande AWS CloudHSM Classic et lelogiciel client HSM sur une instance que vous avez déjà. Pour plus d'informations, consultez Configurationdes outils d'interface de ligne de commande (p. 17) et Configuration d'un client Linux HSM (p. 30), ouConfiguration d'un client HSM Windows (p. 33).

Pour lancer une instance EC2 préconfigurée à partir de l'AMI AWS CloudHSM Classic

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Choisissez Launch Instances.3. Choisissez l'onglet AMI de la communauté. Utilisez ensuite Search community AMIs (Rechercher des

AMI de la communauté) pour trouver CloudHSM 5.4.4. Recherchez la ligne CloudHSM 5.4 Client AMI. Utilisez le tableau suivant d'ID d'AMI pour vous assurer

de choisir l'AMI correcte pour votre région AWS. Puis choisissez Sélectionner.

Région AWS ID d'AMI

USA Est (Virginie du Nord) ami-85a975ee

USA Est (Ohio) ami-58f6ad3d

USA Ouest (Californie du Nord) ami-e5561a85

USA Ouest (Oregon) ami-cd717dfd

Canada (Centre) ami-309d2f54

Europe (Irlande) ami-1e501b69

Europe (Francfort) ami-c22326df

Asie-Pacifique (Tokyo) ami-8c09be8c

Asie-Pacifique (Singapour) ami-00cecc52

Asie-Pacifique (Sydney) ami-87d492bd

5. Sélectionnez le type d'instance que vous souhaitez lancer. Choisissez ensuite Next: ConfigureInstance Details (Suivant : Configurer les détails de l'instance).

6. Procédez comme suit :

a. Pour Réseau, choisissez le VPC AWS CloudHSM Classic que vous avez créé précédemment.

13

AWS CloudHSM Classic Guide de l'utilisateurConfiguration manuelle

b. Pour Sous-réseau, choisissez le sous-réseau public AWS CloudHSM Classic que vous avez crééprécédemment.

c. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer.d. (Facultatif) Modifiez les autres options des détails de l'instance comme vous le souhaitez.

7. Choisissez Next: Add Storage. Ensuite, vous pouvez modifier les paramètres de stockage commevous le souhaitez.

8. Choisissez Next: Add Tags. Vous pouvez ensuite, facultativement, ajouter les balises souhaitées.9. Choisissez Suivant : Configurer le groupe de sécurité.10. Choisissez Select an existing security group. Puis, sélectionnez la case à cocher en regard du groupe

de sécurité AWS CloudHSM Classic que vous avez créé précédemment.11. Choisissez Review and Launch.12. Vérifiez les détails de votre instance. Choisissez ensuite Lancer.13. Choisissez si vous souhaitez lancer votre instance avec une paire de clés existante ou créer une paire

de clés.

• Pour utiliser une paire de clés existante, procédez comme suit :1. Choisissez Choisir une paire de clés existante.2. Pour Sélectionner une paire de clés, choisissez la paire de clés à utiliser.3. Activez la case à cocher en regard de Je reconnais que j'ai accès au fichier de clé privée

sélectionné (nom du fichier de la clé privée.pem), et que, sans ce fichier, je ne suispas capable de me connecter à mon instance.

• Pour créer une paire de clés, procédez comme suit :1. Choisissez Créer une nouvelle paire de clés.2. Pour Nom de la paire de clés, tapez un nom de paire de clés identifiable tel que CloudHSM

client key.3. Choisissez Télécharger une paire de clés et enregistrer le fichier de clé privée dans un endroit sûr

et accessible.

Warning

Vous ne pourrez pas télécharger une nouvelle fois le fichier de clé privée après ce stade.Si vous ne téléchargez pas le fichier de clé privée maintenant, vous ne pourrez pas vousconnecter à l'instance client.

14. Sélectionnez Launch Instances. Ensuite, choisissez Afficher les instances.15. Patientez jusqu'à ce que votre instance soit en cours d'exécution. Une fois celle-ci en cours

d'exécution, vous pouvez vous y connecter à l'aide de SSH. Pour plus d'informations, consultezConnexion à votre instance Linux à l'aide de SSH ou Connexion à votre instance Linux à partir deWindows à l'aide de PuTTY dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

16. Sur votre instance client, utilisez la commande suivante pour mettre à jour l'interface de ligne decommande AWS CloudHSM Classic vers la dernière version.

sudo yum update aws-cloudhsm-cli -y

Préparation de la mise en service de vos HSMCollectez les informations suivantes. Ces informations sont obligatoires lorsque vous mettez en service vosHSM.

• Utilisez les ID de sous-réseau des sous-réseaux privés que vous avez créés précédemment pour AWSCloudHSM Classic. Ces informations sont disponibles dans la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/home#subnets:.

14

AWS CloudHSM Classic Guide de l'utilisateurGénération d'une clé SSH

• L'ID de groupe du groupe de sécurité que vous avez créé précédemment pour AWS CloudHSMClassic. Ces informations sont disponibles dans la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/home#securityGroups:.

• L'Amazon Resource Name (ARN) du rôle IAM que vous avez créé précédemment pour AWSCloudHSM Classic. Ces informations sont disponibles dans la console IAM à l'adresse https://console.aws.amazon.com/iam/home#roles. Choisissez le nom du rôle pour AWS CloudHSM Classic etnotez l'ARN du rôle.

Passez à l'Génération d'une clé SSH (p. 15).

Génération d'une clé SSHAWS CloudHSM Classic utilise une paire de clés SSH pour authentifier le compte du responsable lors dela connexion à l'appliance HSM. Lorsque vous vous connectez à AWS CloudHSM Classic, vous fournissezla clé publique à AWS. Il est important d'envoyer uniquement les informations relatives à la clé publique àAWS. La clé publique est installée sur l'appliance HSM pendant la mise en service. La clé privée doit êtredisponible pour toute instance que vous utilisez pour vous connecter à l'appliance HSM.

Vous pouvez générer la paire de clés sur n'importe quel ordinateur, mais vous devez copier la clé privéesur toutes les instances qui seront utilisées pour vous connecter à l'appliance HSM. Si vous générez lapaire de clés sur la même instance que vous utiliserez pour vous connecter à l'appliance HSM, vous n'avezpas besoin de copier le fichier de clé privée. Vous pouvez utiliser une paire de clés SSH existante ou engénérer une nouvelle. Il existe de nombreux générateurs de paires de clés, mais sous Linux, un générateurcommun est la commande ssh-keygen. Sous Windows, vous pouvez utiliser l'utilitaire PuTTYgen.

Vous devez inclure une phrase passe avec la clé privée pour empêcher les personnes non autorisées àse connecter à votre appliance HSM. Lorsque vous incluez une phrase passe, vous devez entrer la phrasepasse chaque fois que vous vous connectez à l'appliance HSM.

AWS CloudHSM Classic prend en charge les paires de clés RSA 2048 bits.

Rubriques• Génération d'une clé SSH sous Linux (p. 15)• Génération d'une clé SSH sous Windows (p. 16)• Exemple de clé publique SSH (p. 16)• Copie de la clé privée (p. 16)

Génération d'une clé SSH sous LinuxPour générer une clé SSH sur un ordinateur Linux, vous pouvez utiliser la commande ssh-keygen, commeindiqué dans l'exemple suivant :

$ ssh-keygenGenerating public/private rsa key pair.Enter file in which to save the key (/home/user/.ssh/id_rsa):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/user/.ssh/id_rsa.Your public key has been saved in /home/user/.ssh/id_rsa.pub.The key fingerprint is:df:c4:49:e9:fe:8e:7b:eb:28:d5:1f:72:82:fb:f2:69The key's randomart image is:+--[ RSA 2048]----+| |

15

AWS CloudHSM Classic Guide de l'utilisateurGénération d'une clé SSH sous Windows

| . || o || + . || S *. || . =.o.o || ..+ +..|| .o Eo .|| .OO=. |+-----------------+$

Génération d'une clé SSH sous WindowsPour générer une clé SSH sur un ordinateur Windows, vous pouvez utiliser l'utilitaire PuTTYgen. Pourplus d'informations sur l'utilisation de l'utilitaire PuTTYgen pour créer une paire de clés, accédez à http://www.howtoforge.com/ssh_key_based_logins_putty.

PuTTYgen stocke les clés privées dans un format propriétaire qui est utilisé uniquement par PuTTY. Sivous devez utiliser la clé privée avec un client SSH autre que PuTTY, vous pouvez utiliser PuTTYgenpour convertir la clé privée au format OpenSSH en cliquant sur Conversion dans le menu PuTTYgen et ensélectionnant Export OpenSSH key.

La clé publique qui est utilisée par l'appliance HSM doit être au format SSH. Dans PuTTYgen, copiez lecontenu du champ Public key for pasting into OpenSSH authorized keys file et enregistrez-le dans unfichier. Voilà votre fichier de clé publique.

Exemple de clé publique SSHL'exemple suivant montre une clé publique SSH qui a été générée à l'aide de la commande ssh-keygensous Linux. La clé publique que vous fournissez à AWS doit être similaire à ce qui suit. Les sauts de lignedans l'exemple suivant sont uniquement présents pour faciliter la lecture ; votre clé publique SSH doit êtreune ligne continue.

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA6bUsFjDSFcPC/BZbIAv8cAR5syJMBGiEqzFOIEHbm0fPkkQ0U6KppzuXvVlc2u7w0mgPMhnkEfV6j0YBITu0Rs8rNHZFJsCYXpdoPxMMgmCf/FaOiKrb7+1xk21q2VwZyj13GPUsCxQhRW7dNidaaYTf14sbd9AqMUH4UOUjs27MhO37q8/WjV3wVWpFqexm3f4HPyMLAAEeExT7UziHyoMLJBHDKMN71Ok2kV24wwn+t9P/Va/6OR6LyCmyCrFyiNbbCDtQ9JvCj5RVBla5q4uEkFRl0t6m9XZg+qT67sDDoystq3XEfNUmDYDL4kq1xPM66KFk3OS5qeIN2kcSnQ==

Copie de la clé privéeVous devez copier la clé privée dans toutes les instances qui seront utilisées pour vous connecter àl'appliance HSM. Ces instances sont appelées control instances.

Rubriques• Copie de la clé privée dans une instance Linux (p. 16)• Copie de la clé privée dans une instance Windows (p. 17)

Copie de la clé privée dans une instance LinuxEffectuez les opérations suivantes si votre instance de contrôle est une instance Linux.

1. Si la clé a été créée à l'aide de PuTTYgen, utilisez PuTTYgen pour convertir la clé privée au formatOpenSSH. Pour plus d'informations, consultez Génération d'une clé SSH sous Windows (p. 16).

16

AWS CloudHSM Classic Guide de l'utilisateurConfiguration des outils d'interface de ligne de commande

2. Copiez le fichier de clé privée à partir de l'ordinateur où il est stocké dans le répertoire ~/.ssh/ surl'instance de contrôle.

3. Connectez-vous à l'instance de contrôle via SSH. Les autres étapes de cette procédure sonteffectuées à partir de l'instance de contrôle.

4. Dans l'instance de contrôle, modifiez les autorisations sur le fichier de clé privée.

$ chmod 600 ~/.ssh/[private_key_file]

5. Utilisez ssh-add pour ajouter la clé privée à l'agent d'authentification. La commande ssh-add vousdemande la phrase passe utilisée pour sécuriser la clé privée lorsqu'elle a été générée.

$ ssh-add ~/.ssh/[private_key_file]

Lorsque vous vous connectez à l'appliance HSM, cette clé est à présent utilisée pour l'authentification.Vous devez répéter cette commande chaque fois que vous vous reconnectez à l'instance de contrôle.Vous pouvez aussi spécifier le fichier de clé privée ssh et scp à utiliser avec l'option -i.

Copie de la clé privée dans une instance WindowsEffectuez les opérations suivantes si votre instance de contrôle est une instance Windows.

1. Copiez le fichier de clé privée à partir de l'ordinateur où il a été stocké dans le répertoire sur l'instancede contrôle où vos clés PuTTY sont stockées.

2. Connectez-vous à l'instance de contrôle via RDP. Les autres étapes de cette procédure sonteffectuées à partir de l'instance de contrôle.

3. Si la clé privée n'est pas un fichier de clé privée PuTTY, effectuez les opérations suivantes :

a. Dans l'instance de contrôle, utilisez PuTTYgen pour importer le fichier de clé privée qui a étécopié en cliquant sur Conversion dans le menu PuTTYgen, en sélectionnant Import key et ensélectionnant le fichier de clé privée. Vous êtes invité à entrer la phrase passe de la clé.

b. Dans PuTTYgen, enregistrez la clé privée en tant que fichier de clé privée PuTTY en sélectionnantSave private key.

Lorsque vous vous connectez à l'appliance HSM avec PuTTY, vous utilisez le fichier de clé privéepour l'authentification. Pour vous éviter d'avoir à entrer votre phrase passe chaque fois que vousvous connectez, vous pouvez utiliser Pageant. Pageant est un agent d'authentification SSH qui estutilisé avec PuTTY. Il garde vos clés privées en mémoire, déjà décodées, pour que vous puissiez lesutiliser souvent sans avoir à taper une phrase passe. Pour plus d'informations, accédez à Utilisationde Pageant pour l'authentification.

Configuration des outils d'interface de ligne decommande AWS CloudHSM Classic

Les outils d'interface de ligne de commande AWS CloudHSM Classic simplifient et centralisent votreadministration HSM. Les outils vous permettent de créer et d'initialiser facilement vos appliances HSM, etde configurer vos HSM dans une configuration à haut niveau de disponibilité, sans avoir à vous connecter àchaque HSM et à exécuter les commandes shell Luna.

Rubriques• Installation des outils d'interface de ligne de commande (p. 18)

17

AWS CloudHSM Classic Guide de l'utilisateurInstallation des outils d'interface de ligne de commande

• Configuration des outils d'interface de ligne de commande AWS CloudHSM Classic (p. 20)

Installation des outils d'interface de ligne decommandePour installer et configurer une instance à utiliser avec les outils d'interface de ligne de commande AWSCloudHSM Classic, exécutez les étapes suivantes.

Pour configurer une instance de l'interface de ligne de commande AWS CloudHSM Classic

1. Lancez une instance Linux sur le même VPC qui contient vos appliances HSM.2. Configurez vos groupes de sécurité VPC comme suit :

• Le groupe de sécurité attribué à l'instance doit avoir le port 22 (SSH) ouvert au trafic entrant enprovenance de votre réseau. Cela vous permet de vous connecter à l'instance à l'aide de SSH.

• Le groupe de sécurité attribué à l'appliance HSM doit avoir le port 22 (SSH) ouvert au trafic entranten provenance de votre VPC. Cela permet à l'instance de communiquer avec l'appliance HSM.

3. Installez Python 2.7 et utilisez pip sur l'instance Linux, comme décrit dans Installation dePython 2.7 (p. 18) et Installation de pip (p. 19).

4. Téléchargez et installez les outils d'interface de ligne de commande AWS CloudHSM Classiccomme décrit dans Installation des outils d'interface de ligne de commande AWS CloudHSMClassic (p. 19).

5. Copiez les fichiers de clé privée pour l'ensemble de vos HSM sur l'instance. Il s'agit des parties privéesdes clés qui ont été installées sur vos HSM au moment de la mise en service. Elles sont nécessairespour la plupart des commandes, telles que initialize-hsm (p. 90) et add-hsm-to-hapg (p. 60).Pour plus d'informations, consultez Copie de la clé privée (p. 16).

Rubriques• Installation de Python 2.7 (p. 18)• Installation de pip (p. 19)• Installation des outils d'interface de ligne de commande AWS CloudHSM Classic (p. 19)• Définition de la propriété nécessaire sur les fichiers et les répertoires (p. 19)

Installation de Python 2.7Vous pouvez déterminer si Python 2.7 est déjà installé en exécutant la commande suivante sur l'instance :

$ python2.7 -V

Si la réponse est que la commande python2.7 n'est pas trouvée, installez Python 2.7 en exécutant l'unedes commandes suivantes sur l'instance.

• Sur les systèmes RHEL et les dérivés de RHEL, y compris Amazon Linux, utilisez la commandesuivante :

$ sudo yum install python27

• Sur les systèmes Debian et les dérivés de Debian, tels qu'Ubuntu, utilisez la commande suivante :

$ sudo apt-get install python27

18

AWS CloudHSM Classic Guide de l'utilisateurInstallation des outils d'interface de ligne de commande

Installation de pipVous pouvez déterminer si pip est déjà installé en exécutant la commande suivante sur l'instance :

$ pip -V

Si la réponse est que la commande pip n'est pas trouvée, téléchargez pip en exécutant la commandesuivante sur l'instance :

$ curl -O https://bootstrap.pypa.io/get-pip.py

Puis installez pip en exécutant la commande suivante sur l'instance :

$ sudo python2.7 get-pip.py

Installation des outils d'interface de ligne de commande AWSCloudHSM ClassicAprès l'installation de Python 2.7 (p. 18) et l'installation de pip (p. 19), installez les outils d'interfacede ligne de commande AWS CloudHSM Classic en exécutant l'une des commandes suivantes surl'instance.

• Sur Amazon Linux, utilisez la commande suivante :

$ sudo yum install aws-cloudhsm-cli

• Sur tous les autres systèmes d'exploitation, utilisez la commande suivante :

$ pip install aws-cloudhsm-cli

Vous devrez peut-être exécuter la commande pip précédente avec sudo, en fonction de la configurationde votre système d'exploitation.

Utilisez la commande suivante pour vérifier si les outils d'interface de ligne de commande AWS CloudHSMClassic sont correctement installés.

$ cloudhsm version

Définition de la propriété nécessaire sur les fichiers et lesrépertoiresSi le logiciel client SafeNet est installé sur votre instance, les outils d'interface de ligne de commande AWSCloudHSM Classic requièrent que l'utilisateur qui exécute les commandes soit le propriétaire de certainsfichiers et répertoires.

Pour définir le propriétaire des fichiers et des répertoires

1. Utilisez les commandes suivantes sur l'instance qui exécute les outils d'interface de ligne decommande AWS CloudHSM Classic pour définir le propriétaire et l'autorisation en écriture sur le fichierChrystoki.conf.

19

AWS CloudHSM Classic Guide de l'utilisateurConfiguration des outils d'interface de ligne de commande

$ sudo chown <owner> /etc/Chrystoki.conf

$ sudo chmod +w /etc/Chrystoki.conf

Le <owner> (propriétaire) peut être l'utilisateur ou un groupe auquel il appartient.2. Utilisez la commande suivante sur l'instance qui exécute les outils d'interface de ligne de commande

AWS CloudHSM Classic pour définir le propriétaire du répertoire client Luna.

$ sudo chown <owner> -R /usr/safenet/lunaclient/

<owner> (le propriétaire) peut être l'utilisateur ou un groupe auquel il appartient.

Configuration des outils d'interface de ligne decommande AWS CloudHSM ClassicLes rubriques suivantes expliquent comment configurer et utiliser les outils d'interface de ligne decommande AWS CloudHSM Classic.

Rubriques• Authentification (p. 20)• Connexions SSH (p. 21)• Mots de passe (p. 21)• Fichiers de configuration (p. 22)• Certificats de clients (p. 22)

AuthentificationLes outils d'interface de ligne de commande AWS CloudHSM Classic utilisent votre ID de clé d'accès AWSet les informations d'identification de clés d'accès secrètes pour vous identifier et vous authentifier auprèsdu service. Pour plus d'informations sur ces clés, consultez Informations d'identification de sécurité AWS etBonnes pratiques en matière de gestion des clés d'accès AWS dans la Référence générale d'Amazon WebServices.

Vous pouvez fournir vos informations d'identification aux outils d'interface de ligne de commande AWSCloudHSM Classic de plusieurs façons :

• Vous pouvez définir vos informations d'identification dans les paramètres aws_access_key_idet aws_secret_access_key dans un fichier de configuration que vous spécifiez avec leparamètre --conf_file pour chaque commande. Pour plus d'informations, consultez Fichiers deconfiguration (p. 22). C'est la méthode recommandée pour fournir vos informations d'identification àl'interface de ligne de commande.

 • Vous pouvez définir vos informations d'identification à utiliser par toutes les commandes AWS CloudHSM

Classic en les ajoutant à un fichier de configuration boto sur l'instance, comme indiqué dans l'exemplesuivant.

[Credentials]aws_access_key_id = access_key_idaws_secret_access_key = secret_access_key

20

AWS CloudHSM Classic Guide de l'utilisateurConfiguration des outils d'interface de ligne de commande

Vous pouvez définir ce fichier de configuration boto pour tous les utilisateurs du système ou justepour l'utilisateur actuel. Pour que ces informations d'identification s'appliquent à tous les utilisateurs,enregistrez le fichier en tant que /etc/boto.cfg. Pour que ces informations d'identification s'appliquentuniquement à l'utilisateur actuel, enregistrez le fichier en tant que ~/.boto.

 • Vous pouvez fournir vos informations d'identification en tant qu'arguments à chaque commande avec les

paramètres --aws-access-key-id et --aws-secret-access-key pour chaque commande. Toutesles commandes d'interface de ligne de commande AWS CloudHSM Classic acceptent ces arguments.Nous déconseillons cette méthode, car elle peut entraîner l'exposition accidentelle de vos informationsd'identification si un script est partagé avec d'autres.

 • Lorsque vous installez l'interface de ligne de commande AWS CloudHSM Classic sur une instance

Amazon EC2, vous pouvez utiliser les rôles IAM pour Amazon EC2 afin de fournir les informationsd'identification. Avec les rôles IAM pour Amazon EC2, vous ne définissez, ni stockez les informationsd'identification sur l'instance EC2. Au lieu de cela, vous :1. créez un rôle IAM avec des autorisations AWS CloudHSM Classic ;2. associez ce rôle à votre instance EC2.

Grâce à cette association, la fonction des rôles IAM pour Amazon EC2 distribue des informationsd'identification temporaires à votre instance EC2 et fait tourner ces informations d'identificationrégulièrement. L'interface de ligne de commande AWS CloudHSM Classic recherche et utilise cesinformations d'identification automatiquement. Pour plus d'informations, consultez Rôles IAM pourAmazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Connexions SSHUn grand nombre de commandes d'interface de ligne de commande AWS CloudHSM Classic, telles queinitialize-hsm (p. 90), doivent communiquer avec vos appliances HSM à l'aide du protocole SSH. Pourfaciliter cela, vous devez activer la commande ssh <hsm_ip_address>, sans aucun autre paramètre,pour vous connecter à chacun de vos HSM. Il existe plusieurs méthodes pour y parvenir. Nous vousrecommandons d'ajouter une entrée similaire à ce qui suit dans votre fichier ~/.ssh/config.

