如何与其他 AWS 账户共享 CloudHSM 群集?

上次更新时间:2019 年 12 月 13 日

我的组织拥有多个 AWS 账户。我该如何与这些 AWS 账户共享我的 AWS CloudHSM 集群?

简短描述

您可以使用 AWS Resource Access Manager 与其他 AWS 账户共享包含 CloudHSM 的 VPC 子网。

解决方案

使用 AWS RAM 访问具有其他 AWS 账户的 CloudHSM。在以下示例中,Account 1 包含 CloudHSM 集群,而 Account 2 包含 CloudHSM 客户端实例。

使用 AWS RAM 与 AWS Organizations 进行共享

  1. 在您的 Organizations 主账户中,打开与您的 CloudHSM 处于相同区域的 AWS RAM 控制台,并选择设置
  2. 选择在 AWS Organization 中启用共享复选框。
  3. 在您的 Organizations 主账户中,打开 AWS Organization 控制台
  4. 选择设置,并记下 Organization ID

为 AWS Organizations 中的其他账户创建与账户 1 的资源共享

  1. 在与您的 CloudHSM 处于相同区域的账户 1 中打开 AWS RAM 控制台
  2. 在导航窗格的由我共享中,选择资源共享
  3. 选择创建资源共享
  4. 名称中,输入资源共享的名称。
  5. 资源中,为您的 CloudHSM 选择 VPC 子网 ID
  6. 委托人中,取消选中允许外部账户
  7. 添加 AWS 账号搜索窗格中,输入 Organization ID,选择添加,然后选择创建资源共享

注意:您还可以共享组织部门 (OU) 和 AWS 账户。

将安全组配置为允许 CloudHSM 客户端连接至 CloudHSM 集群

  1. 在与您的 CloudHSM 集群处于相同区域的账户 1 中打开 CloudHSM 控制台
  2. 在导航窗格中,选择集群
  3. 集群 ID 中,选择想要共享的 CloudHSM 集群。
  4. 安全组中,选择安全组。
  5. 选择入站选项卡,然后选择编辑
  6. 选择添加规则
  7. 端口范围中,输入 2223-2225
  8. 中,输入客户端实例的私有 IP 地址,然后选择保存

注意:要获取客户端实例的私有 IP 地址,请参阅如何使用 EC2 控制台确定实例的私有 IPv4 地址

为与账户 2 共享的子网创建客户端实例

  1. 账户 2中打开 Amazon EC2 控制台,选择启动实例,然后选择一个 Amazon 系统映像 (AMI)。
  2. 选择下一步:配置实例详细信息
  3. 网络中,选择与账户 2 共享的 VPC。
  4. 子网中,选择与账户 2 共享的子网。
  5. 自动分配公有 IP 中,选择启用,然后选择下一步:添加存储
  6. 选择下一步:添加标签,然后选择下一步:配置安全组
  7. 分配安全组中,选择创建新安全组选择现有安全组(取决于您的实例类型)。
  8. 选择检查并启动,然后选择启动
  9. 选择现有密钥对或者创建新的密钥对(取决于您的实例类型),然后选择同意复选框。
  10. 选择启动实例

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?