AWS CloudHSM 集群同步

在集 AWS CloudHSM 群中， AWS CloudHSM 使各个 HSM 上的密钥保持同步。您无需执行任何操作即可使 HSM 上的密钥保持同步。与密钥不同，服务器端没有机制可以在集群中同步 HSM 用户。 AWS CloudHSM CLI 在各个 HSM 上尽最大努力同步用户操作，但是如果操作部分失败，则可能会出现不一致的情况。如果用户不同步，该user list命令将显示不一致之处。有关更多信息，请参阅 客户端 SDK 5 用户或策略包含不一致的值。

向集群添加新 HSM 时， AWS CloudHSM 会备份现有 HSM 上的所有密钥、用户和策略。然后，它将该备份还原到新 HSM 上。这将使两个 HSM 保持同步。

如果集群中 HSM 上的密钥无法同步，则 AWS CloudHSM 会自动对其进行重新同步。要启用此功能，请 AWS CloudHSM 使用设备用户的凭据。此用户存在于由提供的所有 HSM 上 AWS CloudHSM ，并且权限有限。该用户可以获取 HSM 上的对象的哈希，并且可以提取和插入遮蔽（加密）的对象。 AWS 无法查看或修改您的用户或密钥，并且无法使用这些密钥执行任何加密操作。

这种自动重新同步仅适用于密钥。用户和策略（例如 mTLS 设置）不会自动重新同步。CloudHSM CLI 会尽力在各个 HSM 之间同步用户和策略操作，但仍可能出现不一致的情况，您可能需要手动解决这些问题。有关更多信息，请参阅 客户端 SDK 5 用户或策略包含不一致的值。