Host <hsm_ip_address>User managerIdentityFile <private_key_file>

Remplacez <hsm_ip_address> par l'adresse IP de votre appliance HSM et remplacez<private_key_file> par le fichier de clé privée qui correspond à la clé publique installée sur l'applianceHSM au cours de la mise en service. Si votre clé privée est protégée par une phrase passe, vous pouvezutiliser l'agent SSH pour déverrouiller la clé privée et la passer au processus ssh traiter afin que lacommande ssh <hsm_ip_address>, sans aucun autre paramètre ni entrée, se connecte à votre HSM.

Note

L'authentification SSH basée sur un mot de passe n'est pas prise en charge. Vous devez utiliserune paire de clés pour vous authentifier auprès de votre HSM. Pour plus d'informations, consultezGénération d'une clé SSH (p. 15).

Mots de passeNous vous recommandons d'imprimer une copie de la Feuille de calcul de mot de passe (p. 37), del'utiliser pour enregistrer vos mots de passe AWS CloudHSM Classic et de la stocker dans un endroit sûr.

21

AWS CloudHSM Classic Guide de l'utilisateurConfiguration des outils d'interface de ligne de commande

Nous vous recommandons également de stocker au moins une copie de cette feuille de calcul dans unstockage hors site sécurisé. AWS ne peut pas récupérer vos clés à partir d'un HSM pour lequel vous nedisposez pas des informations d'identification du responsable sécurité HSM appropriées.

Fichiers de configurationUn grand nombre de commandes d'interface de ligne de commande AWS CloudHSM Classic requièrentdes paramètres communs, tels que la région AWS ou les informations d'identification de l'authentification.Plutôt que de les passer en tant qu'options de ligne de commande, vous pouvez plutôt les définir dans unfichier de configuration et les passer au fichier de configuration avec le paramètre --conf_file.

L'exemple suivant présente le format du fichier de configuration :

[cloudhsmcli]aws_access_key_id=<value>aws_secret_access_key=<value>aws_region=<value>hapg_arns= <value1> <value2> <value...>so_password=<value>

Certificats de clientsChaque client AWS CloudHSM Classic requiert une clé privée et un certificat pour s'authentifier auprès dela partition ou du groupe de partitions HSM auquel/à laquelle il est associé. Vous créez un client HSM avecla commande create-client (p. 68), en passant le certificat à la commande.

Le certificat est un fichier qui contient un certificat PEM v3 X.509 codé en base64. Le format du certificatPEM doit être le suivant :

-----BEGIN CERTIFICATE-----<certificate contents>-----END CERTIFICATE-----

La clé privée doit résider dans le répertoire de certificat du client LunaSA sur le client. Ce répertoire estcréé lorsque le logiciel client LunaSA est installé sur le client. Pour plus d'informations sur le logicielclient LunaSA, consultez Configuration d'un client Linux HSM (p. 30) ou Configuration d'un client HSMWindows (p. 33). L'emplacement du répertoire de certificat du client LunaSA varie en fonction dusystème d'exploitation de votre client.

Clients Linux

/usr/safenet/lunaclient/cert

Clients Windows

%ProgramFiles%\SafeNet\LunaClient\cert

Il existe de nombreuses façons de créer ce certificat. Les deux plus courantes sont les suivantes : utiliser lacommande LunaSA vtl createCert ou utiliser la boîte à outils OpenSSL.

Rubriques• Commande LunaSA (p. 23)• Boîte à outils OpenSSL (p. 23)

22

AWS CloudHSM Classic Guide de l'utilisateurConfiguration des outils d'interface de ligne de commande

Commande LunaSAPour créer une clé privée et un certificat avec la commande LunaSA vtl, le logiciel client LunaSA doitêtre installé sur votre client. Pour plus d'informations, consultez Configuration d'un client HSM Linux ouConfiguration d'un client HSM Windows dans le AWS CloudHSM Guide de l'utilisateur.

Pour créer un certificat de client avec la commande vtl sur un client Linux, émettez la commandesuivante.

$ sudo vtl createCert -n <client_name>

Pour créer un certificat de client avec la commande vtl sur un client Windows, émettez la commandesuivante.

C:\> vtl createCert -n <client_name>

Le nom <client_name> peut être tout nom unique qui ne contient ni espaces ni caractères spéciaux.Vous devez utiliser ce même nom pour le paramètre --label dans la commande create-client (p. 68).

La sortie de la commande vtl createCert sera similaire à ce qui suit.

Private Key created and written to:<luna_client_cert_dir>/<client_name>Key.pemCertificate created and written to:<luna_client_cert_dir>/<client_name>.pem

<luna_client_cert_dir> est le répertoire de certificat du client LunaSA sur le client.

Vous passez le fichier <client_name>.pem pour le paramètre --certificate-filename dans lacommande create-client (p. 68).

Boîte à outils OpenSSLVous pouvez utiliser la boîte à outils OpenSSL pour créer votre clé privée et votre certificat en émettant lescommandes suivantes.

Créez la clé privée.

openssl genrsa -out <luna_client_cert_dir>/<client_name>Key.pem 2048

Générez le certificat à partir de la clé privée.

openssl req -new -x509 -days 3650 -key <luna_client_cert_dir>/<client_name>Key.pem -out <client_name>.pem

<luna_client_cert_dir> est le répertoire de certificat du client LunaSA sur le client.

Le nom <client_name> peut être tout nom unique qui ne contient ni espaces ni caractères spéciaux.

La sortie de la commande openssl req sera similaire à ce qui suit. Vous êtes invité à utiliser plusieurschamps dans le certificat. Le seul champ obligatoire est Common Name, qui doit être le même que<client_name>. Vous devez également utiliser ce même nom pour le paramètre --label dans lacommande create-client (p. 68). Les autres champs peuvent rester vides.

You are about to be asked to enter information that will be incorporatedinto your certificate request.

23

AWS CloudHSM Classic Guide de l'utilisateurConfiguration des outils d'interface de ligne de commande

What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:.State or Province Name (full name) []:.Locality Name (eg, city) [Default City]:.Organization Name (eg, company) [Default Company Ltd]:.Organizational Unit Name (eg, section) []:.Common Name (eg, your name or your server's hostname) []:<client_name>Email Address []:.

Vous passez le fichier <client_name>.pem pour le paramètre --certificate-filename dans lacommande create-client (p. 68).

24

AWS CloudHSM Classic Guide de l'utilisateur

Mise en route avec AWS CloudHSMClassic

AWS CloudHSM Classic fournit des capacités de stockage sécurisé de clés cryptographiques aux clients,en rendant disponibles des modules de sécurité matériels (HSM) dans le cloud AWS.

Ce guide vous donne une présentation pratique de l'utilisation de AWS CloudHSM Classic. Il expliquecomment installer et configurer votre appliance HSM, intégrer des applications logicielles tierces à AWSCloudHSM Classic, et écrire une application simple qui utilise l'appliance HSM. Ce guide décrit égalementles bonnes pratiques pour l'utilisation du service AWS CloudHSM Classic.

La configuration recommandée pour l'utilisation de AWS CloudHSM Classic consiste à utiliser deux HSMconfigurés dans une configuration haute disponibilité. Pour plus d'informations sur la configuration hautedisponibilité, consultez Haute disponibilité et équilibrage de charge (p. 39).

Cette liste résume les procédures requises pour être rapidement opérationnel avec AWS CloudHSMClassic. Des instructions détaillées sont présentées dans les sections ci-dessous.

Pour commencer à utiliser AWS CloudHSM Classic

1. Si vous ne l'avez pas déjà fait, suivez les étapes de Configuration de AWS CloudHSM Classic (p. 3)pour configurer votre environnement HSM.

2. Mettez en service un ou plusieurs HSM, en utilisant les procédures de Mise en service de vosHSM (p. 26).

3. Initialisez vos HSM en utilisant les procédures de Configuration de vos HSM (p. 27).4. Connectez vos appliances HSM à votre VPC HSM, comme indiqué dans Connecter votre HSM sur

site (p. 30).5. Configurez votre client HSM (p. 30).6. Configurez la haute disponibilité (p. 39).7. Effectuez votre sélection parmi les deux options suivantes :

• Intégrer AWS CloudHSM Classic aux applications logicielles tierces. Pour plus d'informations,consultez Intégration des applications tierces à AWS CloudHSM Classic (p. 50).

25

AWS CloudHSM Classic Guide de l'utilisateurMise en service de vos HSM

• Exemple d'application (p. 117) pour se préparer à Création de vos propres applications (p. 52).

Important

Ce guide fournit un ensemble d'instructions abrégé qui vous permettent une mise en routerapide de votre service AWS CloudHSM Classic. Dans l'objectif de sécuriser les déploiementsde production, veillez à bien lire les descriptions détaillées et les informations générales dans ladocumentation SafeNet Luna SA pour mieux comprendre le fonctionnement du HSM. Ce guidene cherche pas à fournir ces détails importants, qui sont essentiels au fonctionnement sécurisé duHSM.

Rubriques• Mise en service de vos HSM (p. 26)• Configuration de vos HSM (p. 27)• Configuration de votre client AWS CloudHSM Classic (p. 30)

Mise en service de vos HSMVous avez besoin des informations suivantes pour mettre en service vos HSM.

• L'identifiant du sous-réseau privé dans lequel vous mettez en service le HSM. Pour plus d'informations,consultez Configuration de l'environnement AWS CloudHSM Classic (p. 6).

• L'Amazon Resource Name (ARN) du rôle IAM pour AWS CloudHSM Classic. Pour plus d'informations,consultez Configuration de l'environnement AWS CloudHSM Classic (p. 6).

• Votre clé publique SSH. Pour plus d'informations, consultez Génération d'une clé SSH (p. 15).

Important

Des frais initiaux vous sont facturés pour chaque HSM que vous mettez en service. Si vousmettez en service accidentellement un HSM et que vous souhaitez demander un remboursement,supprimez le HSM (p. 53), puis accédez au AWS Support Center pour créer une demanderelative au support Compte et facturation.

Pour mettre en service votre HSM, à partir de votre instance de contrôle, utilisez la commande d'interfacede ligne de commande AWS CloudHSM Classic create-hsm (p. 72), comme dans l'exemple suivant.

Note

L'exemple suivant contient des sauts de ligne pour faciliter la lecture. N'incluez pas de sauts deligne ou de barres obliques inverses (\) lorsque vous utilisez cette commande à partir de votreinstance de contrôle.Avant d'utiliser la commande suivante, vérifiez que vous avez défini aws_access_key_id,aws_secret_access_key et aws_region dans un fichier de configuration sur ~/cloudhsm.conf. Pour plus d'informations, consultez Fichiers de configuration (p. 22).

$ cloudhsm create-hsm --conf_file ~/cloudhsm.conf \--subnet-id <subnet_id> \--ssh-public-key-file <public_key_file> \--iam-role-arn <iam_role_arn> \--syslog-ip <syslog_ip_address>

La liste suivante décrit chaque paramètre utilisé dans l'exemple précédent.

26

AWS CloudHSM Classic Guide de l'utilisateurConfiguration de vos HSM

<subnet_id>

L'identifiant du sous-réseau de votre VPC dans lequel vous placez le HSM.<public_key_file>

Le fichier qui contient la clé publique SSH à installer sur le HSM.<iam_role_arn>

L'ARN d'un rôle IAM qui permet au service AWS CloudHSM Classic d'allouer une interface réseauElastic (ENI) en votre nom.

<syslog_ip_address>

(Facultatif) L'adresse IP de votre serveur de surveillance syslog. Le service AWS CloudHSM Classicprend en charge l'utilisation d'un seul serveur de surveillance syslog.

La réponse est similaire à ce qui suit.

{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}

Notez la valeur <hsm_arn>, car vous en avez besoin pour initialiser le HSM.

Répétez cette commande pour créer autant de HSM que nécessaire.

Configuration de vos HSMLorsque vous installez et configurez votre HSM, nous vous recommandons d'imprimer une copie dela Feuille de calcul de mot de passe (p. 37), utilisez-la pour enregistrer vos mots de passe HSM etstockez-la dans un endroit sûr. Nous vous recommandons également de stocker au moins une copie decette feuille de calcul dans un stockage hors site sécurisé. AWS ne peut pas récupérer vos clés à partird'un HSM pour lequel vous ne disposez pas des informations d'identification du responsable sécurité HSMappropriées.

Lorsque vous créez un HSM, le HSM se voit attribuer une adresse IP. Etant donné que cette adresse IPn'est accessible qu'à partir d'une instance au sein du même VPC où se trouve le HSM, vous devez utiliserl'control instance pour initialiser et gérer le HSM. L'instance de contrôle a été lancée au moment de lamise en place de l'environnement AWS CloudHSM Classic.

Rubriques• Obtenir l'identifiant ENI et l'adresse IP du HSM (p. 28)• Appliquer le groupe de sécurité (p. 28)• Initialiser le HSM (p. 29)• Connecter votre HSM sur site (p. 30)

Note

Tous les exemples de commandes supposent que vous avez défini aws_access_key_id,aws_secret_access_key et aws_region dans un fichier de configuration sur ~/cloudhsm.conf.Pour plus d'informations, consultez Fichiers de configuration (p. 22).

27

AWS CloudHSM Classic Guide de l'utilisateurObtenir l'identifiant ENI et l'adresse IP du HSM

Obtenir l'identifiant ENI et l'adresse IP du HSMPour obtenir l'adresse IP d'un HSM, procédez comme suit :

Pour trouver l'adresse IP d'un HSM

1. Connectez-vous à l'instance de contrôle à l'aide de SSH. Les étapes restantes sont exécutées à partirde l'instance de contrôle.

2. Si vous ne connaissez pas l'ARN du HSM, émettez la commande list-hsms (p. 96) et copiez l'ARNdu HSM en question.

$ cloudhsm list-hsms --conf_file ~/cloudhsm.conf{ "HsmList": [ "<hsm1_arn>", "<hsm2_arn>" ], "RequestId": "<request_id>"}

3. Emettez la commande describe-hsm (p. 86), en passant l'ARN du HSM. L'identifiant ENI estcontenu dans le champ EniId et l'adresse IP du HSM est contenu dans le champ EniIp. Notez cesvaleurs, car elles sont nécessaires pour initialiser votre HSM.

$ cloudhsm describe-hsm --conf_file ~/cloudhsm.conf --hsm-arn <hsm_arn>{ "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "<iam_role_arn>", "Partitions": [], "RequestId": "<request_id>", "SerialNumber": "<serial_number>", "SoftwareVersion": "5.1.3-1", "SshPublicKey": "<public_key_text>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "2014-02-05T22:59:38.294Z", "SubscriptionType": "PRODUCTION", "VendorName": "SafeNet Inc."}

Appliquer le groupe de sécuritéUne fois votre HSM mis en service, vous devez appliquer le groupe de sécurité approprié à votre HSM.

Pour appliquer le groupe de sécurité

1. Ouvrez la console Amazon EC2 et sélectionnez la région dans laquelle votre HSM a mis en service.2. Dans le volet de navigation de la console, sélectionnez Interfaces réseau.3. Recherchez et sélectionnez l'identifiant de l'interface réseau de votre HSM dans la liste des interfaces

réseau, cliquez sur Actions, puis sélectionnez Changer les groupes de sécurité.4. Dans la boîte de dialogue Changer les groupes de sécurité, sélectionnez le groupe de sécurité que

vous avez créé pour vos HSM et cliquez sur Enregistrer.5. (Facultatif) Pour faciliter la résolution des problèmes de connectivité réseau à votre appliance HSM,

ajoutez des règles entrantes et sortantes à votre groupe de sécurité pour la demande d'écho et la

28

AWS CloudHSM Classic Guide de l'utilisateurInitialiser le HSM

réponse d'écho ICMP. Vous pouvez ainsi envoyer des demandes ping à l'appliance HSM et l'applianceHSM peut vous répondre.

Initialiser le HSMPour initialiser un HSM en utilisant l'interface de ligne de commande AWS CloudHSM Classic, procédezcomme suit depuis votre instance de contrôle. Si vous devez initialiser votre HSM manuellement, consultezInitialisation manuelle d'un HSM (p. 107).

Pour initialiser un HSM

1. (Facultatif) Si nécessaire, obtenez l'adresse IP du HSM à l'aide de la commande suivante describe-hsm (p. 86). Cela est nécessaire pour la connexion au HSM dans l'étape suivante.

$ cloudhsm describe-hsm --conf_file ~/cloudhsm.conf --hsm-arn <hsm_arn>

La sortie est similaire à ce qui suit. Notez la valeur <eni_ip>.

{ "AvailabilityZone": "<az_id>", "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "arn:aws:iam::<account>:role/<role_name>", "Partitions": [ "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>", "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>", "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>" ], "RequestId": "<request_id>", "SerialNumber": "<serial_number>", "SoftwareVersion": "<version>", "SshPublicKey": "<public_key_contents>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "<start_date>", "SubscriptionType": "<subscription_type>", "VendorName": "<vendor>"}

2. Ouvrez une connexion SSH persistante au HSM en suivant les instructions de ConnexionsSSH (p. 21), à l'aide de l'adresse IP HSM obtenue à l'étape précédente.

3. Initialisez le HSM à l'aide de la commande suivante initialize-hsm (p. 90).

$ cloudhsm initialize-hsm --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \--label <label> \--cloning-domain <cloning_domain> \--so-password <so_password>

Les paramètres sont les suivants :

<hsm_arn>

L'identifiant du HSM vous souhaitez initialiser.<label>

Nom unique du HSM.

29

AWS CloudHSM Classic Guide de l'utilisateurConnecter votre HSM sur site

<cloning_domain>

Le domaine de clonage du HSM, qui est un secret utilisé pour contrôler le clonage des clésd'un HSM à un autre. Si vous vous apprêtez à cloner un HSM à l'aide de la commande clone-hsm (p. 65), les HSM source et destination doivent être initialisés avec le même nom dedomaine de clonage.

<so_password>

Le mot de passe à définir pour le compte du responsable sécurité sur le HSM. Enregistrez ce motde passe sur votre Feuille de calcul de mot de passe (p. 37).

L'initialisation d'un HSM définit également le mot de passe pour le compte du responsablesécurité HSM (également appelé administrateur). Ce mot de passe doit être le même pour tous lesHSM du même groupe de partitions haute disponibilité. Enregistrez le mot de passe du responsablesécurité sur votre Feuille de calcul de mot de passe (p. 37) et ne le perdez pas. Nous vousrecommandons d'imprimer une copie de la Feuille de calcul de mot de passe (p. 37), de l'utiliserpour enregistrer vos mots de passe AWS CloudHSM Classic et de la stocker dans un endroit sûr.Nous vous recommandons également de stocker au moins une copie de cette feuille de calcul dans unstockage hors site sécurisé. AWS ne peut pas récupérer vos clés à partir d'un HSM pour lequel vousne disposez pas des informations d'identification du responsable sécurité HSM appropriées.

Répétez la commande initialize-hsm (p. 90) pour chaque ARN des HSM que vous souhaitezinitialiser.

4. Fermez la connexion SSH persistante au HSM à l'aide de la commande suivante.

$ ssh -O stop <hsm_ip_address>

Connecter votre HSM sur siteSi vous le souhaitez, vous pouvez connecter les appliances HSM SafeNet Luna SA de votre centre dedonnées à vos instances AWS à l'aide de VPN ou de AWS Direct Connect. Pour plus d'informations,consultez la page de présentation détaillée de AWS Direct Connect.

Configuration de votre client AWS CloudHSMClassic

Lisez les rubriques suivantes pour apprendre à installer le logiciel client HSM.

Rubriques• Configuration d'un client Linux HSM (p. 30)• Configuration d'un client HSM Windows (p. 33)

Configuration d'un client Linux HSMPour configurer un client Linux HSM, vous devez installer le logiciel client AWS CloudHSM Classic survotre instance client Linux. AWS CloudHSM Classic offre une Amazon Machine Image (AMI) personnaliséeque vous pouvez utiliser pour lancer une instance Amazon Elastic Compute Cloud (Amazon EC2)préconfigurée avec le logiciel client HSM. Si vous configurez votre environnement automatiquement avecAWS CloudFormation, ou si vous avez utilisé l'AMI AWS CloudHSM Classic pour lancer votre instance

30

AWS CloudHSM Classic Guide de l'utilisateurConfiguration d'un client Linux HSM

client, vous pouvez passer à Création d'un lien de confiance réseau entre un client Linux et l'applianceHSM (p. 31).

Vous pouvez également installer le logiciel client AWS CloudHSM Classic manuellement. Pour installermanuellement le logiciel client AWS CloudHSM Classic sur une instance EC2 non lancée à partir del'AMI du client AWS CloudHSM Classic, consultez les instructions suivantes. Les étapes suivantes sontpour l'AMI x86 pour 64 bits Amazon Linux et peuvent nécessiter des modifications si vous utilisez unearchitecture système différente.

Pour installer et configurer manuellement un client HSM Linux

1. Connectez-vous à l'instance Linux sur laquelle vous installez le client HSM. L'instance doit être encours d'exécution dans le même VPC que votre HSM.

2. Téléchargez le package du logiciel client sur https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz. Vous pouvez vérifier l'intégrité du package téléchargé avec la valeur dehachage SHA 256 suivante :

4777ae559cfa9421735f73b4c1a2fe69b2f43d4d774f36e4050e773c23372f4c

Cette valeur de hachage est également disponible sur https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz.sha256.

3. Extrayez les fichiers du package, puis exécutez le fichier 610-012382-008_revC/linux/64/install.sh en tant que racine et installez l'option Luna SA.

Création d'un lien de confiance réseau entre un client Linux etl'appliance HSMLes instructions suivantes utilisent l'application vtl, qui fait partie des outils du client Luna SA installéprécédemment. L'application vtl est installée dans /usr/safenet/lunaclient/bin/. Vousdevez inclure ce chemin d'accès chaque fois que vous utilisez la commande ou l'ajouter à la variabled'environnement PATH.

Note

En vue d'effectuer les étapes suivantes pour plusieurs appliances HSM, effectuez toutes lesétapes pour le premier HSM. Puis recommencez et effectuez toutes les étapes pour le deuxièmeHSM, et ainsi de suite.

Pour créer un lien de confiance réseau entre le client et l'appliance HSM

Ces instructions s'appliquent à Amazon Linux x86 64 bits et peut nécessiter des modifications basées surl'architecture de votre système.

1. Utilisez la commande scp pour copier le certificat de serveur du HSM vers l'instance client.

scp -i ~/.ssh/<private key file> manager@<HSM IP address>:server.pem .

Le <fichier de clé privée> est le nom de fichier de clé privée SSH utilisé pour la connexion auHSM. Le point (.) à la fin de la commande est obligatoire et demande à scp de copier le fichier obtenudans le répertoire actuel.

2. Utilisez la commande vtl pour enregistrer le certificat de serveur HSM auprès du client.

sudo vtl addServer -n <HSM IP address> -c server.pem

Lorsque cette commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit.

