Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

设置 AWS CloudHSM Classic 以使用 Amazon RDS

要通过 TDE 将 AWS CloudHSM Classic 与 Oracle 数据库实例结合使用,您必须先完成设置 AWS CloudHSM Classic 所需的任务。以下各节详细说明了这些任务。

Amazon RDS 在以下区域针对 Oracle 数据库实例支持 AWS CloudHSM Classic:美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、亚太区域(首尔)、亚太区域(新加坡)、亚太区域(悉尼)、亚太区域(东京)、欧洲(法兰克福)、欧洲(爱尔兰)。

完成 AWS CloudHSM Classic 先决条件

执行 AWS CloudHSM Classic 用户指南设置 AWS CloudHSM 部分中的过程以设置 AWS CloudHSM Classic 环境。

安装 AWS CloudHSM Classic 命令行接口工具

按照 AWS CloudHSM Classic 用户指南设置 AWS CloudHSM CLI 工具部分中的说明操作来在您的 AWS CloudHSM Classic 控制实例上安装 AWS CloudHSM Classic 命令行接口工具。

配置 HSM

对于将 AWS CloudHSM Classic 与 Amazon RDS 结合使用,建议的配置是使用已在高可用性 (HA) 分区组中配置的三个 AWS CloudHSM Classic 设备。建议使用最少三个 HSM 以实现高可用性。即使其中两个 HSM 不可用,您的密钥仍将对 Amazon RDS 可用。

 AWS CloudHSM Classic 高可用性配置

重要

初始化 HSM 将设置 HSM 安全人员账户 (又称为 HSM 管理员) 的密码。将安全人员密码记录在您的密码工作表上,切勿丢失。我们建议您打印一份密码工作表,用它来记录您的 AWS CloudHSM Classic 密码,然后将其存放在安全位置。此外,建议您在安全的异地存储设施中存储此工作表的至少一个副本。AWS 无法从您没有适当 HSM 安全人员凭证的 HSM 中恢复您的密钥材料。

要使用 AWS CloudHSM Classic CLI 工具预置和初始化 HSM,请从控制实例执行以下步骤:

  1. 按照使用 CLI 创建 HSM 中的说明操作,预置进行配置所需的 HSM 数量。在配置 HSM 时,记下每个 HSM 的 ARN,因为您将需要这些 ARN 来初始化 HSM 并创建高可用性分区组。

  2. 按照初始化您的 HSM 中的说明操作,初始化您的每个 HSM。

创建高可用性分区组

初始化 HSM 后,使用已初始化的 HSM 创建高可用性分区组。创建高可用性分区组的过程包含三个步骤。创建高可用性分区组,将 HSM 添加到高可用性分区组,并注册与高可用性分区组结合使用的客户端。

创建和初始化高可用性分区组

  1. 按照 AWS CloudHSM Classic 用户指南创建高可用性分区组部分中的说明操作来创建您的高可用性分区组。保存从 create-hapg 命令返回的高可用性分区组 ARN 以待将来使用。

    将分区密码保存到密码工作表上。

  2. 按照使用高可用性分区组注册客户端中的说明操作,创建、注册和分配要与高可用性分区组结合使用的客户端。

如果需要,请重复此过程以添加其他分区。一个分区可以支持多个 Oracle 数据库。