AWS CloudHSM 叢集同步

在 AWS CloudHSM 叢集中， 會同步 AWS CloudHSM 保留個別 HSMs上的金鑰。您不需要做任何動作來同步 HSM 上的金鑰。與金鑰不同，沒有伺服器端機制可跨叢集同步 HSM 使用者。CLI AWS CloudHSM 會跨 HSMs 執行使用者操作的最佳同步，但如果操作部分失敗，可能會發生不一致的情況。如果使用者不同步，user list命令會顯示不一致。如需詳細資訊，請參閱用戶端 SDK 5 使用者或政策包含不一致的值。

當您將新的 HSM 新增至叢集時， AWS CloudHSM 會在現有的 HSM 上備份所有金鑰、使用者和政策。然後將該備份還原到新的 HSM。這樣就可讓兩個 HSM 保持同步。

如果叢集中 HSMs上的金鑰不同步， AWS CloudHSM 會自動重新同步它們。若要啟用此功能， AWS CloudHSM 會使用設備使用者的登入資料。此使用者存在於 提供的所有 HSMs上 AWS CloudHSM ，並且具有有限的許可。這個使用者可以取得 HSM 上的物件雜湊，並可以擷取和插入遮罩 (加密) 物件。 AWS 無法檢視或修改您的使用者或金鑰，也無法使用這些金鑰執行任何加密操作。

此自動重新同步僅適用於 金鑰。使用者和政策 （例如 mTLS 設定） 不會自動重新同步。CloudHSM CLI 會跨 HSMs 執行使用者和政策操作的最佳同步處理，但仍可能發生不一致的情況，您可能需要手動解決它們。如需詳細資訊，請參閱用戶端 SDK 5 使用者或政策包含不一致的值。