31

AWS CloudHSM Classic Guide de l'utilisateurConfiguration d'un client Linux HSM

New server <HSM IP address> successfully added to server list.

3. Utilisez la commande vtl afin de créer un certificat de client pour votre instance client.

sudo vtl createCert -n <client name>

Le nom &lt;nom_client&gt; peut être tout nom unique qui ne contient ni espaces ni caractèresspéciaux. Lorsque cette commande s'exécute correctement, vous obtenez une sortie similaire à ce quisuit.

Private Key created and written to:<client cert directory>/<client name>Key.pemCertificate created and written to:<client cert directory>/<client name>.pem

Note

Vous pouvez également créer des certificats à partager entre plusieurs instances. Pour plusd'informations, consultez Création d'une AMI avec la configuration du client HSM (p. 115).

4. Utilisez la commande scp pour copier le certificat de client dans le HSM.

scp -i ~/.ssh/<private key file> <client cert directory>/<client name>.pem manager@<HSM IP address>:

Note

Les deux points (:) après la destination est obligatoire. Sans eux, scp ne reconnaît pas ladestination fournie en tant que serveur à distance.

5. Utilisez la commande ssh pour vous connecter au HSM.

ssh -i ~/.ssh/<private key file> manager@<HSM IP address>

6. Dans le HSM, utilisez la commande client register pour enregistrer le client.

lunash:> client register -client <client ID> -hostname <client name>

Lorsque cette commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit.

'client register' successful.

Le <nom du client> doit être le même nom que celui utilisé pour la commande createCertprécédente. L'ID <ID client> peut être tout nom unique qui ne contient ni espaces ni caractèresspéciaux. Pour éviter toute confusion, nous vous suggérons de garder ces deux noms identiques.

Note

Vous pouvez créer des certificats à partager entre plusieurs instances. Pour plusd'informations, consultez Création d'une AMI avec la configuration du client HSM (p. 115).

7. Dans le HSM, utilisez la commande client assignPartition pour attribuer le client à unepartition.

lunash:> client assignPartition -client <client ID> -partition <partition name>

32

AWS CloudHSM Classic Guide de l'utilisateurConfiguration d'un client HSM Windows

Pour enregistrer le client avec un groupe de partitions haute disponibilité, consultez Enregistrement d'unclient avec un groupe de partitions haute disponibilité (p. 44).

Configuration d'un client HSM WindowsPour configurer un client HSM Windows, vous devez installer manuellement le logiciel client HSM sur votreinstance client Windows.

Pour configurer un client HSM Windows

1. Connectez-vous à l'instance Windows sur laquelle vous installez le client HSM. L'instance doit être encours d'exécution dans le même VPC que votre HSM.

2. Téléchargez le package du logiciel client sur https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz. Vous pouvez vérifier l'intégrité du package téléchargé avec la valeur dehachage SHA 256 suivante :

4777ae559cfa9421735f73b4c1a2fe69b2f43d4d774f36e4050e773c23372f4c

Cette valeur de hachage est également disponible sur https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz.sha256.

3. Extrayez les fichiers du package, exécutez le fichier 610-012382-008_revC\windows\64\LunaClient.msi, puis installez l'option Luna SA.

Création d'un lien de confiance réseau entre un client Windows etl'appliance HSMLes instructions suivantes utilisent l'application vtl, qui fait partie des outils du client Luna SA installéprécédemment. L'application vtl est installée dans %ProgramFiles%\SafeNet\LunaClient\. Vousdevez inclure ce chemin d'accès chaque fois que vous utilisez la commande ou l'ajouter à la variabled'environnement PATH.

Note

En vue d'effectuer les étapes suivantes pour plusieurs appliances HSM, effectuez toutes lesétapes pour le premier HSM. Puis recommencez et effectuez toutes les étapes pour le deuxièmeHSM, et ainsi de suite.

Pour créer un lien de confiance réseau entre un client Windows et l'appliance HSM

1. Utilisez la commande pscp pour copier le certificat de serveur du HSM vers l'instance client.

pscp -i <private key file>.ppk manager@<hsm IP address>:server.pem .

Le <fichier de clé privée> est le nom de chemin d'accès et de fichier du fichier de clé privéePuTTY utilisé pour vous connecter à l'appliance HSM. Le point (.) à la fin de la commande estobligatoire et demande à pscp de copier le fichier obtenu dans le répertoire actuel.

2. Utilisez la commande vtl pour enregistrer le certificat de serveur HSM auprès du client.

Important

Vous devez exécuter cette commande en tant qu'administrateur. Pour ce faire, cliquez avec lebouton droit sur l'icône cmd.exe et choisissez Exécuter en tant qu'administrateur.

vtl addServer -n <hsm IP address> -c server.pem

33

AWS CloudHSM Classic Guide de l'utilisateurConfiguration d'un client HSM Windows

Lorsque cette commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit.

New server <HSM IP address> successfully added to server list.

3. Utilisez la commande vtl afin de créer un certificat de client pour votre instance client.

Important

Vous devez exécuter cette commande en tant qu'administrateur. Pour ce faire, cliquez avec lebouton droit sur l'icône cmd.exe et sélectionnez Exécuter en tant qu'administrateur.

vtl createCert -n <client name>

Le nom &lt;nom_client&gt; peut être tout nom unique qui ne contient ni espaces ni caractèresspéciaux. Lorsque cette commande s'exécute correctement, vous obtenez une sortie similaire à ce quisuit.

Private Key created and written to:<client cert directory>\<client name>Key.pemCertificate created and written to:<client cert directory>\<client name>.pem

Note

Vous pouvez également créer des certificats à partager entre plusieurs instances. Pour plusd'informations, consultez Création d'une AMI avec la configuration du client HSM (p. 115).

4. Utilisez la commande pscp pour copier le certificat de client dans le HSM.

pscp -i <private key file> <client cert directory>\<client name>.pem manager@<HSM IP address>:

Note

Les deux points (:) après la destination est obligatoire. Sans eux, pscp ne reconnaît pas ladestination fournie en tant que serveur à distance.

5. Utilisez PuTTY pour vous connecter au HSM.6. Dans le HSM, utilisez la commande client register pour enregistrer le client.

lunash:> client register -client <client ID> -hostname <client name>

Lorsque cette commande s'exécute correctement, vous obtenez une sortie similaire à ce qui suit.

'client register' successful.

Le <nom du client> doit être le même nom que celui utilisé pour la commande createCertprécédente. L'ID <ID client> peut être tout nom unique qui ne contient ni espaces ni caractèresspéciaux. Pour éviter toute confusion, nous vous suggérons de garder ces deux noms identiques.

Note

Vous pouvez créer des certificats à partager entre plusieurs instances. Pour plusd'informations, consultez Création d'une AMI avec la configuration du client HSM (p. 115).

7. Dans le HSM, utilisez la commande client assignPartition pour attribuer le client à unepartition.

34

AWS CloudHSM Classic Guide de l'utilisateurConfiguration d'un client HSM Windows

lunash:> client assignPartition -client <client ID> -partition <partition name>

Pour enregistrer le client avec un groupe de partitions haute disponibilité, consultez Enregistrement d'unclient avec un groupe de partitions haute disponibilité (p. 44).

35

AWS CloudHSM Classic Guide de l'utilisateurBonnes pratiques d'ordre général

Bonnes pratiquesRubriques

• Bonnes pratiques d'ordre général (p. 36)• Bonnes pratiques des mots de passe (p. 36)• Feuille de calcul de mot de passe (p. 37)

Bonnes pratiques d'ordre général• Utiliser une configuration haute disponibilité. AWS vous recommande d'utiliser deux ou plusieurs

appliances HSM, dans des zones de disponibilité distinctes, dans une configuration haute disponibilité,pour éviter toute perte de données en cas d'indisponibilité d'une zone de disponibilité. Pour plusd'informations sur la mise en place d'une configuration haute disponibilité, consultez Haute disponibilitéet équilibrage de charge (p. 39).

• L'initialisation d'un HSM détruit définitivement les clés à l'intérieur du HSM. Ne jamais initialiser leHSM, sauf si vous êtes certain que les clés ont été sauvegardées ailleurs ou que les clés ne sont plusnécessaires.

• Pour mettre à niveau l'appliance ou le logiciel client AWS CloudHSM Classic Luna SA, ou lemicroprogramme HSM, utilisez uniquement les versions prises en charge répertoriées dans le Guide demise à niveau AWS CloudHSM Classic (p. 119). N'appliquez pas de correctifs logiciels ni de mises àjour non pris en charge à l'appliance. Si vous avez des questions sur la prise en charge d'une version oud'un correctif logiciel particulier par AWS CloudHSM Classic, contactez AWS Support.

• Ne pas modifier la configuration réseau de l'appliance.• Ne pas supprimer ni modifier la configuration de réacheminement syslog fournie sur l'appliance. Vous

pouvez ajouter des destinations supplémentaires aux messages syslog, tant que vous ne modifiez pas nisupprimez ceux qui existent déjà.

• Ne pas modifier ni supprimer toute configuration SNMP fournie sur l'appliance. Vous pouvez ajouter uneconfiguration SNMP supplémentaire tant que vous ne perturbez pas la configuration déjà présente.

• Ne pas modifier la configuration NTP fournie sur l'appliance.

Bonnes pratiques des mots de passe• Noter le mot de passe du responsable sécurité HSM (aussi appelé administrateur) sur votre Feuille

de calcul de mot de passe (p. 37) et ne pas perdre la feuille de calcul. Nous vous recommandonsd'imprimer une copie de la Feuille de calcul de mot de passe (p. 37), de l'utiliser pour enregistrer vosmots de passe AWS CloudHSM Classic et de la stocker dans un endroit sûr. Nous vous recommandonségalement de stocker au moins une copie de cette feuille de calcul dans un stockage hors sitesécurisé. AWS ne peut pas récupérer vos clés à partir d'un HSM pour lequel vous ne disposez pas desinformations d'identification du responsable sécurité HSM appropriées.

• Ne pas modifier le mot de passe administrateur de l'appliance HSM. AWS utilise ce mot de passe pour lalivraison de service.

• Vous devez utiliser une clé SSH pour la connexion au compte du responsable. Pour plus d'informations,consultez Génération d'une clé SSH (p. 15). AWS peut recréer le compte du responsable si vous perdezl'accès au compte. Si vous préférez, vous pouvez éventuellement définir un mot de passe pour le comptedu responsable.

• Les mots de passe de partition HSM doivent être coordonnés avec les clients et les applications quidépendent des mots de passe. Pour plus d'informations sur l'utilisation des rôles IAM pour distribuer

36

AWS CloudHSM Classic Guide de l'utilisateurFeuille de calcul de mot de passe

les mots de passe, consultez le billet de blog Utilisation des rôles IAM pour distribuer des informationsd'identification autres qu'AWS à vos instances EC2.

Feuille de calcul de mot de passeUtilisez la feuille de calcul suivante pour compiler des informations pour vos appliances AWS CloudHSM.Imprimez cette page et utilisez-la pour enregistrer vos mots de passe AWS CloudHSM, et stockez-la dansun emplacement sécurisé. Nous vous recommandons également de stocker au moins une copie de cettefeuille de calcul dans un stockage hors site sécurisé.

Mot de passe du responsable sécurité

Ce mot de passe a été défini lorsque vous avez initialisé l'appliance HSM.

_________________________________________________Mot de passe du gestionnaire (Facultatif)

Ce mot de passe a été défini en option avec la commande user password manager surl'appliance HSM.

_________________________________________________

Mots de passe de partition

Etiquette de partition Mot de passe : Domaine de clonage

     

     

     

     

     

     

     

     

     

     

     

     

37

AWS CloudHSM Classic Guide de l'utilisateur

Opérations et maintenanceAWS surveille vos appliances HSM et peut corriger des problèmes de configuration mineurs liés à ladisponibilité de l'appliance. De telles opérations n'ont pas d'incidence sur votre utilisation de l'applianceHSM.

Si une opération de gestion doit être effectuée qui pourrait perturber le service, AWS fournit alors unpréavis 24 heures avant d'effectuer l'opération.

Il est possible que, dans des circonstances imprévues, AWS doive assurer la maintenance en urgencesans préavis. Nous essayons d'éviter cette situation. Toutefois, si la disponibilité est un sujet depréoccupation, AWS vous recommande vivement d'utiliser deux ou plusieurs appliances HSM situéesdans des zones de disponibilité distinctes dans une configuration haute disponibilité. La défaillance d'uneseule appliance HSM dans une configuration autre que de haute disponibilité peut se traduire par la pertepermanente des clés et des données.

AWS n'assure pas de maintenance de routine sur les appliances HSM situées dans plusieurs zones dedisponibilité de la même région dans la même période de 24 heures.

Pour plus d'informations sur la façon de mettre en place une configuration haute disponibilité, consultezHaute disponibilité et équilibrage de charge (p. 39).

Pour plus d'informations sur l'administration et la maintenance de votre appliance HSM, accédez àAdministration de votre Luna SA dans la documentation SafeNet Luna SA.

38

AWS CloudHSM Classic Guide de l'utilisateur

Haute disponibilité et équilibrage decharge

La configuration recommandée pour l'utilisation de AWS CloudHSM Classic consiste à utiliser deux HSMconfigurés dans une configuration haute disponibilité (HA). La défaillance d'une seule appliance HSM dansune configuration autre que de haute disponibilité peut se traduire par la perte permanente des clés et desdonnées. Un minimum de deux HSM sont suggérés à des fins de haute disponibilité, avec chaque HSMdans une zone de disponibilité différente. Avec cette configuration, si l'un de vos HSM n'est pas disponible,vos clés sont toujours disponibles. Cette rubrique contient des informations sur la façon de configurer uneconfiguration haute disponibilité classique.

La haute disponibilité permet le regroupement de plusieurs HSM pour former un appareil virtuel, ou uneunité logique, tel qu'observé du client, similaire à la mise en cluster ou aux technologies RAID. Dansune configuration haute disponibilité, le service est maintenu même en cas d'indisponibilité d'un ouplusieurs HSM. Par exemple, si trois HSM sont regroupés dans un groupe haute disponibilité, le service estmaintenu, même si les deux HSM sont hors connexion.

Une fois configuré pour la haute disponibilité, chaque HSM rejoint un groupe haute disponibilité, géré viale client HSM. Pour les clients HSM, le groupe haute disponibilité apparaît comme un seul HSM. Toutefois,sur le plan opérationnel, les membres du groupe haute disponibilité partagent la charge de transaction,synchronisent les données entre eux et redistribuent gracieusement la capacité de traitement en cas dedéfaillance dans un membre HSM afin de maintenir le service sans interruption pour les clients. La hautedisponibilité fournit l'équilibrage de charge entre tous les membres HSM pour augmenter les performanceset le temps de réponse, tout en offrant l'assurance du service haute disponibilité. Tous les membres HSMsont actifs (plutôt qu'un actif et le reste passif). Les appels sont passés de chaque application cliente via lelogiciel côté client HSM (bibliothèque) à l'un des membres HSM sur une base du moins occupé.

Pour plus d'informations, consultez la fiche technique Présentation de la haute disponibilité et del'équilibrage de charge Luna sur le site Web de Gemalto SafeNet. Pour plus d'informations sur les bonnespratiques de la haute disponibilité, consultez Bonnes pratiques pour la haute disponibilité et l'équilibrage decharge (p. 40).

Le service AWS CloudHSM Classic définit une ressource appelée groupe de partitions haute disponibilité.Un groupe de partitions haute disponibilité est une partition virtuelle qui représente un groupe de partitions,généralement réparties entre plusieurs HSM physiques pour la haute disponibilité. Vous utilisez les outils

39

AWS CloudHSM Classic Guide de l'utilisateurBonnes pratiques pour la haute

disponibilité et l'équilibrage de charge

de l'interface de ligne de commande AWS CloudHSM Classic pour créer et gérer vos groupes de partitionshaute disponibilité.

Rubriques• Bonnes pratiques pour la haute disponibilité et l'équilibrage de charge (p. 40)• Création d'un groupe de partitions haute disponibilité (p. 42)

Bonnes pratiques pour la haute disponibilité etl'équilibrage de charge

AWS recommande les bonnes pratiques suivantes pour la haute disponibilité et l'équilibrage de charge devos appliances HSM.

Rubriques• Bonnes pratiques d'ordre général (p. 40)• Bonnes pratiques pour la perte et la récupération (p. 40)

Bonnes pratiques d'ordre général• Lorsqu'un groupe haute disponibilité est partagé par plusieurs clients AWS CloudHSM Classic, la bonne

pratique pour ces clients consiste à sélectionner différents membres haute disponibilité principaux, pourune meilleure tolérance aux pannes et une distribution plus égale de la charge de travail des opérationsde chiffrement.

Pour plus d'informations, consultez les rubriques suivantes dans la documentation SafeNet Luna SA :

• Vue d'ensemble de la haute disponibilité et de l'équilibrage de charge Luna• Haute disponibilité avec Luna SA

Bonnes pratiques pour la perte et la récupérationRubriques

• Récupération haute disponibilité (p. 41)• Récupération de la perte d'un sous-ensemble de membres haute disponibilité (p. 41)• Récupération de la perte de tous les membres haute disponibilité (p. 42)

40

AWS CloudHSM Classic Guide de l'utilisateurBonnes pratiques pour la perte et la récupération

Récupération haute disponibilitéLa récupération haute disponibilité est une reprise sans intervention des membres du groupe hautedisponibilité ayant échoué. Avant la mise en place de cette fonction, la fonctionnalité haute disponibilitéfournissait la redondance et les performances, mais exigeait qu'un membre du groupe ayant échoué/étant perdu soit manuellement réintégré. Si la fonctionnalité de récupération haute disponibilité n'est pasenclenchée, la haute disponibilité exige toujours une intervention manuelle pour rétablir membres. Unmembre d'un groupe haute disponibilité peut échouer pour les raisons suivantes :

• L'appliance HSM perd de la puissance, mais en regagne en moins de deux heures, temps au coursduquel l'appliance HSM conserve son état d'activation.

• La connexion réseau est perdue.

La récupération haute disponibilité fonctionne si les conditions suivantes sont réunies :

• La récupération automatique haute disponibilité est activée.• Le groupe haute disponibilité possède au moins deux nœuds.• Le nœud haute disponibilité est accessible (connecté) au démarrage.• La limite des nouvelles tentatives de récupération du nœud haute disponibilité n'est pas accessible. Si

elle est atteinte ou dépassée, la seule option pour restaurer les connexions arrêtées est une récupérationmanuelle.

Si tous les nœuds haute disponibilité échouent (il n'existe aucun lien à partir du client HSM), la récupérationn'est pas possible.

La logique de récupération haute disponibilité de la bibliothèque tente d'abord de récupérer un membreayant échoué lorsque votre application effectue un appel à son appliance HSM (le groupe hautedisponibilité). En d'autres termes, un client HSM inactif ne tente pas de récupération.

Toutefois, un client HSM occupé remarquera une légère pause toutes les minutes, comme la bibliothèquetente de récupérer un membre du groupe haute disponibilité abandonné jusqu'à ce que les membres soientréintégrés ou jusqu'à ce que la période de nouvelle tentative ait été atteinte/dépassée et il arrête de tenter.Par conséquent, définissez la période de nouvelle tentative en fonction de votre situation opérationnellenormale ; par exemple, les types et les durées des interruptions de réseau dont vous faites l'expérience.

La récupération automatique haute disponibilité n'est pas activée par défaut. Elle doit être explicitementactivée en suivant les instructions de Activation de la récupération automatique (p. 114). Pour plusd'informations sur la haute disponibilité et la récupération automatique, consultez les rubriques suivantesdans la documentation SafeNet Luna SA :

• Configuration de la haute disponibilité• Client - Créer un groupe haute disponibilité

Récupération de la perte d'un sous-ensemble de membres hautedisponibilitéEn cas de perte d'un sous-ensemble de membres haute disponibilité, AWS recommande la procéduresuivante pour récupérer les membres du groupe.

Lorsque vous êtes averti par AWS que la connexion a été récupérée, exécutez la commande suivante pourrétablir les membres déconnectés du groupe haute disponibilité :

vtl haAdmin recover -group <ha_group_label>

41

AWS CloudHSM Classic Guide de l'utilisateurCréation d'un groupe de partitions haute disponibilité

AWS recommande également une nouvelle tentative de connexion pendant une courte période, desorte que les déconnexions causées par des pannes réseau temporaires puissent être récupéréesautomatiquement. Par exemple, retentez la connexion 5 fois, à un intervalle d'une tentative toutes lesminutes, comme indiqué ci-dessous.

vtl haAdmin autoRecovery -interval 60vtl haAdmin autoRecovery -retry 5

Si vous ne voulez pas récupérer les membres du groupe manuellement, mais que vous voulez quandmême réduire l'impact causé par la récupération automatique, procédez comme suit :

Pour récupérer les membres du groupe et réduire l'impact de la récupération

• Retentez la connexion une fois toutes les 3 minutes, jusqu'à ce que la connexion aboutisse.

vtl haAdmin autoRecovery -interval 180vtl haAdmin autoRecovery -retry -1

Pour récupérer les membres du groupe avec une application de chiffrement spéciale

• Pour des applications de chiffrement spéciales, renseignez-vous auprès de SafeNet ou d'AWS au caspar cas.

Récupération de la perte de tous les membres haute disponibilitéEn cas de perte de tous les membres haute disponibilité, (la communication entre tous lesmembres de votre groupe haute disponibilité est complètement perdue), vous pouvez utiliserLunaSlotManager.reinitialize(). Si vous utilisez LunaSlotManager.reinitialize(), vousn'avez pas besoin de redémarrer vos applications. Autrement, vous pouvez redémarrer vos applications etutiliser la récupération manuelle.

Pour plus d'informations sur LunaSlotManager.reinitialize(), consultez LunaProvider :Récupération de la perte de tous les membres haute disponibilité à l'aide de LunaSlotManager.reinitialize()dans les notes techniques de SafeNet Luna SA.

Important

• LunaHAStatus.isOK()retourne true uniquement lorsque tous les membres haute disponibilité sontprésents. Cette méthode retourne false quand au moins un membre haute disponibilité est manquantet lève une exception si tous les membres haute disponibilité sont manquants.

• L'option HA-only doit être activée pour que le numéro d'emplacement haute disponibilité resteinchangé.

Création d'un groupe de partitions hautedisponibilité

La création d'un groupe de partitions haute disponibilité est un processus en deux étapes. Vous créezle groupe de partitions haute disponibilité, puis vous enregistrez les clients à utiliser avec le groupe departitions haute disponibilité.

Tâches• Création d'un groupe de partitions haute disponibilité (p. 43)

42

AWS CloudHSM Classic Guide de l'utilisateurCréation d'un groupe de partitions haute disponibilité

• Enregistrement d'un client avec un groupe de partitions haute disponibilité (p. 44)

Création d'un groupe de partitions haute disponibilitéPour créer un groupe de partitions haute disponibilité, procédez comme suit.

