Je souhaite résoudre des problèmes de connexion entre mon cluster AWS CloudHSM et le client CloudHSM.
Résolution
Vérification de l’installation du package client CloudHSM
Vous devez installer le logiciel client CloudHSM pour pouvoir communiquer avec le HSM. Exécutez l’une des commandes suivantes pour vérifier si le package client CloudHSM est installé :
Red Hat Enterprise Linux (RHEL) et Amazon Linux :
rpm -qa | grep cloudhsm
Ubuntu :
dpkg --list | grep cloudhsm
Windows PowerShell :
Get-Service -Name AWSCloudHSMClient
Si le logiciel client CloudHSM n’est pas installé, consultez les pages Installation et configuration du client AWS CloudHSM (Linux), et Installation et configuration du client AWS CloudHSM (Windows).
Vérification de l’association du groupe de sécurité CloudHSM à l’instance client CloudHSM
Lorsque vous créez un cluster, CloudHSM crée automatiquement un groupe de sécurité nommé cloudhsm-cluster-clusterID-sg, puis l’associe au cluster. Les instances client doivent être associées à ce groupe de sécurité du cluster pour pouvoir accéder au HSM.
Procédez comme suit :
- Ouvrez la console CloudHSM, puis choisissez Clusters.
- Sélectionnez l’ID de votre cluster.
- Dans Configuration générale, sous Groupe de sécurité, notez l’ID du groupe de sécurité cloudhsm-cluster-clusterID-sg.
- Ouvrez la console Amazon EC2, puis choisissez Instances.
- Sélectionnez l’ID de votre instance, puis choisissez l’onglet Description.
- Consultez les Groupes de sécurité associés à l’instance.
- Si l’ID du groupe de sécurité cloudhsm-cluster-clusterID-sg n’est pas associé à l’instance EC2, connectez l’instance Amazon EC2 au cluster AWS CloudHSM.
Vérification de l’exécution du démon client CloudHSM
Si le démon client CloudHSM ne s’exécute pas, les hôtes d’application ne peuvent pas se connecter aux HSM. Vérifiez que le démon client CloudHSM est en cours d’exécution à l’aide de l’une des commandes suivantes :
Amazon Linux 2, CentOS 7, RHEL 7 et Ubuntu 16.04 LTS :
sudo systemctl is-active cloudhsm-client
CentOS 6, Amazon Linux et RHEL 6 :
sudo status cloudhsm-client
Windows PowerShell :
Get-Service -Name AWSCloudHSMClient | Format-Table DisplayName,Status -AutoSize
Si la sortie indique que le démon client CloudHSM est arrêté, démarrez le client AWS CloudHSM.
Mise à jour du fichier de configuration pour l’adresse IP de l’interface réseau Elastic du client CloudHSM
Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la page Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez la version la plus récente d’AWS CLI.
Procédez comme suit :
- Ouvrez la console CloudHSM, puis choisissez Clusters.
- Sélectionnez l’ID de votre cluster.
- Choisissez l’onglet HSM, puis notez l’adresse IP de l’interface réseau.
Remarque : vous pouvez également utiliser la commande describe-clusters de l’interface de la ligne de commande AWS (AWS CLI).
- Consultez la page Connexion au cluster perdue pour mettre à jour le fichier de configuration du client avec l’adresse IP de l’interface réseau.
Pour en savoir plus, consultez la page Résolution des problèmes liés à AWS CloudHSM.
Informations connexes
Quels sont les certificats CloudHSM utilisés pour la connexion client-serveur chiffrée de bout en bout ?