如何与其他 AWS 账户共享 CloudHSM 集群？

简短描述

您可以使用 AWS Resource Access Manager 与其他 AWS 账户共享包含 CloudHSM 的 Amazon Virtual Private Cloud (Amazon VPC) 子网。

解决方法

使用 AWS RAM 访问 AWS Organizations 中具有其他 AWS 账户的 CloudHSM。在以下示例中，账户 1 包含 CloudHSM 集群，而账户 2 包含 CloudHSM 客户端实例。

使用 AWS RAM 启用共享

1. 在您的 Organizations 管理账户中，打开与您的 CloudHSM 处于相同区域的 AWS RAM 控制台，并选择设置。
2. 选中在 AWS Organization 中启用共享对应的复选框。
3. 在您的 Organizations 管理账户中，打开 AWS Organization 控制台。
4. 选择设置，然后记下组织 ID。

使用账户 1 创建与其他账户共享的资源

1. 在与您的 CloudHSM 处于相同区域的账户 1 中打开 AWS RAM 控制台。
2. 在导航窗格的由我共享中，选择资源共享。
3. 选择创建资源共享。
4. 在名称中，输入资源共享的名称。
5. 在资源中，为您的 CloudHSM 选择 Amazon VPC 子网 ID。
6. 在委托人中，取消选中允许外部账户。
7. 在添加 AWS 账号搜索窗格中，输入 Organization ID，选择添加，然后选择创建资源共享。

**注意：**您还可以共享组织部门 (OU) 和 AWS 账户。

将安全组配置为允许 CloudHSM 客户端连接至 CloudHSM 集群

1. 在与您的 CloudHSM 集群处于相同区域的账户 1 中打开 CloudHSM 控制台。
2. 在导航窗格中，选择集群。
3. 在集群 ID 中，选择想要共享的 CloudHSM 集群。
4. 在安全组中，选择安全组。
5. 选择入站选项卡，然后选择编辑。
6. 选择添加规则。
7. 在端口范围中，输入 2223-2225。
8. 在源中，输入客户端实例的私有 IP 地址，然后选择保存。

**注意：**要获取客户端实例的私有 IP 地址，请参阅使用 EC2 控制台查看 IPv4 地址。

为与账户 2 共享的子网创建客户端实例

1. 在账户 2中打开 Amazon EC2 控制台，选择启动实例，然后选择一个 Amazon 系统映像 (AMI)。
2. 选择下一步：配置实例详细信息。
3. 在网络中，选择与账户 2 共享的 Amazon VPC。
4. 在子网中，选择与账户 2 共享的子网。
5. 在自动分配公有 IP 中，选择启用，然后选择下一步：添加存储。
6. 选择下一步：添加标签，然后选择下一步：配置安全组。
7. 在分配安全组中，选择创建新安全组或选择现有安全组（取决于您的实例类型）。
8. 选择检查并启动，然后选择启动。
9. 选择现有密钥对或者创建新的密钥对（取决于您的实例类型），然后选择同意复选框。
10. 选择启动实例。

---

相关信息

共享 AWS 资源

使用安全组

共享子网权限