本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的 PKCS \$111 程式庫進階組態 AWS CloudHSM
<a name="pkcs11-library-configs"></a>

 AWS CloudHSM PKCS \$111 供應商包含下列進階組態，這不屬於大多數客戶使用的一般組態。這些組態提供額外的功能。
+ [使用 PKCS \$111 連線到多個插槽](pkcs11-library-configs-multi-slot.md)
+ [PKCS \$111 的重試組態](pkcs11-library-configs-retry.md)

# 適用於 的 PKCS \$111 程式庫的多個槽組態 AWS CloudHSM
<a name="pkcs11-library-configs-multi-slot"></a>

用戶端 SDK 5 PKCS \$111 程式庫中的單一插槽代表 AWS CloudHSM中叢集的單一連線。使用用戶端 SDK 5，您可以將 PKCS11 程式庫設定為允許多個插槽，從單一 PKCS \$111 應用程式將使用者連線到多個 CloudHSM 叢集。

使用本主題中的說明，讓您的應用程式使用多插槽功能來連線到多個叢集。

**Topics**
+ [適用於 的 PKCS \$111 程式庫的多槽先決條件 AWS CloudHSM](#pkcs11-multi-slot-prereqs)
+ [針對 的多槽功能設定 PKCS \$111 程式庫 AWS CloudHSM](pkcs11-multi-slot-config-run.md)
+ [為 新增具有多插槽功能的叢集 AWS CloudHSM](pkcs11-multi-slot-add-cluster.md)
+ [移除具有 多插槽功能的叢集 AWS CloudHSM](pkcs11-multi-slot-remove-cluster.md)

## 適用於 的 PKCS \$111 程式庫的多槽先決條件 AWS CloudHSM
<a name="pkcs11-multi-slot-prereqs"></a>

為 PKCS \$111 程式庫設定多個插槽之前 AWS CloudHSM，請完成下列先決條件。
+ 您要連線的兩個或多個 AWS CloudHSM 叢集及其叢集憑證。
+ 具有安全群組的 EC2 執行個體正確設定為連線到上述所有叢集。如需如何設定叢集和用戶端執行個體的詳細資訊，請參閱 [入門 AWS CloudHSM](getting-started.md)。
+ 若要設定多插槽功能，您必須已下載並安裝 PKCS \$111 程式庫。若您尚未完成此動作，請參閱 [安裝 AWS CloudHSM 用戶端 SDK 5 的 PKCS \$111 程式庫](pkcs11-library-install.md) 中的說明。

# 針對 的多槽功能設定 PKCS \$111 程式庫 AWS CloudHSM
<a name="pkcs11-multi-slot-config-run"></a>

若要設定 PKCS \$111 程式庫的多槽功能 AWS CloudHSM，請遵循下列步驟：

1. 使用多插槽功能識別要連線到的叢集。

1. 依照 [為 新增具有多插槽功能的叢集 AWS CloudHSM](pkcs11-multi-slot-add-cluster.md) 中的說明，將這些叢集新增至 PKCS \$111 組態

1. PKCS \$111 應用程式下次執行時，其將具有多插槽功能。

# 為 新增具有多插槽功能的叢集 AWS CloudHSM
<a name="pkcs11-multi-slot-add-cluster"></a>

[使用 PKCS \$111 連線到多個插槽](pkcs11-library-configs-multi-slot.md)時 AWS CloudHSM，請使用 **configure-pkcs11 add-cluster**命令將叢集新增至您的組態。

## 語法
<a name="pkcs11-multi-slot-add-cluster-syntax"></a>

```
configure-pkcs11 add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--client-cert-hsm-tls-file <CLIENT CERTIFICATE FILE>]
        [--client-key-hsm-tls-file <CLIENT KEY FILE>]
        [-h, --help]
```

## 範例
<a name="pkcs11-multi-slot-add-cluster-examples"></a>

### 使用 `cluster-id` 參數新增叢集
<a name="w2aac25c21c17c31b7c13b7b3b1"></a>

**Example**  
 搭配使用 **configure-pkcs11 add-cluster** 和 `cluster-id` 參數，將叢集 (ID為 `cluster-1234567`) 新增至您的組態。  

```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id <cluster-1234567>
```

```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" add-cluster --cluster-id <cluster-1234567>
```

**提示**  
如果 **configure-pkcs11 add-cluster** 與 `cluster-id` 參數搭配使用不會導致新增叢集，請參閱下列範例，以取得此命令的更長版本，此命令也需要 `--region` 和 `--endpoint` 參數來識別要新增的叢集。例如，如果叢集區域與設定為 AWS CLI 預設值的區域不同，則應使用 `--region` 參數來使用正確的區域。此外，您可以指定用於呼叫的 AWS CloudHSM API 端點，這對於各種網路設定而言可能是必要的，例如使用不使用預設 DNS 主機名稱的 VPC 介面端點 AWS CloudHSM。

### 使用 `cluster-id`、`endpoint` 和 `region` 參數新增叢集
<a name="w2aac25c21c17c31b7c13b7b3b3"></a>

**Example**  
 搭配使用 **configure-pkcs11 add-cluster** 以及 `cluster-id`、`endpoint` 和 `region` 參數將叢集 (ID為 `cluster-1234567`) 新增至您的組態。  

```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id <cluster-1234567> --region <us-east-1> --endpoint <https://cloudhsmv2.us-east-1.amazonaws.com>
```

```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" add-cluster --cluster-id <cluster-1234567>--region <us-east-1> --endpoint <https://cloudhsmv2.us-east-1.amazonaws.com>
```