Note

Tous les exemples de commandes supposent que vous avez défini aws_access_key_id,aws_secret_access_key et aws_region dans un fichier de configuration sur ~/cloudhsm.conf.Pour plus d'informations, consultez Fichiers de configuration (p. 22).

Pour créer et initialiser un groupe de partitions HD

1. Créez un groupe de partitions haute disponibilité à l'aide de la commande suivante créer-hapg (p. 70).

$ cloudhsm create-hapg --conf_file ~/cloudhsm.conf --group-label <label>

<label> est un nom unique pour le groupe de partitions haute disponibilité.2. Ajoutez vos HSM initialisés au groupe de partitions haute disponibilité à l'aide de la commande

suivante add-hsm-to-hapg (p. 60).

$ cloudhsm add-hsm-to-hapg --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \--hapg-arn <hapg_arn> \--cloning-domain <cloning_domain> \--partition-password <partition_password> \--so-password <so_password>

Les paramètres sont les suivants :

<hsm_arn>

L'identifiant du HSM à ajouter au groupe de partitions haute disponibilité.<hapg_arn>

L'identifiant du groupe de partitions haute disponibilité existant.<cloning_domain>

Le domaine de clonage du groupe de partitions haute disponibilité.<partition_password>

Le mot de passe pour les partitions membres. Enregistrez ce mot de passe sur votre Feuillede calcul de mot de passe (p. 37). Il doit être identique pour tous les HSM du même groupe departitions haute disponibilité.

<so_password>

Mot de passe du responsable sécurité pour <hsm_arn>.

Si la commande s'exécute correctement, la sortie est similaire à ce qui suit :

{ "Status": "Addition of HSM <hsm_arn> to HAPG <hapg_arn> successful"}

43

AWS CloudHSM Classic Guide de l'utilisateurEnregistrer le client

Enregistrez le mot de passe de la partition sur votre Feuille de calcul de mot de passe (p. 37).

Enregistrez l'ARN du groupe de partitions HD renvoyé depuis la commande créer-hapg (p. 70) pourun usage ultérieur.

3. Répétez l’étape précédente pour chaque HSM que vous souhaitez inclure dans le groupe de partitionshaute disponibilité.

Enregistrement d'un client avec un groupe departitions haute disponibilitéPour permettre à un client d'utiliser un groupe de partitions haute disponibilité, vous devez effectuer lestâches suivantes.

Note

Tous les exemples de commandes supposent que vous avez défini aws_access_key_id,aws_secret_access_key et aws_region dans un fichier de configuration sur ~/cloudhsm.conf.Pour plus d'informations, consultez Fichiers de configuration (p. 22).

Tâches• Créer le client (p. 44)• Enregistrer le client (p. 44)• Générer la configuration du client (p. 45)• Vérifier la configuration du client (p. 45)

Créer le clientAvant de créer un client, vous devez créer un certificat pour le client, comme indiqué dans Certificats declients (p. 22).

Une fois le certificat créé, créez le client à l'aide de la commande suivante create-client (p. 68).

$ cloudhsm create-client --conf_file ~/cloudhsm.conf --certificate-file <client_cert_file>

Si la commande s'exécute correctement, la sortie est similaire à ce qui suit :

{ "ClientArn": "<client_arn>", "RequestId": "<request_id>"}

Notez la valeur de <client_arn>, car elle est nécessaire pour enregistrer le client.

Enregistrer le clientUne fois le client créé, enregistrez le client avec le groupe de partitions haute disponibilité à l'aide de lacommande suivante register-client-to-hapg (p. 100).

$ cloudhsm register-client-to-hapg --conf_file ~/cloudhsm.conf \--client-arn <client_arn> \--hapg-arn <hapg_arn>

44

AWS CloudHSM Classic Guide de l'utilisateurEnregistrer le client

Si la commande s'exécute correctement, la sortie est similaire à ce qui suit :

{ "Status": "Registration of the client <client_arn> to the HA partition group <hapg_arn> successful"}

Générer la configuration du clientUne fois le client enregistré, vous obtenez les certificats du fichier et du serveur de configuration du client.

Pour attribuer le client au groupe de partitions haute disponibilité, utilisez la commande suivante get-client-configuration (p. 87) sur le client :

$ cloudhsm get-client-configuration --conf_file ~/cloudhsm.conf \--client-arn <client_arn> \--hapg-arns <hapg_arn> \--cert-directory <server_cert_location> \--config-directory /etc/

Si la commande s'exécute correctement, la sortie est similaire à ce qui suit :

The configuration file has been copied to /etc/The server certificate has been copied to /usr/safenet/lunaclient/cert/server

Vérifier la configuration du clientVérifiez votre configuration à l'aide de la commande suivante, puis pointez votre application cliente versle HSM, en faisant référence à ce HSM par l'étiquette du groupe de partitions haute disponibilité que vousavez spécifiée.

>vtl haAdmin show

Dans la sortie, sous le titre « Informations sur les membres et le groupe de partitions haute disponibilité »,confirmez que le nombre des membres du groupe est égal au nombre de HSM du groupe de partitionshaute disponibilité.

45

AWS CloudHSM Classic Guide de l'utilisateur

Réplication de clés entre HSMNote

Tous les exemples de commandes supposent que vous avez défini aws_access_key_id,aws_secret_access_key et aws_region dans un fichier de configuration sur ~/cloudhsm.conf.Pour plus d'informations, consultez Fichiers de configuration (p. 22).

Si nécessaire, vous pouvez cloner le contenu d'un groupe de partitions haute disponibilité existant vers unnouveau groupe de partitions haute disponibilité à l'aide de la commande suivante clone-hapg (p. 63).Lorsque vous créez le groupe de partitions haute disponibilité, vous devez indiquer le même domaine declonage et mot de passe de partition que le groupe de partitions haute disponibilité source.

$ cloudhsm clone-hapg --conf_file ~/cloudhsm.conf \--src-hapg-arn <src_arn> \--dest-hapg-arn <dest_arn> \--hapg-password <hapg_password>

Les paramètres sont les suivants :

<src_arn>

L'identifiant du groupe de partitions haute disponibilité à partir duquel cloner. Les deux groupes departitions haute disponibilité doivent avoir le même domaine de clonage et mot de passe de partition.

<dest_arn>

L'identifiant du groupe de partitions haute disponibilité vers lequel cloner. Les deux groupes departitions haute disponibilité doivent avoir le même domaine de clonage et mot de passe de partition.

<hapg_password>

Le mot de passe pour le groupe de partitions. Les deux groupes de partitions HD doivent avoir lemême mot de passe.

Si la commande s'exécute correctement, la sortie est similaire à ce qui suit :

cloudhsmcli.hapg_cloner: Backing up existing config filescloudhsmcli.hapg_cloner: Collecting information about the HA Partition groupscloudhsmcli.hapg_cloner: Setting up a cloning environmentcloudhsmcli.hapg_cloner: Cloning the HA partition groupscloudhsmcli.hapg_cloner: Cleaning up the cloning environmentcloudhsmcli.hapg_cloner: Restoring existing config files{ "Status": "Completed cloning the HA partition group <src_arn> to the HA partition group <dest_arn>"}

Enregistrez l'ARN du groupe de partitions HD renvoyé depuis la commande clone-hapg (p. 63) pour unusage ultérieur.

46

AWS CloudHSM Classic Guide de l'utilisateurSauvegarde des données HSM sous Windows

Sauvegarde et restauration desdonnées HSM vers un HSM desauvegarde Luna SA

Outre la recommandation d'AWS d'utiliser deux ou plusieurs appliances HSM dans une configurationhaute disponibilité pour éviter la perte des clés et des données, vous pouvez également effectuer unesauvegarde/restauration à distance d'une partition Luna SA si vous avez acheté un HSM de sauvegardeLuna. Pour plus d'informations sur le HSM de sauvegarde Luna, téléchargez la présentation du produitHSM de sauvegarde Luna sur le site web de Gemalto SafeNet.

Le HSM de sauvegarde Luna garantit que votre matériel de chiffrement sensible reste fortement protégémême s'il n'est pas utilisé. Vous pouvez facilement sauvegarder et dupliquer des clés en toute sécuritévers le HSM de sauvegarde Luna pour plus de sécurité en cas d'urgence, de défaillance ou de catastrophenaturelle.

Les fonctionnalités de sauvegarde à distance permettent aux administrateurs de déplacer des copies deleur matériel de chiffrement sensible en toute sécurité à d'autres HSM SafeNet. Avec un seul HSM desauvegarde Luna, un administrateur peut sauvegarder et restaurer les clés vers et depuis 20 appliancesHSM Luna au maximum.

Le HSM de sauvegarde Luna est lié à un ordinateur client directement via le port USB. L'ordinateur clientest un ordinateur Windows ou Linux qui est en dehors d'AWS, sur lequel le logiciel client SafeNet Luna estinstallé. L'ordinateur client doit également disposer d'une connectivité IP à votre HSM dans le cloud AWS.

Rubriques• Sauvegarde des données HSM sous Windows (p. 47)• Restauration des données HSM à partir d'un HSM de sauvegarde Luna (p. 48)

Sauvegarde des données HSM sous WindowsPour sauvegarder les données HSM sous Windows

1. Connectez le HSM de sauvegarde Luna à votre ordinateur Windows à l'aide d'USB. Pour plusd'informations sur le HSM de sauvegarde Luna, consultez la présentation du produit HSM desauvegarde Luna sur le site web de Gemalto SafeNet.

2. Installez le pilote de sauvegarde à distance Luna (610-011646-001) à l'adresse suivante :

https://s3.amazonaws.com/cloudhsm-software/610-011646-001.tar3. Dans Panneau de configuration, ouvrez le Gestionnaire de périphériques, sélectionnez Appareil Luna

G5, cliquez avec le bouton droit et sélectionnez Mettre à jour le pilote.4. Suivez les étapes de Configuration de vos HSM (p. 27) et Configuration de votre client AWS

CloudHSM Classic (p. 30).5. À l'aide de PuTTY, connectez votre HSM via SSH.6. Exécutez la commande suivante sur votre HSM pour afficher les détails de l'appliance HSM :

lunash:> hsm show

47

AWS CloudHSM Classic Guide de l'utilisateurRestauration des données HSM à

partir d'un HSM de sauvegarde Luna

7. Exécutez la commande suivante sur votre HSM pour afficher le contenu de la partition :

lunash:> par showc -par pm

8. Établissez une connexion NTLS en exécutant la commande suivante à partir de l'invite de commandeWindows :

C:\> vtl verify

9. Répertoriez les emplacements disponibles en exécutant la commande suivante :

C:\> vtl listslots

10. Restaurez les paramètres d'usine de l'appliance HSM de sauvegarde Luna en exécutant la commandesuivante. Lorsque vous y êtes invité, tapez yes pour confirmer.

C:\> vtl backup token factoryreset -target 2

11. Initialisez l'appliance HSM de sauvegarde Luna en exécutant la commande suivante. Tapez yeslorsque vous êtes invité à initialiser le HSM, et no lorsque vous êtes invité à utiliser l'authentificationPED.

C:\> vtl backup token init -target 2 -label BackupHSM

Important

Il est important que votre HSM utilise l'authentification par mot de passe.12. Exécutez la commande de sauvegarde à distance :

C:\> vtl backup -source 1 -target 2 -partition pm_backup

13. Tapez yes lorsque vous êtes invité à créer la sauvegarde.14. Si vous souhaitez consulter les détails de la sauvegarde, exécutez la commande suivante :

C:\> vtl backup token show -target 2

Restauration des données HSM à partir d'un HSMde sauvegarde Luna

Pour restaurer les données HSM

1. À l'aide de PuTTY, connectez votre HSM via SSH.2. Connectez-vous au HSM en tant qu'administrateur HSM (responsable sécurité).

lunash:> hsm login

3. Effacez le contenu de la partition en exécutant ce qui suit à partir de votre HSM. Lorsque vous y êtesinvité, entrez votre mot de passe pour cette partition et tapez proceed.

lunash:> partition clear -partition pm

4. Vérifiez que la partition est désactivée en exécutant la commande suivante :

48

AWS CloudHSM Classic Guide de l'utilisateurRestauration des données HSM à

partir d'un HSM de sauvegarde Luna

lunash:> partition showcontents -partition pm

5. Confirmez qu'aucun objet n'existe sur la partition HSM en exécutant la commande suivante à partir del'invite de commande Windows :

C:\> cmu li

6. Lancez la restauration en exécutant la commande suivante. Entrez les mots de passe lorsque vous yêtes invité.

C:\> vtl backup restore -source 2 -partition pm_backup -target 1

7. Confirmez que la restauration s'est effectuée correctement en exécutant la commande suivante à partirdu HSM. Entrez votre mot de passe lorsque vous y êtes invité.

lunash:> partition showcontents -partition pm

8. Vérifiez que le client peut accéder aux objets HSM qui ont été restaurés en exécutant la commandesuivante :

C:\> cmu li

49

AWS CloudHSM Classic Guide de l'utilisateurChiffrement TDE (Transparent Data

Encryption) avec AWS CloudHSM Classic

Intégration des applications tierces àAWS CloudHSM Classic

Ce chapitre explique comment utiliser des applications tierces à AWS CloudHSM Classic.

Rubriques• Chiffrement TDE (Transparent Data Encryption) avec AWS CloudHSM Classic (p. 50)• Chiffrement de volume pour Amazon Elastic Block Store (p. 51)• Chiffrement avec Amazon Simple Storage Service (S3) et SafeNet KeySecure (p. 51)• Configuration de la terminaison SSL sur un serveur Web Apache avec des clés privées stockées dans

AWS CloudHSM Classic (p. 51)• Création de vos propres applications (p. 52)

Si l'application que vous recherchez n'apparaît pas dans la liste, contactez AWS Support ou consultezInteropérabilité HSM sur le site web Gemalto SafeNet.

Chiffrement TDE (Transparent Data Encryption)avec AWS CloudHSM Classic

Le chiffrement TDE réduit le risque de vol de données confidentielles par le chiffrement des donnéessensibles, telles que les numéros de carte de crédit, stockées dans les colonnes de table ou les espacesde table de l'application (conteneurs pour tous les objets stockés dans une base de données).

La rubrique suivante explique comment configurer une base de données Oracle ou Microsoft SQL Server àl'aide du chiffrement TDE tout en stockant la clé de chiffrement principale dans AWS CloudHSM Classic.

Chiffrement TDE d'Oracle Database avec AWSCloudHSM ClassicCes instructions expliquent comment intégrer une base de données Oracle et votre HSM, et apportentégalement les informations nécessaires pour installer, configurer et intégrer une base de données Oracleavec AWS CloudHSM Classic.

Pour configurer le chiffrement TDE d'Oracle Database 11g

Les instructions suivantes sont expliquées en détail dans le Guide d'intégration Oracle Database sur le siteweb Gemalto SafeNet.

1. Configurez vos appliances Luna SA/PCI/HSM. Pour plus d'informations, consultez les instructionsdans Configuration de AWS CloudHSM Classic (p. 3).

2. Installez Oracle Database 11g sur l'ordinateur cible.3. Intégrez Oracle Database 11g R1 (11.1.0.6 ou 11.1.0.7) ou 11g R2 (11.2.0.1, 11.2.0.2 ou 11.2.0.3)

avec vos HSM.

50

AWS CloudHSM Classic Guide de l'utilisateurMicrosoft SQL Server avec AWS CloudHSM Classic

Microsoft SQL Server avec AWS CloudHSM ClassicLa rubrique suivante décrit comment utiliser le chiffrement TDE pour Microsoft SQL Server et labibliothèque de gestion des clés extensibles (Extensible Key Management, EKM) avec AWS CloudHSMClassic.

Pour plus d'informations sur la bibliothèque EKM, accédez à http://technet.microsoft.com/fr-fr/library/bb895340.aspx

Pour configurer le chiffrement TDE pour Microsoft SQL Server et la bibliothèque EKM

Les instructions suivantes sont expliquées en détail dans le Guide d'intégration de Microsoft SQL Serversur le site web Gemalto SafeNet.

1. Configurez vos appliances HSM. Reportez-vous aux instructions dans Configuration de AWSCloudHSM Classic (p. 3).

2. Intégrez les appliances Luna SA/PCI/HSM à Microsoft SQL Server.3. Téléchargez et installez les bibliothèques EKM à partir de SafeNet.

Chiffrement de volume pour Amazon Elastic BlockStore

Pour utiliser le chiffrement de volume pour Amazon Elastic Block Store (Amazon EBS) avec SafeNetKeySecure, SafeNet ProtectV, et AWS CloudHSM Classic, consultez les produits SafeNet Gemalto dansAWS Marketplace.

Chiffrement avec Amazon Simple Storage Service(S3) et SafeNet KeySecure

Pour plus d'informations sur la façon d'utiliser le chiffrement Amazon Simple Storage Service (Amazon S3)avec SafeNet ProtectApp et SafeNet KeySecure, consultez le Guide d'intégration SafeNet KMIP et AmazonS3 sur le site web SafeNet.

Configuration de la terminaison SSL sur un serveurWeb Apache avec des clés privées stockées dansAWS CloudHSM Classic

Les appliances HSM SafeNet Luna s'intègrent avec le serveur Apache HTTP pour fournir des améliorationsde performances significatives par le déchargement des opérations de chiffrement de l'Apache HTTPServer pour les appliances HSM SafeNet Luna. En outre, les appliances HSM Luna offrent une sécuritésupplémentaire en protégeant et en gérant la clé privée SSL à haute valeur ajoutée du serveur au sein d'unmodule de sécurité matériel certifié FIPS 140-2. Pour plus d'informations sur les bibliothèques nécessairespour l'intégration d'Apache, consultez le Guide d'intégration d'Apache HTTP Server sur le site web GemaltoSafeNet. Vous pouvez également avoir besoin du boîte à outils OpenSSL Apache pour Luna HSM pourintégrer votre HSM au serveur web Apache.

51

AWS CloudHSM Classic Guide de l'utilisateurCréation de vos propres applications

Création de vos propres applicationsPour plus d'informations sur la configuration de vos applications en vue d'utiliser une ou plusieurs desopérations API fournies par le client SafeNet, accédez à Client configuré et enregistré à l'aide d'unepartition HSM et Intégration de Luna SA à vos applications dans la documentation SafeNet Luna SA.

52

AWS CloudHSM Classic Guide de l'utilisateur

Arrêt de l'utilisation d'un HSMAWS n'annule pas normalement la mise en service d'une appliance HSM qui contient les clés. Celavous protège vous, ainsi qu'AWS, des risques liés à la destruction accidentelle de clés encore en coursd'utilisation.

Important

Si vous devez cesser d'utiliser une appliance HSM (par exemple, à la fin de votre abonnement),sauvegardez le contenu de l'HSM dans un autre HSM que vous contrôlez ou confirmez que lesclés stockées dans le HSM ne sont plus nécessaires.

Complétez les étapes suivantes pour arrêter d'utiliser une appliance HSM.

Pour arrêter d'utiliser une appliance HSM

1. À partir de votre instance de contrôle, connectez-vous à votre HSM via SSH. <private_key_file>est la partie privée de la clé SSH que vous avez spécifiée lors de la mise en service de votre HSM.

$ ssh -i <private_key_file> manager@<hsm_ip_address>

2. Remettez à zéro le HSM en essayant de vous connecter au HSM en tant qu'administrateur HSM avecun mot de passe non valide trois fois de suite. Pour plus d'informations, consultez Comment remettre àzéro mon HSM (p. 57).

3. Déclassifiez l'appliance HSM en exécutant tout d'abord la commande suivante pour effectuer unerotation de tous les journaux.

lunash:> syslog rotate

4. Supprimez tous les journaux.

lunash:> syslog cleanup

5. Vous utilisez l'une des méthodes suivantes pour annuler la mise en service du HSM :

• Utilisez les outils d'interface de ligne de commande AWS CloudHSM Classic pour annuler la mise enservice du HSM avec la commande delete-hsm (p. 78).

• Utilisez l'API AWS CloudHSM Classic pour annuler la mise en service du HSM avec l'opérationDeleteHsm. Pour plus d'informations, consultez le AWS CloudHSM Developer Guide.

Si vous rencontrez des difficultés avec l'annulation de la mise en service du HSM, contactez le AWSSupport Center.

AWS se réserve le droit de mettre fin au service et de réinitialiser un HSM en cas de non-paiement.

53

AWS CloudHSM Classic Guide de l'utilisateur

Documentation SafeNet Luna SAPour plus d'informations sur la configuration, le fonctionnement et la maintenance de l'appliance SafeNetLuna SA, accédez à la documentation suivante :

Luna SA 5.3

Documentation produit Luna SA 5.3Luna SA 5.1

Documentation produit Luna SA 5.1

54

AWS CloudHSM Classic Guide de l'utilisateurInformations AWS CloudHSM Classic dans CloudTrail

Journalisation des appels d'API AWSCloudHSM Classic avec CloudTrail

AWS CloudHSM Classic est intégré à AWS CloudTrail, un service qui capture tous les appels d'APIeffectués par ou pour AWS CloudHSM Classic dans votre compte AWS et vous transmet les fichiersjournaux dans un compartiment Amazon S3 que vous spécifiez. CloudTrail capture les appels d'API à partirde l'API et de l'interface de ligne de commande de AWS CloudHSM Classic. Les informations collectéespar CloudTrail vous permettent de déterminer quelle demande a été envoyée à AWS CloudHSM Classic,l'adresse IP source à partir de laquelle la demande a été effectuée, qui a effectué la demande, quand, etc.Pour plus d' informations sur CloudTrail, y compris sur la façon de le configurer et de l'activer, consultez leAWS CloudTrail User Guide.

Informations AWS CloudHSM Classic dansCloudTrail

Lorsque la journalisation CloudTrail est activée dans votre compte AWS, les appels d'API passés auxactions AWS CloudHSM Classic sont suivis dans les fichiers journaux AWS CloudHSM Classic, où ils sontécrits avec d'autres enregistrements de service AWS. CloudTrail détermine quand créer un fichier et yconsigner des données en fonction d'une période et d'une taille de fichier.

Chaque entrée du journal contient des informations sur la personne qui a généré la demande. Lesinformations d'identité d'utilisateur figurant dans le journal vous aident à déterminer si la demande a étéeffectuée au moyen d'informations d'identification racine ou d'utilisateur IAM au moyen d'informationsd'identification de sécurité temporaires pour un rôle ou un utilisateur fédéré, ou par un autre service AWS.Pour plus d'informations, reportez-vous au champ userIdentity dans le Guide de référence des événementsCloudTrail.

Vous pouvez stocker vos fichiers journaux dans votre compartiment aussi longtemps que vous lesouhaitez, mais vous pouvez également définir des règles de cycle de vie Amazon S3 pour archiver ousupprimer automatiquement les fichiers journaux. Par défaut, vos fichiers journaux sont chiffrés à l'aide duchiffrement côté serveur (SSE) d'Amazon S3.

