集群备份
CloudHSM 会自动做备份:
| 特性 | 说明 |
|---|---|
| 频率 | 至少每 24 小时一次 |
| 触发方式 | AWS 自动,无法手动触发 |
| 存储位置 | AWS 托管的 S3(加密存储) |
备份包含什么:
| 内容 | 说明 |
|---|---|
| 用户 | CO、CU、AU 所有用户信息 |
| 密钥材料 | 所有密钥和证书 |
| HSM 配置 | 配置和策略设置 |
手动触发备份的操作
虽然不能手动触发,但这些操作会强制创建备份,也变相相当于手动触发了:
| 操作 | 触发备份 |
|---|---|
| 激活集群 | ✅ |
| 添加 HSM 到活跃集群 | ✅ |
| 从活跃集群移除 HSM | ✅ |
想立即备份的技巧:
添加一个 HSM → 触发备份 → 删除该 HSM
例如我们的集群之前是有两个HSM,现在添加一个新的HSM,然后就会触发备份。完了再移除它:
管理备份
备份可以用来创建新集群,创建集群时有对应选项:
也可以跨region复制,在另一个region建立同样的集群:
backup restore适用的场景
| 场景 | 做法 |
|---|---|
| 集群故障 | 从备份创建新集群 |
| 误删密钥 | 恢复到备份时间点 |
| 跨 Region 迁移 | 复制备份到新 Region |
CloudHSM 跨 Region 备份复制注意事项, IAM 权限要求:
| 操作 | 需要的权限 |
|---|---|
| 复制备份 | 源 Region 的访问权限 |
| 使用复制后的备份 | 目标 Region 的访问权限 |
| 从备份创建集群 | 目标 Region 的 CreateCluster 权限 |
// IAM Policy 示例:允许跨 Region 复制
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudhsm:CopyBackupToRegion",
"cloudhsm:DescribeBackups"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": ["ap-southeast-1", "ap-northeast-1"]
}
}
}
]
}