如需 `--cluster-id`、`--region` 和 `--endpoint` 參數的詳細資訊，請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。

## Parameters
<a name="pkcs11-multi-slot-add-cluster-parameters"></a>

**--cluster-id *<Cluster ID>***  
 進行 `DescribeClusters` 呼叫以尋找叢集中與叢集 ID 關聯的所有 HSM 彈性網路介面 (ENI) IP 地址。系統會將 ENI IP 地址新增至 AWS CloudHSM 組態檔案。  
如果您在無法存取公有網際網路的 VPC 中使用來自 EC2 執行個體的 `--cluster-id` 參數，則必須建立要連線的介面 VPC 端點 AWS CloudHSM。如需 VPC 端點的詳細資訊，請參閱 [AWS CloudHSM 和 VPC 端點](cloudhsm-vpc-endpoint.md)。
必要：是

**--endpoint *<Endpoint>***  
指定用於進行`DescribeClusters`呼叫的 AWS CloudHSM API 端點。您必須結合 `--cluster-id` 設定此選項。  
必要：否

**--hsm-ca-cert *<HsmCA Certificate Filepath>***  
指定 HSM CA 憑證的檔案路徑。  
必要：否

**--region *<Region>***  
指您叢集的區域。您必須結合 `--cluster-id` 設定此選項。  
如果您未提供 `--region` 參數，系統會嘗試讀取 `AWS_DEFAULT_REGION` 或 `AWS_REGION` 環境變數來選擇區域。如果未設定這些變數，則除非您在 `AWS_CONFIG_FILE` 環境變數中指定了不同的檔案，否則系統會檢查 AWS config 檔案中 (通常是 `~/.aws/config`) 與您的設定檔相關聯的區域。如果未設定上述任何變數，系統會預設為 `us-east-1` 區域。  
必要：否

**--client-cert-hsm-tls-file *<client certificate hsm tls 路徑>***  
 用於 TLS 用戶端-HSM 交互身分驗證的用戶端憑證路徑。  
 只有在您已使用 CloudHSM CLI 在 HSM 上註冊至少一個信任錨點時，才使用此選項。您必須結合 `--client-key-hsm-tls-file` 設定此選項。  
必要：否

**--client-key-hsm-tls-file *<client key hsm tls 路徑>***  
 用於 TLS 用戶端-HSM 交互身分驗證的用戶端金鑰路徑。  
 只有在您已使用 CloudHSM CLI 在 HSM 上註冊至少一個信任錨點時，才使用此選項。您必須結合 `--client-cert-hsm-tls-file` 設定此選項。  
必要：否

# 移除具有 多插槽功能的叢集 AWS CloudHSM
<a name="pkcs11-multi-slot-remove-cluster"></a>

[使用 PKCS \$111 連線到多個插槽](pkcs11-library-configs-multi-slot.md)時，請使用 **configure-pkcs11 remove-cluster** 命令從可用的 PKCS \$111 插槽中移除叢集。

## 語法
<a name="pkcs11-multi-slot-remove-cluster-syntax"></a>

```
configure-pkcs11 remove-cluster [OPTIONS]
        --cluster-id <CLUSTER ID>
        [-h, --help]
```

## 範例
<a name="pkcs11-multi-slot-remove-cluster-examples"></a>

### 使用 `cluster-id` 參數移除叢集
<a name="w2aac25c21c17c31b7c15b7b3b1"></a>

**Example**  
 搭配使用 **configure-pkcs11 remove-cluster** 和 `cluster-id` 參數，從您的組態中移除叢集 (ID 為 `cluster-1234567`)。  

```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 remove-cluster --cluster-id <cluster-1234567>
```

```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" remove-cluster --cluster-id <cluster-1234567>
```

如需 `--cluster-id` 參數的詳細資訊，請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。

## 參數
<a name="pkcs11-multi-slot-remove-cluster-parameters"></a>

**--cluster-id *<Cluster ID>***  
 需從組態中移除的叢集的 ID  
必要：是

# 的 PKCS \$111 程式庫重試命令 AWS CloudHSM
<a name="pkcs11-library-configs-retry"></a>

AWS CloudHSM 用戶端 SDK 5.8.0 和更新版本具有內建的自動重試策略，將從用戶端重試 HSM 限流操作。當 HSM 因過於忙於執行先前操作而無法接受更多要求而限制操作時，用戶端 SDK 會嘗試重試限流操作 (最多 3 次)，同時以指数形式回退。此自動重試策略可以設定為兩種模式中的其中一種：**關閉**模式和**標準**模式。
+ **關閉**：用戶端 SDK 將不會針對 HSM 的任何限流操作執行任何重試政策。
+ **標準**：這是用戶端 SDK 5.8.0 及更新版本的預設模式。在此模式下，用戶端 SDK 會以指數回退形式自動重試限流操作。

如需詳細資訊，請參閱[HSM 調節](troubleshoot-hsm-throttling.md)。

## 將重試命令設定為關閉模式
<a name="w2aac25c21c17c31b9b9"></a>

------
#### [ Linux ]

**將 Linux 上用戶端 SDK 5 重試命令設定為 **off****
+ 您可以使用下列命令將重試組態設定為 **off** 模式：

  ```
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --default-retry-mode off
  ```

------
#### [ Windows ]

**將 Windows 上用戶端 SDK 5 重試命令設定為 **off****
+ 您可以使用下列命令將重試組態設定為 **off** 模式：

  ```
  PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --default-retry-mode off
  ```

------