Vous pouvez décider d'utiliser CloudTrail pour publier des notifications Amazon SNS lorsque de nouveauxfichiers journaux sont fournis, si vous voulez effectuer une action rapide lors de la livraison des fichiersjournaux. Pour de plus amples informations, veuillez consulter Configuration des notifications AmazonSNS.

Vous pouvez également agréger les fichiers journaux AWS CloudHSM Classic provenant de plusieursrégions AWS et de plusieurs comptes AWS dans un compartiment Amazon S3 unique. Pour plusd'informations, consultez la section Regroupement des fichiers journaux CloudTrail dans un compartimentAmazon S3 unique.

Présentation des entrées des fichiers journaux AWSCloudHSM Classic

Les fichiers journaux CloudTrail contiennent une ou plusieurs entrées de journal, et chaque entrée estcomposée de plusieurs événements au format JSON. Une entrée de journal représente une demande

55

AWS CloudHSM Classic Guide de l'utilisateurPrésentation des entrées des fichiers

journaux AWS CloudHSM Classic

individuelle à partir d'une source quelconque et comprend des informations sur l'action demandée, sur tousles paramètres, sur la date et l'heure de l'action, etc. Les entrées de journal ne sont garanties dans aucunordre particulier. Cela signifie qu'il ne s'agit pas d'une arborescence des appels de procédure ordonnée desappels d'API publics.

Les informations sensibles, telles que les mots de passe, les jetons d'authentification, les commentaires surles fichiers et le contenu des fichiers, sont consignées dans les entrées de journal.

L'exemple suivant montre une entrée de journal CloudTrail pour AWS CloudHSM Classic.

{ "Records" : [ { "userIdentity" : { "type" : "IAMUser", "principalId" : "<user_id>", "arn" : "<user_arn>", "accountId" : "<account_id>", "accessKeyId" : "<access_key_id>", "userName" : "<username>" }, "eventTime" : "<event_time>", "eventSource" : "cloudhsm.amazonaws.com", "eventName" : "CreateHsm", "awsRegion" : "<region>", "sourceIPAddress" : "<IP_address>", "userAgent" : "<user_agent>", "requestParameters" : { "iamRoleArn" : "<IAM_role_arn>", "sshKey" : "<SSH_public_key>", "syslogIp" : "<syslog_ip>", "subscriptionType" : "<subscription_type>", "subnetId" : "<subnet_id>" }, "responseElements" : { "hsmArn" : "<hsm_arn>" }, "requestID" : "<request_id>", "eventID" : "<event_id>" } ]}

56

AWS CloudHSM Classic Guide de l'utilisateurMon HSM ne fonctionne pas. Que puis-je faire ?

Dépannage de AWS CloudHSMClassic

Pour les questions fréquentes sur AWS CloudHSM Classic, consultez la FAQ AWS CloudHSM Classic.

Rubriques• Mon HSM ne fonctionne pas. Que puis-je faire ? (p. 57)• Comment remettre à zéro mon HSM (p. 57)• Remplacement d'un HSM ayant échoué (p. 57)

Mon HSM ne fonctionne pas. Que puis-je faire ?Contactez AWS Support. Votre incident sera acheminé à l'équipe qui prend en charge AWS CloudHSMClassic.

Comment remettre à zéro mon HSMUn HSM peut avoir l'un des états suivants : zéro ou pas zéro. Autre que zéro signifie que le HSM est videet prêt à être utilisé par le client. Autre que zéro signifie qu'il possède déjà des clés ou une configurationdessus. Si vous devez maintenir les touches sur votre HSM, sauvegardez le HSM avant de le remettre àzéro. Pour plus d'informations sur la sauvegarde des informations de clé, consultez la page Sauvegarde etrestauration des données HSM vers un HSM de sauvegarde Luna SA (p. 47).

Pour remettre à zéro votre HSM, utilisez SSH pour vous connecter au HSM, puis tentez de vous connecteren tant qu'administrateur trois fois à l'aide d'un mot de passe non valide. Cela remet à zéro votre HSM.

lunash:> hsm login

Remplacement d'un HSM ayant échouéSi l'un de vos HSM échoue, vous pouvez le remplacer avec la procédure suivante.

Note

Tous les exemples de commandes supposent que vous avez défini aws_access_key_id,aws_secret_access_key et aws_region dans un fichier de configuration sur ~/cloudhsm.conf.Pour plus d'informations, consultez Fichiers de configuration (p. 22).

1. Supprimez le HSM ayant échoué du groupe de partitions haute disponibilité à l'aide de la commandesuivante remove-hsm-from-hapg (p. 102).

Cette commande nécessite une connexion SSH avec le HSM. Pour plus d'informations, consultezConnexions SSH (p. 21).

$ cloudhsm remove-hsm-from-hapg --conf_file ~/cloudhsm.conf \

57

AWS CloudHSM Classic Guide de l'utilisateurRemplacer un HSM

--hsm-arn <hsm_arn> \--so-password <so_password>

Les paramètres sont les suivants :

<hsm_arn>

L'identifiant du HSM ayant échoué.<so_password>

Mot de passe du responsable sécurité pour <hsm_dest_arn>.2. Copiez l'appartenance au groupe de partitions haute disponibilité et les clés vers le nouveau HSM à

l'aide de la commande suivante clone-hsm (p. 65).

Cette commande requiert une connectivité SSH avec des HSM source et destination. Pour plusd'informations, consultez Connexions SSH (p. 21).

Warning

Vous ne devez pas utiliser la commande clone-hsm (p. 65) à partir d'une instance qui estégalement un client de l'HSM en cours de clonage.

$ cloudhsm clone-hsm --conf_file ~/cloudhsm.conf \--source-hsm-arn <hsm_source_arn> \--dest-hsm-arn <hsm_dest_arn> \--so-password <so_password>

Les paramètres sont les suivants :

<hsm_source_arn>

L'identifiant d'un HSM opérationnel du même groupe de partitions haute disponibilité en tant queHSM ayant échoué. Il ne peut pas s'agir du HSM ayant échoué.

<hsm_dest_arn>

L'identifiant du nouveau HSM vers lequel vous voulez cloner.<so_password>

Mot de passe du responsable sécurité pour <hsm_dest_arn>.

Cette commande invite l'utilisateur à saisir le mot de passe et le domaine de clonage pour chaquepartition sur le HSM source.

Cette commande copie toutes les partitions et les clés du groupe de partitions haute disponibilité dontle HSM source est membre dans le HSM de destination, et joint le HSM de destination au groupe departitions haute disponibilité.

58

AWS CloudHSM Classic Guide de l'utilisateurMise à jour des outils

AWS CloudHSM Command LineInterface Tools Reference

Ceci est le AWS CloudHSM Command Line Interface Tools Reference. Il fournit des descriptions, lasyntaxe et des exemples d'utilisation pour chacune des commandes du service AWS CloudHSM Classic.

Rubriques• Mise à jour des outils d'interface de ligne de commande AWS CloudHSM Classic (p. 59)• Référence des commandes d'interface de ligne de commande AWS CloudHSM Classic (p. 59)• Dépannage (p. 105)

Mise à jour des outils d'interface de ligne decommande AWS CloudHSM Classic

Pour mettre à jour les outils d'interface de ligne de commande AWS CloudHSM Classic, téléchargez ledernier fichier egg stable en exécutant la commande suivante sur l'instance :

$ wget https://s3.amazonaws.com/cloudhsm-software/CloudHsmCLI.egg

Mettez à jour les outils d'interface de ligne de commande sur l'instance en exécutant la commandesuivante, qui remplace la version existante :

$ sudo easy_install-2.7 -s /usr/local/bin CloudHsmCLI.egg

Pour vérifier que les outils d'interface de ligne de commande AWS CloudHSM Classic sont correctementinstallés, émettez la commande Version (p. 104) :

$ cloudhsm version{ "Version": "<version>"}

Référence des commandes d'interface de ligne decommande AWS CloudHSM Classic

Chaque commande d'interface de ligne de commande AWS CloudHSM Classic commence par cloudhsm,suivie de l'identifiant de commande, puis des options de commande. Par exemple :

$ cloudhsm [command] [option] ...

Pour afficher la liste des commandes prises en charge par les outils d'interface de ligne de commandeAWS CloudHSM Classic, vous pouvez transmettre l'option --help à la commande cloudhsm.

59

AWS CloudHSM Classic Guide de l'utilisateuradd-hsm-to-hapg

$ cloudhsm --help

Les outils d'interface de ligne de commande AWS CloudHSM Classic contiennent les commandessuivantes :

Rubriques• add-hsm-to-hapg (p. 60)• clone-hapg (p. 63)• clone-hsm (p. 65)• create-client (p. 68)• créer-hapg (p. 70)• create-hsm (p. 72)• delete-client (p. 75)• delete-hapg (p. 76)• delete-hsm (p. 78)• deregister-client-from-hapg (p. 80)• describe-client (p. 82)• describe-hapg (p. 84)• describe-hsm (p. 86)• get-client-configuration (p. 87)• initialize-hsm (p. 90)• list-clients (p. 92)• list-hapgs (p. 94)• list-hsms (p. 96)• modify-hsm (p. 97)• register-client-to-hapg (p. 100)• remove-hsm-from-hapg (p. 102)• Version (p. 104)

add-hsm-to-hapgDescriptionAjoute un HSM à un groupe de partitions haute disponibilité. Une partition correspondant au groupe departitions haute disponibilité est créée sur le HSM.

Cette commande nécessite une connexion SSH avec le HSM. Pour plus d'informations, consultezConnexions SSH (p. 21).

Utilisation

cloudhsm add-hsm-to-hapg --hsm-arn <value> --hapg-arn <value> --so-password <value> --partition-password <value> --cloning-domain <value> --aws-region <value> --aws-access-key-id <value>

60

AWS CloudHSM Classic Guide de l'utilisateuradd-hsm-to-hapg

--aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Options--hsm-arn

L'ARN qui identifie le HSM à ajouter.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre hsm_arn dans --conf_file.--hapg-arn

L'ARN qui identifie le groupe de partitions haute disponibilité auquel ajouter le HSM.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre hapg_arn dans --conf_file.--so-password

Mot de passe du responsable sécurité pour HSM. Il peut inclure des lettres majuscules et minuscules,des chiffres et des caractères non alphanumériques. Il ne peut pas contenir d'espaces.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre so_password de --conf_file.--partition-password

Le mot de passe à définir pour les partitions membres. Les clients utilisent ce mot de passe pouraccéder au groupe de partitions.

Obligatoire : oui

Cela peut être spécifié dans le paramètre partition_password dans --conf_file.--cloning-domain

Le domaine de clonage pour les partitions dans le groupe. Il ne s'agit pas de --cloning-domain qui estutilisé dans la commande initialize-hsm (p. 90).

Obligatoire : oui

Cela peut être spécifié dans le paramètre cloning_domain dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

61

AWS CloudHSM Classic Guide de l'utilisateuradd-hsm-to-hapg

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieL'état de l'opération.

{ "Status": "Addition of HSM <hsm-arn> to HAPG <hapg-arn> successful"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

62

AWS CloudHSM Classic Guide de l'utilisateurclone-hapg

Rubriques connexes• remove-hsm-from-hapg (p. 102)

clone-hapgDescriptionCopie le contenu d'un groupe de partitions haute disponibilité dans un autre groupe de partitions hautedisponibilité.

Le domaine de clonage et le mot de passe de partition doivent être identiques pour les groupes departitions haute disponibilité source et destination.

Cette commande nécessite une connectivité SSH avec tous les HSM des groupes de partitions hautedisponibilité source et destination. Pour plus d'informations, consultez Connexions SSH (p. 21).

Warning

Vous ne devez pas émettre cette commande à partir d'une instance qui est également un client dugroupe de partitions haute disponibilité en cours de clonage.

Utilisationcloudhsm clone-hapg --src-hapg-arn <value> --dest-hapg-arn <value> --hapg-password <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--src-hapg-arn

L'ARN qui identifie le groupe de partitions haute disponibilité à partir duquel effectuer la copie. Lesdeux groupes de partitions haute disponibilité doivent avoir le même domaine de clonage et mot depasse de partition.

Obligatoire : oui

Cela peut être spécifié dans le paramètre src_hapg_arn dans --conf_file.--dest-hapg-arn

L'ARN qui identifie le groupe de partitions haute disponibilité vers lequel effectuer la copie. Les deuxgroupes de partitions haute disponibilité doivent avoir le même domaine de clonage et mot de passede partition.

Obligatoire : oui

63

AWS CloudHSM Classic Guide de l'utilisateurclone-hapg

Cela peut être spécifié dans le paramètre dest_hapg_arn dans --conf_file.--hapg-password

Le mot de passe à utiliser pour accéder au groupe de partitions haute disponibilité. Ce mot de passedoit être identique pour la source, la destination et le groupe de partitions haute disponibilité dedestination

Obligatoire : oui

Cela peut être spécifié dans le paramètre partition_password dans --conf_file.--force

N'affiche pas les messages de contrôle de sécurité.

Obligatoire : non

Cela peut être spécifié dans le paramètre force dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.

64

AWS CloudHSM Classic Guide de l'utilisateurclone-hsm

--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieL'état de l'opération.

cloudhsmcli.hapg_cloner: Backing up existing config filescloudhsmcli.hapg_cloner: Collecting information about the HA Partition groupscloudhsmcli.hapg_cloner: Setting up a cloning environmentcloudhsmcli.hapg_cloner: Cloning the HA partition groupscloudhsmcli.hapg_cloner: Cleaning up the cloning environmentcloudhsmcli.hapg_cloner: Restoring existing config files{ "Status": "Completed cloning the HA partition group <src-hapg-arn> to the HA partition group <dest-hapg-arn>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

clone-hsmDescriptionCopie les appartenances au groupe de partitions haute disponibilité et les clés d'un HSM à un autre.

Le HSM source et destination doit être initialisé avec le même nom de domaine de clonage.

Cette commande invite l'utilisateur à saisir le mot de passe et le domaine de clonage pour chaque partitionsur le HSM source.

Cette commande copie toutes les partitions et les clés du groupe de partitions haute disponibilité dont leHSM source est membre dans le HSM de destination, et joint le HSM de destination au groupe de partitionshaute disponibilité.

Vous pouvez supprimer un HSM ayant échoué du groupe de partitions haute disponibilité avec lacommande remove-hsm-from-hapg (p. 102).

Cette commande requiert une connectivité SSH avec des HSM source et destination. Pour plusd'informations, consultez Connexions SSH (p. 21).

Warning

L'exécution de cette commande sur un client du HSM en cours de clonage peut perturbertemporairement les applications basées sur le HSM qui s'exécutent sur le client.

65

AWS CloudHSM Classic Guide de l'utilisateurclone-hsm

Utilisationcloudhsm clone-hsm --src-hsm-arn <value> --dest-hsm-arn <value> [--force] --so-password <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--src-hsm-arn

L'ARN qui identifie le HSM à partir duquel effectuer la copie.

Obligatoire : oui

Cela peut être spécifié dans le paramètre src_hsm_arn dans --conf_file.--dest-hsm-arn

L'ARN qui identifie le HSM vers lequel effectuer la copie.

Obligatoire : oui

Cela peut être spécifié dans le paramètre dest_hsm_arn dans --conf_file.--force

N'affiche pas les messages de contrôle de sécurité.

Obligatoire : non

Cela peut être spécifié dans le paramètre force dans --conf_file.--so-password

Mot de passe du responsable sécurité pour --dest-hsm-arn.

Obligatoire : oui

Cela peut être spécifié dans le paramètre so_password dans --conf_file.--ssh-username

Le nom d'utilisateur SSH utilisé pour s'authentifier avec --dest-hsm-arn.

Obligatoire : oui

Cela peut être spécifié dans le paramètre ssh_username dans --conf_file.--ssh-password

Le mot de passe SSH utilisé pour s'authentifier avec --dest-hsm-arn.

Obligatoire : --ssh-key-filename ou --ssh-password

66

AWS CloudHSM Classic Guide de l'utilisateurclone-hsm

Cela peut être spécifié dans le paramètre ssh_password dans --conf_file.--ssh-key-filename

Le fichier qui contient la clé SSH privée utilisée pour s'authentifier avec --dest-hsm-arn. La clé publiquea été installée sur l'appliance HSM lors de sa mise en service.

Obligatoire : --ssh-key-filename ou --ssh-password

Cela peut être spécifié dans le paramètre ssh_key_filename dans --conf_file.--ssh-key-passphrase

La phrase passe pour déverrouiller le fichier de clé privée --ssh-key-filename.

Obligatoire : si --ssh-key-filename est utilisé.

Cela peut être spécifié dans le paramètre ssh_key_passphrase dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.

67

AWS CloudHSM Classic Guide de l'utilisateurcreate-client

--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieL'état de l'opération.

cloudhsmcli.hsm_cloner: Backing up existing config filescloudhsmcli.hsm_cloner: Collecting information about the HSMscloudhsmcli.hsm_cloner: Creating partitions on the destination HSMPlease provide the password for <partition1>:Please provide the cloning domain for <partition1>:cloudhsmcli.hsm_cloner: A partition was created: <partition1_label> (<dest_partition1_ID>)Please provide the password for <partition2>:Please provide the cloning domain for <partition2>:cloudhsmcli.hsm_cloner: A partition was created: <partition2_label> (<dest_partition2_ID>)Please provide the password for <partition3>:Please provide the cloning domain for <partition3>:cloudhsmcli.hsm_cloner: A partition was created: <partition3_label> (<dest_partition3_ID>)cloudhsmcli.hsm_cloner: Setting up a cloning environmentcloudhsmcli.hsm_cloner: Replicating keys from the source HSMcloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition1_ID> to <dest_partition1_ID> successfullycloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition2_ID> to <dest_partition2_ID> successfullycloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition3_ID> to <dest_partition3_ID> successfullycloudhsmcli.hsm_cloner: Cleaning up the cloning environmentcloudhsmcli.hsm_cloner: Restoring existing config filescloudhsmcli.hsm_cloner: Cloning the client/partition configuration on the HSM{ "Status": "Completed cloning the HSM <src-hsm-arn> to the HSM <dest-hsm-arn>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• Remplacement d'un HSM ayant échoué (p. 57)

create-clientDescriptionCrée un client HSM.

68

AWS CloudHSM Classic Guide de l'utilisateurcreate-client

Utilisationcloudhsm create-client --certificate-file <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--certificate-file

Le fichier qui contient le certificat PEM v3 X.509 codé en base64 à installer sur les HSM utilisés par ceclient. Pour plus d'informations, consultez Certificats de clients (p. 22).

Obligatoire : oui

Cela peut être spécifié dans le paramètre certificate_file dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.

69

AWS CloudHSM Classic Guide de l'utilisateurcréer-hapg

--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieL'ARN du client.

{ "ClientArn": "<client_arn>", "RequestId": "<request_id>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

créer-hapgDescriptionCrée un groupe de partitions haute disponibilité vide. Un groupe de partitions haute disponibilité est ungroupe de partitions qui couvre plusieurs HSM physiques.

Vous ajoutez des HSM et des partitions au groupe de partitions haute disponibilité avec la commande add-hsm-to-hapg (p. 60).

Utilisationcloudhsm create-hapg --group-label <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

70

AWS CloudHSM Classic Guide de l'utilisateurcréer-hapg

Arguments--group-label

L'étiquette du nouveau groupe de partitions haute disponibilité.

Obligatoire : oui

Cela peut être spécifié dans le paramètre group_label dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

71

AWS CloudHSM Classic Guide de l'utilisateurcreate-hsm

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient l'ARN du groupe de partitions haute disponibilité.

{ "HapgArn": "<hapg_arn>", "RequestId": "<request_id>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• Création d'un groupe de partitions haute disponibilité (p. 43)

create-hsmDescriptionCrée une instance HSM non initialisée.

Des frais initiaux sont facturés pour chaque instance HSM que vous créez avec la commande create-hsm (p. 72). Si vous mettez accidentellement en service un HSM et que vous souhaitez demander unremboursement, supprimez l'instance à l'aide de la commande delete-hsm (p. 78), accédez au AWSSupport Center, créez une nouvelle demande et sélectionnez Account and Billing Support.

Important

La création et la mise en service d'un HSM peuvent prendre jusqu'à 20 minutes. Vous pouvezsurveiller le statut du HSM avec la commande describe-hsm (p. 86). Le HSM est prêt à êtreinitialisé lorsque le statut passe à RUNNING.

Utilisation

cloudhsm create-hsm --subnet-id <value> --ssh-public-key-file <value> --iam-role-arn <value> [--hsm-ip <value>] [--external-id <value>] [--syslog-ip <value>] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet]

72

AWS CloudHSM Classic Guide de l'utilisateurcreate-hsm

[--verbose] [--help]

Arguments--subnet-id

L'identifiant du sous-réseau de votre VPC dans lequel vous placez le HSM.

Obligatoire : oui

Cela peut être spécifié dans le paramètre subnet_id dans --conf_file.--ssh-public-key-file

Le fichier qui contient la clé publique SSH à installer sur le HSM. Cela est utilisé pour se connecter aucompte du responsable sur le HSM.

Obligatoire : oui

Cela peut être spécifié dans le paramètre ssh_public_key_file dans --conf_file.--iam-role-arn

L'ARN d'un rôle IAM pour activer le service AWS CloudHSM Classic afin d'allouer une interface réseauElastic en votre nom.

Obligatoire : oui

Cela peut être spécifié dans le paramètre iam_role_arn dans --conf_file.--hsm-ip

L'adresse IP souhaitée du HSM. Cette adresse IP sera attribuée à l'interface réseau Elastic attachéeau HSM.

Si une adresse IP n'est pas spécifiée, une adresse IP est choisie de façon aléatoire dans la plaged'adresses CIDR du sous-réseau.

Obligatoire : non

Cela peut être spécifié dans le paramètre hsm_ip dans --conf_file.--external-id

L'ID externe de --iam-role-arn, le cas échéant.

Obligatoire : non

Cela peut être spécifié dans le paramètre external_id dans --conf_file.--syslog-ip

La nouvelle adresse IP du serveur de surveillance syslog. Le service AWS CloudHSM Classic prenduniquement en charge un serveur de surveillance syslog.

Note

Cette option est uniquement disponible dans les versions de l'interface de ligne decommande 2.2015.01.22.17.26.52 et ultérieures. Pour plus d'informations, consultezVersion (p. 104).

Obligatoire : non

73

AWS CloudHSM Classic Guide de l'utilisateurcreate-hsm

Cela peut être spécifié dans le paramètre syslog_ip dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

74

AWS CloudHSM Classic Guide de l'utilisateurdelete-client

SortieL'ARN du HSM. Etant donné que cette commande entraîne des frais initiaux qui seront facturés sur votrecompte, vous êtes invité à vérifier le fonctionnement avant la création du HSM.

{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• Mise en service de vos HSM (p. 26)

delete-clientDescriptionSupprime un client HSM.

Utilisationcloudhsm delete-client --client-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--client-arn

L'ARN qui identifie le client à supprimer.

Obligatoire : oui

Cela peut être spécifié dans le paramètre client_arn dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

75

AWS CloudHSM Classic Guide de l'utilisateurdelete-hapg

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.

SortieUn bloc JSON qui contient l'état de l'opération.

{ "RequestId": <request_id>, "Status": <status>}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

delete-hapgDescriptionSupprime un groupe de partitions haute disponibilité. Les partitions qui constituent le groupe de partitionshaute disponibilité, ainsi que les clés qu'ils contiennent, ne sont pas supprimées par cette commande.

Utilisation

cloudhsm delete-hapg --hapg-arn <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose]

76

AWS CloudHSM Classic Guide de l'utilisateurdelete-hapg

[--help]

Arguments--hapg-arn

L'ARN qui identifie le groupe de partitions haute disponibilité à supprimer.

Obligatoire : oui

Cela peut être spécifié dans le paramètre hapg_arn dans --conf_file.--force

N'affiche pas les messages de contrôle de sécurité.

Obligatoire : non

Cela peut être spécifié dans le paramètre force dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.

77

AWS CloudHSM Classic Guide de l'utilisateurdelete-hsm

--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient l'état de l'opération.

{ "Status": <status>}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

delete-hsmDescriptionAnnule la mise en service d'un HSM.

Le HSM doit être mis à zéro avant l'appel de cette commande. Pour plus d'informations, consultezComment remettre à zéro mon HSM (p. 57).

Utilisation

cloudhsm delete-hsm --hsm-arn <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--hsm-arn

L'ARN qui identifie le HSM à supprimer.

78

AWS CloudHSM Classic Guide de l'utilisateurdelete-hsm

Obligatoire : oui

Cela peut être spécifié dans le paramètre hsm_arn dans --conf_file.--force

N'affiche pas les messages de contrôle de sécurité.

Obligatoire : non

Cela peut être spécifié dans le paramètre force dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

79

AWS CloudHSM Classic Guide de l'utilisateurderegister-client-from-hapg

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient l'état de l'opération.

{ "Status": "<status>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• create-hsm (p. 72)

deregister-client-from-hapgDescriptionSupprime un client HSM d'un groupe de partitions haute disponibilité.

Cette commande nécessite une connexion SSH avec tous les HSM des groupes de partitions hautedisponibilité. Pour plus d'informations, consultez Connexions SSH (p. 21).

Utilisation

cloudhsm deregister-client-from-hapg --client-arn <value> --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--client-arn

L'ARN qui identifie le client.

Obligatoire : oui

Cela peut être spécifié dans le paramètre client_arn dans --conf_file.

80

AWS CloudHSM Classic Guide de l'utilisateurderegister-client-from-hapg

--hapg-arn

L'ARN du groupe de partitions haute disponibilité.

Obligatoire : oui

Cela peut être spécifié dans le paramètre hapg_arn dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.

81

AWS CloudHSM Classic Guide de l'utilisateurdescribe-client

--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient l'état de l'opération.

{ "Status": <status>}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• register-client-to-hapg (p. 100)

describe-clientDescriptionRécupère des informations sur un client HSM.

Utilisation

cloudhsm describe-client --client-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--client-arn

L'ARN qui identifie le client pour lequel extraire les informations.

Obligatoire : oui

Cela peut être spécifié dans le paramètre client_arn dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

82

AWS CloudHSM Classic Guide de l'utilisateurdescribe-client

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient les informations sur le client spécifié.

{

83

AWS CloudHSM Classic Guide de l'utilisateurdescribe-hapg

"Certificate": "<certificate>", "CertificateFingerprint": "<certificate_fingerprint>", "ClientArn": "<client_arn>", "Label": "<label>", "LastModifiedTimestamp": "<last_modified>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

describe-hapgDescriptionRécupère les informations sur un groupe de partitions haute disponibilité.

Utilisation

cloudhsm describe-hapg --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--hapg-arn

L'ARN qui identifie le groupe de partitions haute disponibilité pour lequel obtenir des informations.

Obligatoire : oui

Cela peut être spécifié dans le paramètre hapg_arn dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

84

AWS CloudHSM Classic Guide de l'utilisateurdescribe-hapg

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient des informations sur le groupe de partitions haute disponibilité.

{ "HapgArn": "<hapg_arn>", "HapgSerial": "<hapg_serial>", "HsmsLastActionFailed": [], "HsmsPendingDeletion": [], "HsmsPendingRegistration": [], "Label": "<hapg_label>", "LastModifiedTimestamp": "<last_modified>", "PartitionSerialList": [ "<partition_serial_1>", "<partition_serial_2>" ], "State": "<state>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

85

AWS CloudHSM Classic Guide de l'utilisateurdescribe-hsm

describe-hsmDescriptionRécupère les informations sur un HSM.

Utilisationcloudhsm describe-hsm --hsm-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--hsm-arn

L'ARN qui identifie le HSM pour lequel obtenir des informations.

Obligatoire : oui

Cela peut être spécifié dans le paramètre hsm_arn dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.

86

AWS CloudHSM Classic Guide de l'utilisateurget-client-configuration

--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient des informations sur le HSM spécifié.

{ "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "<iam_role_arn>", "SerialNumber": "<serial_number>", "SoftwareVersion": "<version>", "SshPublicKey": "<public_key_contents>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "<start_date>", "SubscriptionType": "<subscription_type>", "VendorName": "<vendor>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

get-client-configurationDescriptionObtient les certificats du fichier et du serveur de configuration pour un client. Cette commande doit êtreexécutée sur chaque client attribué au groupe de partitions haute disponibilité spécifié.

87

AWS CloudHSM Classic Guide de l'utilisateurget-client-configuration

Vous devez émettre une nouvelle fois cette commande une fois que vous avez apporté des modificationsau groupe de partitions haute disponibilité, telles que l'ajout ou la suppression d'un HSM.

Cette commande nécessite un accès en écriture à certains fichiers et répertoires sur le système local. Pourplus d'informations, consultez Définition de la propriété nécessaire sur les fichiers et les répertoires (p. 19).

Cette commande nécessite une connectivité SSH avec tous les HSM des groupes de partitions hautedisponibilité. Pour plus d'informations, consultez Connexions SSH (p. 21).

Utilisationcloudhsm get-client-configuration --client-arn <value> --hapg-arns <value1 value2 ...> [--cert-directory <value>] [--config-directory <value>] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--client-arn

L'ARN qui identifie le client pour lequel extraire les informations.

Obligatoire : oui

Cela peut être spécifié dans le paramètre client_arn dans --conf_file.--hapg-arns

Une liste d'ARN qui identifie les groupes de partitions haute disponibilité associés au client. ChaqueARN dans la liste est séparée par un espace.

Obligatoire : oui

Cela peut être spécifié dans le paramètre hapg_arns dans --conf_file.--cert-directory

Le répertoire local dans lequel le certificat de serveur sera écrit. Si ce paramètre n'est pas spécifié, lecertificat de serveur est écrit dans le répertoire de travail actuel. Le certificat de serveur doit être placédans le répertoire de certificat de serveur. L'emplacement du répertoire de certificat de serveur varie enfonction de la version du logiciel client LunaSA installé.Version du logiciel client 5.1

/usr/lunasa/cert/server

Version du logiciel client 5.4

/usr/safenet/lunaclient/cert/server

Obligatoire : non

Cela peut être spécifié dans le paramètre cert_directory dans --conf_file.

88

AWS CloudHSM Classic Guide de l'utilisateurget-client-configuration

--config-directory

Le répertoire local où le fichier Chrystoki.conf sera écrit. Si ce paramètre n'est pas spécifié, le fichier deconfiguration est écrit dans le répertoire de travail actuel. Le fichier Chrystoki.conf doit être placé dansle répertoire /etc/.

Obligatoire : non

Cela peut être spécifié dans le paramètre config_directory dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.

89

AWS CloudHSM Classic Guide de l'utilisateurinitialize-hsm

--help

Affiche l'aide concernant la commande.

Requis : non.

SortieInformations sur l'emplacement où le fichier de configuration et les certificats ont été écrits.

The configuration file has been copied to <config-directory>The server certificate has been copied to <cert-directory>

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

initialize-hsmDescriptionEffectue la configuration initiale d'un HSM. Vous devez avoir déjà attribué la ressource HSM et obtenul'Amazon Resource Name (ARN) qui identifie le HSM. Vous pouvez utiliser la commande create-hsm (p. 72) pour créer une instance HSM. Vous pouvez utiliser la commande list-hsms (p. 96) pourobtenir une liste des ARN des HSM.

Le HSM doit être mis à zéro avant l'appel de cette commande. Pour plus d'informations, consultezComment remettre à zéro mon HSM (p. 57).

Cette commande nécessite une connexion SSH avec le HSM. Pour plus d'informations, consultezConnexions SSH (p. 21).

Note

L'initialisation d'un HSM crée le compte du responsable sécurité HSM (également appeléadministrateur) et requiert qu'un mot de passe soit créé et attribué à ce compte. Notez le motde passe sur votre Feuille de calcul de mot de passe (p. 37) et ne le perdez pas. Nous vousrecommandons d'imprimer une copie de la Feuille de calcul de mot de passe (p. 37), de l'utiliserpour enregistrer vos mots de passe AWS CloudHSM Classic et de la stocker dans un endroit sûr.Nous vous recommandons également de stocker au moins une copie de cette feuille de calculdans un stockage hors site sécurisé. AWS ne peut pas récupérer vos clés à partir d'un HSMpour lequel vous ne disposez pas des informations d'identification du responsable sécurité HSMappropriées.

Utilisationcloudhsm initialize-hsm --hsm-arn <value> --label <value> --so-password <value> --cloning-domain <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose]

90

AWS CloudHSM Classic Guide de l'utilisateurinitialize-hsm

[--help]

Options--hsm-arn

L'ARN qui identifie le HSM à initialiser.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre hsm_arn dans --conf_file.--étiquette

L'étiquette pour le HSM. Utilisez uniquement les lettres et les chiffres. Les caractères spéciaux ne sontpas autorisés.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre label dans --conf_file.--so-password

Mot de passe du responsable sécurité pour HSM. Il peut inclure des lettres majuscules et minuscules,des chiffres et des caractères non alphanumériques. Il ne peut pas contenir d'espaces.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre so_password de --conf_file.--cloning-domain

Le domaine de clonage à définir pour le HSM.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre cloning_domain dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

91

AWS CloudHSM Classic Guide de l'utilisateurlist-clients

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient l'état de l'opération.

{ "Status": "Initialization of the HSM successful"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• Configuration de vos HSM (p. 27)

list-clientsDescriptionRécupère les identificateurs des clients appartenant au client actuel.

Utilisation

cloudhsm list-clients

92

AWS CloudHSM Classic Guide de l'utilisateurlist-clients

--aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.

93

AWS CloudHSM Classic Guide de l'utilisateurlist-hapgs

--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

File d'attenteUn bloc JSON qui contient la liste des ARN qui identifient les clients.

{ "ClientList": [ "<client1_arn>", "<client2_arn>" ]}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

list-hapgsDescriptionRécupère les identifiants de tous les groupes de partitions haute disponibilité appartenant au client actuel.

Utilisation

cloudhsm list-hapgs --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

94

AWS CloudHSM Classic Guide de l'utilisateurlist-hapgs

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

File d'attenteUn bloc JSON qui contient la liste des ARN qui identifient les groupes de partitions haute disponibilité.

{ "HapgList": [ "<hapg1_arn>", "<hapg2_arn>" ]}

95

AWS CloudHSM Classic Guide de l'utilisateurlist-hsms

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

list-hsmsDescriptionRécupère les identifiants de tous les HSM mis en service pour le client actuel.

Utilisationcloudhsm list-hsms --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.

96

AWS CloudHSM Classic Guide de l'utilisateurmodify-hsm

--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

File d'attenteUn bloc JSON qui contient la liste des ARN qui identifient les HSM.

{ "HsmList": [ "<hsm1_arn>", "<hsm2_arn>" ]}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

modify-hsmDescriptionModifie une instance existante du HSM.

Important

Cette commande peut entraîner une mise hors connexion du HSM pour une durée maximale de15 minutes lors de la reconfiguration du service AWS CloudHSM Classic. Si vous modifiez uneproduction HSM, vous devez vérifier que votre service AWS CloudHSM Classic est configuré dansune configuration haute disponibilité et envisager d'exécuter cette commande pendant une fenêtrede maintenance.

Utilisationcloudhsm modify-hsm --hsm-arn <value> [--subnet-id <value>] [--iam-role-arn <value>] [--hsm-ip <value>] [--external-id <value>]

97

AWS CloudHSM Classic Guide de l'utilisateurmodify-hsm

[--syslog-ip <value>] [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--hsm-arn

L'ARN qui identifie le HSM à modifier.

Obligatoire : oui

Cela peut être spécifié dans le paramètre hsm_arn dans --conf_file.--subnet-id

L'identifiant du nouveau sous-réseau de votre VPC dans lequel vous placez le HSM. Le nouveau sous-réseau doit être dans la même zone de disponibilité que le sous-réseau actuel.

Obligatoire : non

Cela peut être spécifié dans le paramètre subnet_id dans --conf_file.--iam-role-arn

L'ARN du nouveau rôle IAM qui permet au service AWS CloudHSM Classic d'allouer une ENI en votrenom.

Obligatoire : non

Cela peut être spécifié dans le paramètre iam_role_arn dans --conf_file.--hsm-ip

La nouvelle adresse IP du HSM. Cette adresse IP est attribuée à l'ENI qui est liée au HSM. Le sous-réseau auquel la nouvelle adresse IP appartient doit appartenir à la même zone de disponibilité que lesous-réseau de l'adresse IP précédente.

Obligatoire : non

Cela peut être spécifié dans le paramètre hsm_ip dans --conf_file.--external-id

Le nouvel ID externe de --iam-role-arn.

Obligatoire : non

Cela peut être spécifié dans le paramètre external_id dans --conf_file.--syslog-ip

La nouvelle adresse IP du serveur de surveillance syslog. Le service AWS CloudHSM Classic prenduniquement en charge un serveur de surveillance syslog.

Obligatoire : non

Cela peut être spécifié dans le paramètre syslog_ip dans --conf_file.

98

AWS CloudHSM Classic Guide de l'utilisateurmodify-hsm

--force

N'affiche pas les messages de contrôle de sécurité.

Obligatoire : non

Cela peut être spécifié dans le paramètre force dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

99

AWS CloudHSM Classic Guide de l'utilisateurregister-client-to-hapg

Requis : non.

SortieL'ARN du HSM.

{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

VersionCette commande est uniquement disponible dans les versions de l'interface de ligne decommande 2.2015.01.22.17.26.52 et ultérieures. Pour plus d'informations, consultez Version (p. 104).

Rubriques connexes• create-hsm (p. 72)

register-client-to-hapgDescriptionAjoute un client HSM à un groupe de partitions haute disponibilité (HD).

Vous devez émettre une nouvelle fois cette commande une fois que vous apportez des modifications augroupe de partitions haute disponibilité, telles que l'ajout d'un HSM.

Cette commande nécessite une connexion SSH avec tous les HSM des groupes de partitions hautedisponibilité. Pour plus d'informations, consultez Connexions SSH (p. 21).

Utilisationcloudhsm register-client-to-hapg --client-arn <value> --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--client-arn

L'ARN qui identifie le client.

100

AWS CloudHSM Classic Guide de l'utilisateurregister-client-to-hapg

Obligatoire : oui.

Cela peut être spécifié dans le paramètre client_arn dans --conf_file.--hapg-arn

L'ARN qui identifie le groupe de partitions haute disponibilité.

Obligatoire : oui

Cela peut être spécifié dans le paramètre hapg_arn dans --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

Requis : non.--verbose

Sortie détaillée.

101

AWS CloudHSM Classic Guide de l'utilisateurremove-hsm-from-hapg

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient l'état de l'opération.

{ "Status": <status>}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• deregister-client-from-hapg (p. 80)

remove-hsm-from-hapgDescriptionSupprime un HSM d'un groupe de partitions haute disponibilité. Le matériel de partition et de cléscorrespondant au groupe de partitions haute disponibilité est supprimé du HSM.

Cette commande peut être utilisée pour supprimer un HSM ayant échoué à partir de son groupe departitions haute disponibilité.

Cette commande nécessite une connexion SSH avec le HSM. Pour plus d'informations, consultezConnexions SSH (p. 21).

Utilisationcloudhsm remove-hsm-from-hapg --hsm-arn <value> --hapg-arn <value> --so-password <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]

Arguments--hsm-arn

L'ARN qui identifie le HSM à supprimer.

102

AWS CloudHSM Classic Guide de l'utilisateurremove-hsm-from-hapg

Obligatoire : oui--hapg-arn

L'ARN qui identifie le groupe de partitions haute disponibilité à partir duquel supprimer le HSM.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre hapg_arn dans --conf_file.--so-password

Mot de passe du responsable sécurité pour HSM. Il peut inclure des lettres majuscules et minuscules,des chiffres et des caractères non alphanumériques. Il ne peut pas contenir d'espaces.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre so_password de --conf_file.--aws-region

Identifiant de région, tel que us-east-2.

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_region de --conf_file.--aws-access-key-id

Votre ID de clé d'accès. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_access_key_id de --conf_file.--aws-secret-access-key

Votre clé d'accès secrète. Pour plus d'informations, consultez Authentification (p. 20).

Obligatoire : oui.

Cela peut être spécifié dans le paramètre aws_secret_access_key de --conf_file.--aws-host

Remplace l'hôte de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_host de --conf_file.--aws-port

Remplace le port de service AWS CloudHSM Classic.

Requis : non.

Cela peut être spécifié dans le paramètre aws_port de --conf_file.--conf_file

Chemin d'accès et nom du fichier de configuration à utiliser. Pour plus d'informations, consultezFichiers de configuration (p. 22).

Requis : non.--quiet

Sortie silencieuse. Seules les erreurs sont signalées.

103

AWS CloudHSM Classic Guide de l'utilisateurVersion

Requis : non.--verbose

Sortie détaillée.

Requis : non.--help

Affiche l'aide concernant la commande.

Requis : non.

SortieUn bloc JSON qui contient l'état de l'opération.

{ "Status": "<status>"}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

Rubriques connexes• add-hsm-to-hapg (p. 60)

VersionDescriptionRécupère les informations de version des outils d'interface de ligne de commande AWS CloudHSMClassic.

Utilisation

cloudhsm version [--help]

Arguments--help

Affiche l'aide concernant la commande.

Obligatoire : non.

SortieUn bloc JSON qui contient les informations de version.

{ "Version": "<version>"

104

AWS CloudHSM Classic Guide de l'utilisateurDépannage

}

Les outils de ligne de commande AWS CloudHSM Classic affichent des erreurs sur stderr.

DépannageLes sections suivantes décrivent certaines des erreurs les plus courantes que vous pouvez rencontrerlorsque vous utilisez l'interface de ligne de commande AWS CloudHSM Classic.

Rubriques• RuntimeError : Luna demande un mot de passe. (p. 105)• La commande delete-hsm semble aboutir, mais le HSM n'est pas supprimé. (p. 105)

RuntimeError : Luna demande un mot de passe.Lorsque vous utilisez certaines commandes, vous obtenez le message d'erreur suivant :

RuntimeError: Luna is requesting a password. This indicates that there is nopersistent SSH connection to the HSM. Consult the AWS CloudHSM Classic CLI docsfor instructions on how to set up a persistent connection.

Cette erreur se produit lorsque vous utilisez une commande qui nécessite une connexion SSH persistanteavec un HSM, tel que initialize-hsm (p. 90). Pour plus d'informations sur vos connexions SSHpersistantes, consultez Connexions SSH (p. 21).

La commande delete-hsm semble aboutir, mais leHSM n'est pas supprimé.Cette erreur peut se produire lorsque vous utilisez la commande delete-hsm (p. 78) pour supprimerun HSM qui n'est pas zéro. Pour déterminer si tel est le cas, après l'émission de la commande delete-hsm (p. 78), utilisez la commande describe-hsm (p. 86) pour obtenir des informations sur le HSM. Sile champ StatusDetails contient un message tel que "The CloudHSM must be zeroized beforeit can be deleted.", vous devrez ensuite remettre à zéro le HSM. Pour plus d'informations sur lafaçon de remettre à zéro votre HSM, consultez Comment remettre à zéro mon HSM (p. 57).

105

AWS CloudHSM Classic Guide de l'utilisateur

Limites d'AWS CloudHSM ClassicLa liste suivante contient les limites du service AWS CloudHSM Classic. Sauf indication contraire, ceslimites s'appliquent par région et par compte AWS.

• Appliances HSM :3• Groupes de partitions haute disponibilité : 20• Clients : le nombre de clients n'est pas explicitement limité. Cependant, SafeNet n'a pas testé plus de

1 000 connexions client simultanées. Pour plus d'informations, consultez Connexions à l'appliance -Limites dans la documentation SafeNet Luna SA.

Pour demander une augmentation de ces limites, utilisez le formulaire d'augmentation de limite de servicedans le Centre de support AWS.

106

AWS CloudHSM Classic Guide de l'utilisateurMise en route manuelle

AnnexesVoici les annexes du AWS CloudHSM User Guide. Elles fournissent des informations supplémentaires surcertains aspects du fonctionnement ou de l'utilisation d'AWS CloudHSM Classic.

Rubriques• Mise en route manuelle (p. 107)• Connexion de plusieurs instances client à AWS CloudHSM Classic avec un seul certificat (p. 115)• Exemple d'application (p. 117)• Guide de mise à niveau AWS CloudHSM Classic (p. 119)

Mise en route manuelleLes rubriques suivantes expliquent comment mettre en service, initialiser et utiliser un HSM sans utiliserl'interface de ligne de commande.

Rubriques• Mise en service manuelle d'un HSM (p. 107)• Initialisation manuelle d'un HSM (p. 107)• Haute disponibilité (p. 109)

Mise en service manuelle d'un HSMVous avez besoin des informations suivantes pour mettre en service vos HSM.

• Les identifiants des sous-réseaux privés dans lesquels mettre en service les HSM.• ARN du rôle AWS CloudHSM Classic IAM.• Votre clé publique SSH. Pour plus d'informations, consultez Génération d'une clé SSH (p. 15).

Important

Des frais initiaux sont facturés pour chaque instance HSM que vous mettez en service. Si vousmettez accidentellement en service un HSM et que vous souhaitez demander un remboursement,supprimez l'instance, accédez au AWS Support Center, créez une nouvelle demande etsélectionnez Account and Billing Support (Support Compte et facturation).

Initialisation manuelle d'un HSMPour initialiser et configurer manuellement un HSM

Utilisez les procédures suivantes pour initialiser votre HSM. Répétez l'opération si nécessaire pour chaqueHSM.

1. Si nécessaire, copiez votre fichier de clé privée SSH vers l'instance de contrôle. Il s'agit de la partieprivée de la clé que vous avez utilisée pour mettre en service le HSM. Pour plus d'informations,consultez Copie de la clé privée (p. 16).

2. À partir de l'instance de contrôle, connectez-vous à votre appliance HSM via SSH.<private_key_file> est la partie privée de la clé SSH que vous avez spécifiée lors de la mise enservice de votre HSM.

107

AWS CloudHSM Classic Guide de l'utilisateurInitialisation manuelle d'un HSM

$ ssh -i <private_key_file> manager@<hsm_ip_address>

3. (Facultatif) Définissez un mot de passe pour le responsable en exécutant la commande suivante. Cetteétape est facultative. Vous pouvez continuer à utiliser la paire de clés SSH pour vous connecter auHSM via SSH, si vous le souhaitez.

lunash:> user password manager

Vous êtes invité à entrer le nouveau mot de passe deux fois de suite. Notez le nouveau mot de passedu responsable sur votre Feuille de calcul de mot de passe (p. 37).

4. Vérifiez le fuseau horaire, la date et l'heure sur le HSM avec la commande status date.

lunash:> status date

Fri Feb 7 20:09:20 UTC 2014

Command Result : 0 (Success)

Si le fuseau horaire n'est pas correct, définissez le fuseau horaire avec la commande sysconf timezoneset. Si la date et/ou l'heure ne sont pas correctes, définissez-les avec la commande sysconf time. Pourplus d'informations, consultez Définir la date et l'heure du système dans la documentation SafeNetLuna SA.

Note

AWS configure l'heure de chaque HSM pour utiliser le fuseau horaire UTC. Il s'agit égalementdu paramètre par défaut pour les AMI Amazon Linux. Changez uniquement le fuseau horairesi votre client HSM utilise un autre fuseau horaire qu'UTC.Si vous modifiez le fuseau horaire, vous devez le modifier avant de définir la date et l'heuredu système ; sinon, le changement de fuseau horaire s'ajuste au temps que vous venez dedéfinir.

5. Initialisez le HSM en exécutant ce qui suit :

lunash:> hsm init -label <hsm_label>

Le nom <hsm_label> doit être un nom unique qui ne contient ni espaces ni caractères spéciaux.

Note

Si vous avez l'intention d'utiliser la haute disponibilité et l'équilibrage de charge entre plusieursappliances HSM, comme recommandé par AWS, consultez Haute disponibilité et équilibragede charge (p. 39) pour obtenir des instructions supplémentaires.

L'initialisation d'un HSM supprime définitivement les clés et l'ensemble du domaine de chiffrement surle HSM. Après avoir initialisé le HSM, toutes les clés qui existaient précédemment sont détruites.

L'initialisation d'un définit le mot de passe pour le compte du responsable sécurité HSM (égalementappelé administrateur HSM). Enregistrez le mot de passe du responsable sécurité sur votre Feuillede calcul de mot de passe (p. 37) et ne le perdez pas. Nous vous recommandons d'imprimer unecopie de la Feuille de calcul de mot de passe (p. 37), de l'utiliser pour enregistrer vos mots de passeAWS CloudHSM Classic et de la stocker dans un endroit sûr. Nous vous recommandons égalementde stocker au moins une copie de cette feuille de calcul dans un stockage hors site sécurisé. AWSne peut pas récupérer vos clés à partir d'un HSM pour lequel vous ne disposez pas des informationsd'identification du responsable sécurité HSM appropriées.

6. Créez une paire de clés pour le serveur HSM. Cela génère un certificat à partir de la clé publique.

108

AWS CloudHSM Classic Guide de l'utilisateurHaute disponibilité

lunash:> sysconf regenCert

7. Associez l'appliance HSM et une interface NTLS en exécutant ce qui suit :

lunash:> ntls bind eth0

8. Exécutez les commandes suivantes pour vous connecter au HSM à l'aide du mot de passeadministrateur HSM, puis créez une partition :

lunash:> hsm login

lunash:> partition create -partition <partition_name>

Le nom <partition_name> doit être un nom unique qui ne contient ni espaces ni caractèresspéciaux.

9. Lorsque vous y êtes invité, tapez proceed.10. Indiquez le nouveau mot de passe de la partition lorsque vous y êtes invité. Enregistrez le nom et le

mot de passe de la partition sur votre Feuille de calcul de mot de passe (p. 37), comme il est utilisédans les cas suivants :

• Pour authentifier l'administrateur qui effectue les tâches de gestion de partition via le shell Luna.• Pour authentifier les applications clientes qui veulent utiliser le HSM.

Haute disponibilitéLes rubriques suivantes traitent de la mise en œuvre de la haute disponibilité pour vos HSM sans utiliserl'interface de ligne de commande.

Rubriques• Configuration de la haute disponibilité (p. 109)• Basculement haute disponibilité et récupération automatique (p. 114)• Récupération d'un HSM (p. 114)

Configuration de la haute disponibilitéPour configurer la haute disponibilité et l'équilibrage de charge pour vos HSM, un HSM à la fois, procédezcomme suit.

Configurer la redondance haute disponibilité et l'équilibrage de charge

1. Configurez le réseau qui contient les HSM qui seront utilisés dans le groupe haute disponibilité.2. À partir de votre instance de contrôle, connectez-vous à votre HSM via SSH. <private_key_file>

est la partie privée de la clé SSH que vous avez spécifiée lors de la mise en service de votre HSM.

$ ssh -i <private_key_file> manager@<hsm_ip_address>

3. Affichez les paramètres de stratégie nécessaires pour le HSM en exécutant la commande hsmshowPolicies.

lunash:> hsm showPoliciesHSM Label: <hsm_label>

109

AWS CloudHSM Classic Guide de l'utilisateurHaute disponibilité

Serial #: <hsm_serial>

Firmware: 6.2.1

The following capabilities describe this HSM, and cannot be altered except via firmware or capability updates.

Description                  Value===========                  =====

Enable cloning               Allowed ...Enable network replication   Allowed ...

The following policies describe the current configuration of this HSM and may by changed by the HSM Administrator.

Changing policies marked "destructive" will zeroize (erase completely) the entire HSM.Description                   Value    Code    Destructive ===========                   =====    ====    ===========.Allow cloning                   On      7      Yes..Allow network replication       On      16     No...

Command Result : 0 (Success)

Notez les valeurs de stratégie suivantes :

• Activer le clonage• Activer la réplication de réseau• Autoriser le clonage• Autoriser la réplication de réseau

Si l'une des stratégies n'est pas définie sur Autorisée, modifiez le paramètre avec la commande hsmchangePolicy.

lunash:> hsm changePolicy -policy <policy_code> -value <policy_value>

Note

Le clonage d'un jeton matériel est la méthode de sauvegarde pour laquelle vos HSM sontconfigurés. Tous les HSM d'un groupe haute disponibilité doivent utiliser la même méthode desauvegarde.

4. Initialisez vos HSM dans un domaine de clonage courant. Pour les appliances utilisant uneauthentification par mot de passe, elles doivent partager le même domaine clonage.

110

AWS CloudHSM Classic Guide de l'utilisateurHaute disponibilité

Warning

L'initialisation d'un HSM supprime définitivement les clés et l'ensemble du domainede chiffrement sur le HSM. Après avoir initialisé le HSM, toutes les clés qui existaientprécédemment sont détruites.

Note

• Si vous avez déjà configuré votre appliance HSM dans Configuration de votre client AWSCloudHSM Classic (p. 30), les étapes suivantes vous aident à reconfigurer votre applianceHSM pour la haute disponibilité.

• Trois des valeurs sont obligatoires, mais la seule que vous devez taper dans la ligne decommande est une étiquette pour le HSM (-label). Le fait de taper le mot de passe etle domaine de clonage dans la ligne de commande les rend visibles à toute personnecapable de voir l'écran de l'ordinateur, ou à toute personne qui utilise plus tard les boutonsde défilement dans votre console ou tampon de session ssh. Si vous omettez le mot depasse et le domaine de clonage, le shell Luna vous invite à les entrer, et cache votre entréeavec des caractères ********. Ceci est préférable d'un point de vue de sécurité. En outre,vous êtes invité à entrer une nouvelle fois chaque chaîne, ce qui vous permet de vérifierque la chaîne que vous tapez est bien celle que vous vouliez taper.

lunash:> hsm -init -label <hsm_label>> Please enter a password for the security officer> ********Please re-enter password to confirm:> ********Please enter the cloning domain to use for initializing thisHSM (press <enter> to use the default domain):> ********Please re-enter domain to confirm:> ********CAUTION: Are you sure you wish to re-initialize this HSM?All partitions and data will be erased.Type 'proceed' to initialize the HSM, or 'quit' to quit now.> proceed'hsm - init' successful.

5. Sur chaque HSM, procédez comme suit :

a. Connectez-vous au HSM en tant qu'administrateur HSM (responsable sécurité).

lunash:> hsm login

Please enter the HSM Administrators' password: > ***********

'hsm login' successful.

Command Result : 0 (Success)

b. Créez une partition. Lorsque vous y êtes invité, tapez proceed et entrez le mot de passe departition. Le mot de passe de la partition et le domaine de clonage doivent être identiques pourtoutes les partitions qui font partie du même groupe haute disponibilité.

lunash:> partition create -partition <partition_name> -domain <cloning_domain>

111

AWS CloudHSM Classic Guide de l'utilisateurHaute disponibilité

Please ensure that you have purchased licenses for at least this number of partitions: 3

If you are sure to continue then type 'proceed', otherwise type 'quit'

> proceedProceeding...

Please enter a password for the partition: > **********

Please re-enter password to confirm: > **********

'partition create' successful.

Command Result : 0 (Success)

<partition_name> doit être un nom unique qui ne contient ni espaces ni caractères spéciaux.c. Enregistrez les numéros de série et les mots de passe de la partition, et stockez ces informations

dans un endroit sûr.

lunash:> partition show

Partition SN: <partition1_serial> Partition Name: <partition1_name> Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=102701, Used=0, Free=102701 Partition Object Count: 0

Partition SN: <partition2_serial> Partition Name: <partition2_name> Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=102701, Used=0, Free=102701 Partition Object Count: 0

Command Result : 0 (Success)

d. Procédez à une configuration normale de client, comme décrit dans Configuration de votre clientAWS CloudHSM Classic (p. 30).

e. Enregistrez votre ordinateur client avec chaque partition qui appartiendra au groupe hautedisponibilité. Sur chaque HSM, attribuez la partition à ses clients respectifs. Répétez chaque HSMdans le groupe haute disponibilité.

lunash:> client assignPartition -client <client_name> -partition <partition1_name>lunash:> client assignPartition -client <client_name> -partition <partition2_name>

6. Sur le client, créez un groupe haute disponibilité avec la commande vtl haAdmin newGroup. Ce groupeutilise partition1 en tant que partition principale.

112

AWS CloudHSM Classic Guide de l'utilisateurHaute disponibilité

Important

Sur les clients Windows, vous devez exécuter la commande suivante en tantqu'administrateur. Pour ce faire, cliquez avec le bouton droit sur la fenêtre et sélectionnezExécuter en tant qu'administrateur.

>vtl haAdmin newGroup -label <partition_group_label> -serialNum <partition1_serial> -password <partition1_password>

New group with label "<partition_group_label>" created at group number <partition_group_serial>.Group configuration is: HA Group Label: <partition_group_label> HA Group Number: <partition_group_serial> HA Group Slot #: <slot_number> Synchronization: enabled Group Members: <partition1_serial> Standby members:  <none> In Sync: yes

Lorsque vous créez un groupe haute disponibilité, l'utilitaire vtl crée le numéro de série pour legroupe.

7. Votre fichier Chrystoki.conf (Linux/UNIX)/crystoki.ini (Windows) doit maintenant comporter unenouvelle section :

VirtualToken = {VirtualToken00Members = <partition1_serial>;VirtualToken00SN = <partition_group_serial>;VirtualToken00Label = <partition_group_label>;}

Important

Ne modifiez pas le fichier Chrystoki.conf/crystoki.ini.8. Ajoutez un autre membre au groupe haute disponibilité (Partition2 sur la deuxième appliance) avec la

commande vtl haAdmin addMember.

Important

Sur les clients Windows, vous devez exécuter la commande suivante en tantqu'administrateur. Pour ce faire, cliquez avec le bouton droit sur la fenêtre et sélectionnezExécuter en tant qu'administrateur.

>vtl haAdmin addMember -group <partition_group_serial> -serialNum <partition2_serial> -password <partition2_password>

Member <partition2_serial> successfully added to group <partition_group_serial>.New group configuration is: HA Group Label: <partition_group_label> HA Group Number: <partition_group_serial> HA Group Slot #: <slot_number> Synchronization: enabled Group Members: <partition1_serial>, <partition2_serial> Standby members:  <none> In Sync: yes

Please use the command 'vtl haAdmin -synchronize' when you are ready to replicate data

113

AWS CloudHSM Classic Guide de l'utilisateurHaute disponibilité

between all members of the HA group. (If you have additional members to add, you may wish to wait until you have added them before synchronizing to save time by avoiding multiple synchronizations.)

9. Vérifiez votre configuration à l'aide de la commande suivante, puis pointez votre application clientevers le HSM, en faisant référence à ce HSM par l'étiquette du groupe haute disponibilité que vous avezattribuée.

>vtl haAdmin show

Basculement haute disponibilité et récupération automatiqueLes instructions suivantes utilisent les applications configurator et vtl, qui font partie des outils du clientLuna SA. L'emplacement de ces applications varie en fonction du système d'exploitation du client. Vousdevez inclure ce chemin d'accès dans la commande ou l'ajouter à la variable d'environnement PATH.

Linux

/usr/safenet/lunaclient/bin/

Windows

%ProgramFiles%\SafeNet\LunaClient\bin\

Configuration du basculement haute disponibilitéAWS et SafeNet vous recommandent de garder le délai d'attente de basculement par défaut de20 secondes. Ceci est configurable en exécutant la commande suivante :

>configurator setValue -s "LunaSA Client" -e ReceiveTimeout -v <milliseconds>

Activation de la récupération automatiqueLa récupération automatique est désactivée par défaut.

Pour activer la récupération automatique

• Pour activer la récupération automatique, exécutez la commande suivante :

>vtl haAdmin -autoRecovery -retry <count>

Configuration de l'intervalle de nouvelle tentative

Pour configurer l'intervalle de nouvelle tentative

• Pour configurer l'intervalle de nouvelle tentative, exécutez la commande suivante :

>vtl haAdmin -autoRecovery -interval <seconds>

Récupération d'un HSMCette section explique comment récupérer un HSM dans un groupe haute disponibilité, dès que le clientperd la connectivité à l'un des HSM du groupe. Si la connectivité réseau est perdue, le client HSM cesse

114

AWS CloudHSM Classic Guide de l'utilisateurConnexion de plusieurs instances client à

AWS CloudHSM Classic avec un seul certificat

d'essayer de se connecter au HSM après le dépassement de la période de nouvelle tentative. La périodede nouvelle tentative est number-of-retries * retry-interval, où la configuration par défaut/recommandée consiste à recommencer 10 fois avec un intervalle de 60 secondes, pour un total de10 minutes. Après le dépassement de la période de nouvelle tentative, le client HSM supprime le HSMdéconnecté du groupe haute disponibilité, et doit être récupéré manuellement. Suivez les instructions ci-dessous pour récupérer un HSM.

Pour récupérer un HSM, exécutez la commande vtl haAdmin recover depuis le client qui a perdu laconnectivité au HSM.

vtl haAdmin recover –group <group_label> -serialNum <partition_serial>

Important

N'effectuez pas de resynchronisation manuelle entre les membres du groupe haute disponibilité.Pour plus d'informations, consultez Bonnes pratiques pour la perte et la récupération (p. 40).

Connexion de plusieurs instances client à AWSCloudHSM Classic avec un seul certificat

Lorsque vous utilisez plusieurs serveurs avec AWS CloudHSM Classic, chaque serveur génèrenormalement un certificat unique à l'aide de l'adresse IP de cette instance et enregistre ce certificat avecAWS CloudHSM Classic ; des étapes supplémentaires doivent être ensuite effectuées pour autorisercette instance à accéder à l'appliance HSM. Cependant, vous pouvez éviter d'avoir à créer des certificatsuniques par serveur en créant soit une AMI avec la configuration du client HSM ou un compartimentAmazon S3. L'une ou l'autre de ces solutions peut être utilisée avec des groupes Auto Scaling pourpermettre aux instances client de se mettre à l'échelle ascendante ou descendante. Cela vous permet dedisposer d'une couche de services scalable qui s'intègre à AWS CloudHSM Classic.

Rubriques• Création d'une AMI avec la configuration du client HSM (p. 115)• Création d'un compartiment Amazon S3 et des rôles (p. 116)

Création d'une AMI avec la configuration du clientHSMCréez une AMI avec la configuration du client, puis créez plusieurs instances à partir de l'AMI. Vous pouvezutiliser un nom au lieu d'une adresse IP lors de la création du certificat sur le client HSM, et créer plusieursinstances de la même AMI sans recréer ou modifier le certificat.

Note

Si vous utilisez un nom au lieu d'une adresse IP lors de la création du certificat sur le client HSM,veillez à ce que le nom du client enregistré sur l'appliance HSM corresponde exactement.

Pour créer une AMI avec la configuration du client et préparer le client HSM

1. Exécutez les commandes suivantes sur le client HSM, où ClientCertName correspond au nom quevous avez choisi pour le certificat sur le client HSM.

C:\Program Files\LunaSA>vtl createCert -n ClientCertName

115

AWS CloudHSM Classic Guide de l'utilisateurCréation d'un compartiment Amazon S3 et des rôles

Private Key created and written to: C:\Program Files\LunaSA\cert\client\ClientCertNameKey.pemCertificate created and written to: C:\Program Files\LunaSA\cert\client\ClientCertName.pem C:\Program Files\LunaSA>pscp "%programfiles%\LunaSA\cert\client\ClientCertName.pem" manager@10.0.0.23:manager@10.0.0.23's password: ClientCertName.pem | 1 kB | 1.1 kB/s | ETA: 00:00:00 | 100%

2. Exécutez les commandes suivantes sur le HSM, où ClientName est le nom de votre client HSM etClientCertName est le nom de votre certificat.

[hsm6105.iad6] lunash:>c reg -c ClientName -h ClientCertName 'client register' successful. Command Result : 0 (Success)[hsm6105.iad6] lunash:>c l registered client 1: ClientName

3. Après avoir terminé les étapes ci-dessus, créez une AMI qui inclut la configuration du client, puis créezune ou plusieurs instances Amazon EC2 à partir de l'AMI. Chaque instance Amazon EC2 peut seconnecter à l'appliance HSM en utilisant le même certificat et les instances démarrées à partir desgroupes Auto Scaling peuvent établir une connexion sécurisée à AWS CloudHSM Classic.

Pour plus d'informations sur la création d'AMI, consultez Création de votre propre AMI dans le AmazonEC2 Guide de l'utilisateur pour les instances Linux.

Pour plus d'informations sur la création des instances à partir des AMI, consultez Lancer votre instancedans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Création d'un compartiment Amazon S3 et des rôlesSi vous préférez ne pas créer d'AMI, vous pouvez créer un compartiment Amazon S3 intégrant descertificats et des clés, créer ensuite un rôle avec une stratégie liée qui autorise l'accès en lecture seule à cecompartiment, et utiliser le rôle lors du lancement de l'instance pour votre application (y compris avec AutoScaling). Vous pouvez alors écrire des scripts dans l'instance pour accéder aux fichiers depuis Amazon S3.

Pour créer un compartiment Amazon S3 et des rôles

1. Créez un compartiment Amazon S3. Pour plus d'informations, consultez Créer un compartiment dansle Amazon Simple Storage Service Guide de mise en route.

2. Modifiez les autorisations sur le compartiment Amazon S3 pour limiter les autorisations au minimum depersonnes nécessaires.

3. Chargez les certificats dans le compartiment Amazon S3.4. Créez un rôle pour votre application. Pour plus d'informations, consultez Création de rôles IAM dans le

IAM Guide de l'utilisateur.5. Dans le cadre de la création du rôle, modifiez la stratégie de rôle pour permettre l'accès en lecture

seule au compartiment Amazon S3, par exemple, "Resource": ["arn:aws:S3:::bucket/*"].6. Utilisez le rôle lors du lancement de votre application.7. Écrivez des scripts sur l'instance d'application pour télécharger les fichiers de certificats à partir du

compartiment Amazon S3.

116

AWS CloudHSM Classic Guide de l'utilisateurExemple d'application

Cela vous permet de mettre à jour les certificats de temps en temps et ne vous oblige pas à identifiercomment sécuriser votre AMI afin d'éviter la divulgation d'informations d'identification.

Pour en savoir plus sur l'utilisation des rôles IAM avec les compartiments Amazon S3, consultez Utilisationdes rôles IAM pour distribuer des informations d'identification autres qu'AWS à vos instances EC2 dans leBlog sur la sécurité AWS ou Utilisation de rôles IAM pour accéder aux ressources AWS sur Amazon EC2dans le AWS SDK for Java Developer Guide.

Exemple d'applicationLes produits SafeNet Luna intègrent une API qui vous permet d'utiliser un HSM avec votre application.Voici deux exemples d'applications qui utilisent un HSM, l'une écrite en C et l'autre en Java.

Rubriques• Exemple d'application avec C (p. 117)• Exemple d'application avec Java (p. 117)

Exemple d'application avec CLa procédure suivante montre comment créer un exemple de programme qui utilise la bibliothèque SafeNetPKCS #11 pour chiffrer et déchiffrer une chaîne, en utilisant le HSM pour effectuer les opérations dechiffrement. L'exemple de code source est écrit dans le langage de programmation C.

Pour créer l'exemple d'application C

1. Installez le client et les certificats SafeNet sur votre instance dans votre VPC, comme décrit dans lessections précédentes.

2. Téléchargez l'exemple de code source dans votre instance.3. Sous Linux/UNIX, procédez comme suit :

a.$ mkdir Sample

b.$ mv P11Sample.zip Sample

c.$ cd Sample/

d.$ unzip P11Sample.zip

e.$ more README.txt

4. Suivez les instructions du fichier Lisezmoi.txt pour l'installation de make, gcc, la définition de la variabled'environnement SfntLibPath, la création de l'exemple d'application, et son exécution.

Exemple d'application avec JavaLes instructions suivantes montrent comment utiliser Luna JSP, composé d'un seul fournisseur de servicesJCA/JCE, afin de créer un exemple d'application basé sur Java qui utilise des produits SafeNet Luna pourles opérations de chiffrement sécurisées.

117

AWS CloudHSM Classic Guide de l'utilisateurExemple d'application avec Java

Le Luna JSP est fourni avec plusieurs exemples d'applications qui vous expliquent comment utiliser lefournisseur Luna. Installez ces exemples d'applications avec le logiciel client SafeNet.

Les exemples d'applications incluent des commentaires détaillés. Pour plus d'informations, consultez LunaJSP dans la documentation SafeNet Luna SA.

S'ils ne sont pas déjà installés, vous devez installer l'environnement de développement Java sur l'instanceclient. Sur une instance Amazon Linux, exécutez la commande suivante.

$ sudo yum install java-devel

Pour compiler et exécuter les applications Java

1. Créez un répertoire workspaces et passez à ce dossier.

$ mkdir ~/workspaces

$ cd ~/workspaces

2. Copiez l'exemple de code Java dans votre dossier workspaces.

$ cp -r /usr/safenet/lunaclient/jsp/ luna

Cette opération copie l'arborescence des exemples de fichiers dans le dossier ~/workspaces/luna.3. Remplacez le répertoire par l'exemple de dossier luna.

$ cd luna/samples

4. Mettez à jour le mot de passe de partition HSM dans l'exemple de code Java. Dans les exemples, lemot de passe userpin est utilisé pour le mot de passe de partition. Vous devez trouver toutes lesinstances de userpin dans l'exemple de code et le remplacer par votre mot de passe de partition.

5. Compilez l'exemple de code.

$ javac -classpath .:../lib/LunaProvider.jar ./com/safenetinc/luna/sample/*.java

6. Ajouter le LunaProvider au fichier java.security.

a. Ouvrez le fichier dans un éditeur de texte.

$ sudo vi $JAVA_HOME/lib/security/java.security

b. Ajoutez la ligne suivante après la dernière entrée security.provider. Remplacez<priority_order> par votre numéro de priorité souhaité.

security.provider.<priority_order>=com.safenetinc.luna.provider.LunaProvider

7. Exécutez l'exemple souhaité. La commande suivante exécute l'exemple KeyStoreLunaDemo.

$ java -Djava.library.path=../lib/ -classpath .:../lib/LunaProvider.jar:../lib/libLunaAPI.so com.safenetinc.luna.sample.KeyStoreLunaDemo

Pour plus d'informations, accédez aux rubriques suivantes dans la documentation SafeNet Luna SA :

• Luna Java Security Provider (Luna JSP)

118

AWS CloudHSM Classic Guide de l'utilisateurGuide de mise à niveau AWS CloudHSM Classic

• Installation Linux• Java

Guide de mise à niveau AWS CloudHSM ClassicUtilisez les informations de ce guide pour mettre à niveau le logiciel HSM (appliance) et client AWSCloudHSM Classic Luna SA, ainsi que le microprogramme HSM.

Note

Les chemins de mise à niveau détaillés dans ce guide correspondent aux seules mises àniveau prises en charge par AWS CloudHSM Classic. Toutes les versions du logiciel ou dumicroprogramme non documentées dans ce guide ne sont pas prises en charge. Si vous avezbesoin d'une autre version du logiciel ou du microprogramme, ouvrez une demande de supportdans le AWS Support Center.

Rubriques• Mise à niveau du logiciel HSM (p. 119)• Mise à jour du microprogramme HSM (p. 123)

Mise à niveau du logiciel HSMSuivez ces étapes pour mettre à niveau le logiciel HSM (appliance) AWS CloudHSM Classic Luna SA versla dernière version, 5.3.13. Une fois la mise à niveau terminée, vous devez utiliser la documentation duproduit SafeNet pour la version 5.3 de Luna SA, disponible à l'adresse http://cloudhsm-safenet-docs-5.3.s3-website-us-east-1.amazonaws.com/.

Avant de continuer, notez les problèmes suivants qui peuvent se poser.

• Si le nom du client utilisé pour les connexions NTLS comporte un T majuscule en tant que huitièmecaractère du nom, le client ne fonctionnera pas après la mise à niveau. Pour éviter ce problème, modifiezle nom du client avant de procéder à la mise à niveau.

• La configuration syslog de l'appliance HSM sera perdue. Une fois la mise à niveau terminée, informezl'équipe AWS CloudHSM Classic en envoyant un e-mail à aws-cloudhsm-support@amazon.com et nousmettrons à jour la configuration syslog pour vous.

Pour mettre à niveau le logiciel HSM (appliance) Luna SA vers la version 5.3.13.

1. Mettez à niveau le logiciel client Luna SA ver la version 5.4 (p. 119).2. Sauvegardez toutes les clés du HSM dans un autre HSM ou un HSM de sauvegarde (p. 47).3. Mettez à niveau le logiciel de l'appliance Luna SA de la version 5.1.X vers 5.1.5 (p. 121).4. Mettez à niveau le logiciel de l'appliance Luna SA de la version 5.1.5 ou 5.3.X vers 5.3.10 (p. 122).5. Mettez à niveau le logiciel de l'appliance Luna SA de la version 5.3.10 vers 5.3.13 (p. 122).

Mise à niveau du logiciel client vers 5.4Pour mettre à niveau le logiciel client Luna SA vers la version 5.4, suivez la procédure appropriée à votresystème d'exploitation. Effectuez les étapes sur tous les clients qui utilisent votre HSM.

Pour mettre à niveau le logiciel client sous Linux

1. Arrêtez l'ensemble des applications et des services qui utilisent le HSM.

119

AWS CloudHSM Classic Guide de l'utilisateurMise à niveau du logiciel HSM

2. Exécutez /usr/lunasa/bin/uninstall.sh en tant que racine pour désinstaller la version existante du logicielclient.

Votre fichier de configuration est conservé dans /etc/Christoki.conf.rpmsave et vos certificats,dans le répertoire /usr/lunasa/cert. Ne supprimez pas ces fichiers.

3. Téléchargez le package du logiciel client à l'adresse https://s3.amazonaws.com/cloudhsm-safenet-client/SafeNet-Luna-Client-5-4-9.zip, puis extrayez l'archive.

4. Exécutez SafeNet-Luna-Client-5-4-9/linux/64/install.sh en tant que racine et choisissez l'option LunaSA. Par défaut, cette opération installe le logiciel client dans un répertoire différent de celui de laversion d'origine.

5. Déplacez vos certificats d'origine de /usr/lunasa/cert vers le répertoire /usr/safenet/lunaclient/cert.

6. Modifiez les entrées suivantes dans votre fichier /etc/Christoki.conf. Modifiez les cheminsd'accès pour les faire correspondre au nouvel emplacement d'installation. Par exemple, si la valeurd'origine de ClientCertFile était /usr/lunasa/cert/client/linux_client.pem, modifiez-laavec /usr/safenet/lunaclient/cert/client/linux_client.pem.

ClientCertFile

Définissez le chemin d'accès du fichier de certificat de client que vous avez déplacé à l'étapeprécédente.

ClientPrivKeyFile

Définissez le chemin d'accès du fichier de clé privée de client que vous avez déplacé à l'étapeprécédente.

ServerCAFile

Définissez le chemin d'accès du fichier d'autorité de certification (CA) de serveur que vous avezdéplacé à l'étape précédente.

SSLConfigFile

Définissez le chemin d'accès du fichier openssl.cnf dans le répertoire /usr/safenet/lunaclient/bin.

7. Mettez à jour la variable d'environnement PATH, au besoin, afin qu'elle pointe vers le répertoire /usr/safenet/lunaclient/bin.

Pour mettre à niveau le logiciel client sous Windows

1. Arrêtez l'ensemble des applications et des services qui utilisent le HSM.2. Si la version de votre logiciel client existant est 5.4.1 ou 5.4.2, passez à l'étape suivante.

Si la version de votre logiciel client existant est antérieure à 5.4.1, désinstallez le logiciel client et lescorrectifs à l'aide de l'utilitaire Programmes et fonctionnalités du Panneau de configuration Windows.Votre fichier de configuration chrystoki.ini et les certificats existants sont conservés dans lerépertoire Program Files\LunaSA. Ne supprimez pas ces fichiers.

3. Téléchargez le package du logiciel client à l'adresse https://s3.amazonaws.com/cloudhsm-safenet-client/SafeNet-Luna-Client-5-4-9.zip, puis extrayez l'archive.

4. Exécutez SafeNet-Luna-Client-5-4-9\win\64\LunaClient.msi et choisissez l'option Luna SA. Par défaut,cette opération installe le logiciel client dans un répertoire différent de celui de la version d'origine.Votre fichier de configuration et les certificats existants sont conservés dans le répertoire d'origine.

5. Déplacez vos certificats d'origine de C:\Program Files\LunaSA\cert vers le répertoire C:\Program Files\SafeNet\LunaClient\cert.

6. Copiez les entrées suivantes de votre fichier chrystoki.ini d'origine vers le nouveau fichierC:\Program Files\SafeNet\LunaClient\chrystoki.ini. Modifiez les chemins

120

AWS CloudHSM Classic Guide de l'utilisateurMise à niveau du logiciel HSM

d'accès pour les faire correspondre au nouvel emplacement d'installation. Par exemple, si lavaleur d'origine de ClientCertFile était C:\Program Files\LunaSA\cert\client\windows_client.pem, modifiez-la avec C:\Program Files\SafeNet\LunaClient\cert\client\windows_client.pem.

ClientCertFile

Définissez le chemin d'accès du fichier de certificat de client que vous avez déplacé à l'étapeprécédente.

ClientPrivKeyFile

Définissez le chemin d'accès du fichier de clé privée de client que vous avez déplacé à l'étapeprécédente.

Toutes les entrées NomServeur*Toutes les entrées PortServeur*

7. Mettez à jour la variable d'environnement PATH, au besoin, afin qu'elle pointe vers le répertoire C:\Program Files\SafeNet\LunaClient\.

Mise à niveau du logiciel de l'appliance vers 5.1.5Pour mettre à niveau le logiciel de l'appliance Luna SA de la version 5.1.X vers la version 5.1.5, effectuezles opérations suivantes sur une instance client qui dispose d'une connectivité IP à l'appliance HSM.

Pour mettre à niveau le logiciel de l'appliance Luna SA

1. Arrêtez l'ensemble des applications et des services qui utilisent le HSM.2. Téléchargez le package de mise à niveau du logiciel de l'appliance Luna SA à partir de https://

s3.amazonaws.com/cloudhsm-software/630-010165-018_REVA.tar, puis extrayez les fichiers del'archive.

3. Utilisez la commande suivante pour copier le fichier lunasa_update-5.1.5-2.spkg versl'appliance HSM, où <private_key_file> est la partie privée de la clé SSH que vous avez fournielors de la mise en service de votre HSM.

$ scp -i <private_key_file> lunasa_update-5.1.5-2.spkg manager@<hsm_ip_address>:

4. Utilisez les commandes suivantes pour vous connecter à l'appliance HSM, puis connectez-vous.

$ ssh -i <private_key_file> manager@<hsm_ip_address>

lunash:> hsm login

5. Utilisez les commandes suivantes pour vérifier, puis installez la mise à jour du logicielde l'appliance Luna SA. La valeur à utiliser pour <auth_code> se trouve dans le fichierlunasa_update-5.1.5-2.auth contenu dans l'archive 630-010165-018_REVA.tar.

lunash:> package verify lunasa_update-5.1.5-2.spkg -authcode <auth_code>

lunash:> package update lunasa_update-5.1.5-2.spkg -authcode <auth_code>

6. Utilisez la commande suivante pour redémarrer l'appliance HSM.

lunash:> sysconf appliance reboot

121

AWS CloudHSM Classic Guide de l'utilisateurMise à niveau du logiciel HSM

Mise à niveau du logiciel de l'appliance vers 5.3.10Pour mettre à niveau le logiciel de l'appliance Luna SA de la version 5.1.5 ou 5.3.X vers la version 5.3.10,effectuez les opérations suivantes sur une instance client qui dispose d'une connectivité IP à l'applianceHSM.

Pour mettre à niveau le logiciel de l'appliance Luna SA

1. Arrêtez l'ensemble des applications et des services qui utilisent le HSM.2. Téléchargez le package de mise à niveau du logiciel de l'appliance Luna SA à partir de https://

s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-SA-5-3-10.zip, puis extrayez les fichiersde l'archive.

3. Utilisez la commande suivante pour copier le fichier lunasa_update-5.3.10-7.spkg versl'appliance HSM, où <private_key_file> est la partie privée de la clé SSH que vous avez fournielors de la mise en service de votre HSM.

$ scp -i <private_key_file> lunasa_update-5.3.10-7.spkg manager@<hsm_ip_address>:

4. Utilisez les commandes suivantes pour vous connecter à l'appliance HSM, puis connectez-vous.

$ ssh -i <private_key_file> manager@<hsm_ip_address>

lunash:> hsm login

5. Utilisez les commandes suivantes pour vérifier, puis installez la mise à jour du logicielde l'appliance Luna SA. La valeur à utiliser pour <auth_code> se trouve dans le fichierlunasa_update-5.3.10-7.auth contenu dans l'archive SafeNet-Luna-SA-5-3-10.zip.

lunash:> package verify lunasa_update-5.3.10-7.spkg -authcode <auth_code>

lunash:> package update lunasa_update-5.3.10-7.spkg -authcode <auth_code>

6. Utilisez la commande suivante pour redémarrer l'appliance HSM.

lunash:> sysconf appliance reboot

Mise à niveau du logiciel de l'appliance vers 5.3.13Pour mettre à niveau le logiciel de l'appliance Luna SA de la version 5.3.10 vers la version 5.3.13, effectuezles opérations suivantes sur une instance client qui dispose d'une connectivité IP à l'appliance HSM.

Pour mettre à niveau le logiciel de l'appliance Luna SA

1. Arrêtez l'ensemble des applications et des services qui utilisent le HSM.2. Téléchargez le package de mise à niveau du logiciel de l'appliance Luna SA à partir de https://

s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-SA-5-3-13.zip, puis extrayez les fichiersde l'archive.

3. Utilisez la commande suivante pour copier le fichier lunasa_update-5.3.13-1.spkg versl'appliance HSM, où <private_key_file> est la partie privée de la clé SSH que vous avez fournielors de la mise en service de votre HSM.

$ scp -i <private_key_file> lunasa_update-5.3.13-1.spkg manager@<hsm_ip_address>:

4. Utilisez les commandes suivantes pour vous connecter à l'appliance HSM, puis connectez-vous.

122

AWS CloudHSM Classic Guide de l'utilisateurMise à jour du microprogramme HSM

$ ssh -i <private_key_file> manager@<hsm_ip_address>

lunash:> hsm login

5. Utilisez les commandes suivantes pour vérifier, puis installez la mise à jour du logicielde l'appliance Luna SA. La valeur à utiliser pour <auth_code> se trouve dans le fichierlunasa_update-5.3.13-1.auth contenu dans l'archive SafeNet-Luna-SA-5-3-13.zip.

lunash:> package verify lunasa_update-5.3.13-1.spkg -authcode <auth_code>

lunash:> package update lunasa_update-5.3.13-1.spkg -authcode <auth_code>

6. Si vous n'avez pas besoin d'une validation FIPS, acceptez la mise à niveau du microprogramme versla version 6.20.2.

Si vous avez besoin d'une validation FIPS, n'acceptez pas la mise à niveau du microprogramme.Une fois que vous avez terminé la mise à niveau du logiciel de l'appliance, consultez Mise à jour dumicroprogramme HSM (p. 123).

7. Utilisez la commande suivante pour redémarrer l'appliance HSM.

lunash:> sysconf appliance reboot

Désactiver la vérification IP NTLS

Une fois le HSM mis à niveau, vous devez désactiver la vérification IP NTLS pour permettre au HSMde fonctionner au sein de son VPC. Pour ce faire, exécutez la commande suivante à partir du shell del'appliance HSM.

lunash:> ntls ipcheck disable

Mise à jour du microprogramme HSMSi votre HSM exécute une version de microprogramme antérieure aux versions de la liste suivante, suivrezces instructions pour la mettre à niveau vers la dernière version prise en charge. Avant de continuer,choisissez la version du microprogramme HSM à installer. Les options suivantes sont disponibles:

• 6.10.9 (validé FIPS)• 6.20.2 (dernière version, non validé par FIPS)

Si vous n'avez pas besoin d'une validation FIPS, nous vous recommandons d'installer le microprogrammeversion 6.20.2. Suivez les instructions pour mettre à niveau le logiciel de l'appliance vers laversion 5.3.13 (p. 122) et appliquez la mise à niveau du microprogramme lorsque celle-ci est proposée.

Si vous avez besoin d'une validation FIPS, utilisez les étapes suivantes pour mettre à niveau lemicroprogramme vers la version 6.10.9.

Pour mettre à jour le microprogramme HSM vers la version 6.10.9

1. Téléchargez le package de mise à niveau de microprogramme Luna SA à partir de https://s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-FW-6-10-9.zip, puis extrayez les fichiersde l'archive.

2. Utilisez la commande suivante pour copier le fichier630-010430-010_SPKG_LunaFW_6.10.9.spkg vers l'appliance HSM, où <private_key_file>est la partie privée de la clé SSH que vous avez fournie lors de la mise en service de votre HSM.

123

AWS CloudHSM Classic Guide de l'utilisateurMise à jour du microprogramme HSM

$ scp -i <private_key_file> 630-010430-010_SPKG_LunaFW_6.10.9.spkg manager@<hsm_ip_address>:

3. Utilisez les commandes suivantes pour vous connecter à l'appliance HSM, puis connectez-vous auHSM.

$ ssh -i <private_key_file> manager@<hsm_ip_address>

lunash:> hsm login

4. Utilisez la commande suivante pour installer le package du microprogramme. La valeur à utiliser pour<auth_code> se trouve dans le fichier 630-010430-010_SPKG_LunaFW_6.10.9.auth contenudans l'archive SafeNet-Luna-FW-6-10-9.zip.

lunash:> package update 630-010430-010_SPKG_LunaFW_6.10.9.spkg -authcode <auth_code>

5. Utilisez la commande suivante pour mettre à jour le microprogramme de l'appliance HSM.

lunash:> hsm update firmware

6. Utilisez la commande suivante pour redémarrer l'appliance HSM.

lunash:> sysconf appliance reboot

124

AWS CloudHSM Classic Guide de l'utilisateur

Historique du documentLe tableau suivant décrit les modifications importantes apportées à la documentation relative à la présenteversion de AWS CloudHSM Classic.

• Dernière mise à jour de la documentation : 14 août 2017

Modification Description Date de modification

Mise à jour Nouveau nom du présent guide :Guide de l'utilisateur AWSCloudHSM Classic. Publicationdu nouveau Guide de l'utilisateurAWS CloudHSM.

14 août 2017

Mise à jour Mise à jour des instructions etdes versions de microprogrammeprises en charge dans leGuide de mise à niveau AWSCloudHSM Classic (p. 119).

27 janvier 2017

Mise à jour Mise à jour des instructionset des versions du logiciel del'appliance Luna SA prisesen charge dans le Guide demise à niveau AWS CloudHSMClassic (p. 119).

20 janvier 2017

Mise à jour Ajout de la prise en charge de larégion Canada (Centre).

8 décembre 2016

Mise à jour Ajout de la prise en charge de larégion USA Est (Ohio).

17 octobre 2016

Mise à jour Ajout de la prise en charge de larégion USA Ouest (Californie duNord).

20 septembre 2016

Mise à jour Mise à jour des instructionspour Configuration automatiquede votre environnement AWSCloudHSM Classic à l'aide deAWS CloudFormation (p. 6).

Mise à jour des instructions pourConfiguration manuelle de votreenvironnement AWS CloudHSMClassic (p. 10).

Mise à jour des instructions pourConfiguration d'un client LinuxHSM (p. 30).

Mise à jour des instructions pourConfiguration d'un client HSMWindows (p. 33).

15 septembre 2016

125

AWS CloudHSM Classic Guide de l'utilisateur

Modification Description Date de modificationMise à jour des instructionsqui expliquent comment Miseà niveau du logiciel clientvers 5.4 (p. 119).

Mise à jour Modifications des instructionspour Installation des outilsd'interface de ligne decommande (p. 18).

18 novembre 2015

Mise à jour Ajout d'informations surConformité à la norme PCI(Payment Card Industry) DSS(Data Security Standard) (p. 1)pour AWS CloudHSM.

28 octobre 2015

Mise à jour Simplification des instructionspour mettre en place unenvironnement AWS CloudHSMautomatiquement à l'aidede AWS CloudFormation.Pour plus d'informations,consultez Configuration devotre environnement AWSCloudHSM Classic à l'aide deAWS CloudFormation (p. 9).

23 juillet 2015

Mise à jour Ajout de nouvelles instructionspour l'installation des outilsd'interface de ligne decommande AWS CloudHSMsur Amazon Linux. Pour plusd'informations, consultezInstallation des outils d'interfacede ligne de commande AWSCloudHSM Classic (p. 19).

Mise à jour de la configurationSSH recommandée pour laconnexion à une applianceHSM. Pour plus d'informations,consultez ConnexionsSSH (p. 21).

Ajout d'une nouvelle limitepour les appliances HSM etcorrection d'autres limites. Pourplus d'informations, consultezLimites d'AWS CloudHSMClassic (p. 106).

10 juillet 2015

126

AWS CloudHSM Classic Guide de l'utilisateur

Modification Description Date de modification

Mise à jour Ajout de nouvelles versions dumicroprogramme HSM prisesen charge, et mises à jourdes recommandations et desinstructions nécessaires pourmettre à jour le microprogrammeHSM. Pour plus d'informations,consultez Mise à jour dumicroprogramme HSM (p. 123).

9 juillet 2015

Mise à jour Ajout de la prise en chargedes régions Asie-Pacifique(Singapour) et Asie-Pacifique(Tokyo).

8 juin 2015

Nouveau nom du guide

Ajout de l'interface de ligne decommande AWS CloudHSM

Le Guide de démarrage AWSCloudHSMest désormais leAWS CloudHSM User Guide.Il inclut une réécriture et uneréorganisation majeures duguide.

Consultez la documentationd'interface de ligne decommande sur AWS CloudHSMCommand Line Interface ToolsReference (p. 59).

8 janvier 2015

Mise à jour Ajout de la prise en charge pourles régions USA Ouest (Oregon)et Asie-Pacifique (Sydney) ;nouvelles sections sur la hautedisponibilité et l'équilibrage decharge ; nouvelles sections surles ressources à déployer età intégrer à des applicationstierces ; et des instructionssur la façon d'utiliser unnouveau modèle AWSCloudFormation pour configurervotre environnement AWSCloudHSM.

5 novembre 2013

Première version Première version du guide demise en route AWS CloudHSM.

26 mars 2013

127