AWS CloudHSM でクラスターのアクティブ化
AWS CloudHSM クラスターを有効化すると、クラスターの状態が初期化からアクティブに変わります。その後、ハードウェアセキュリティモジュール (HSM) のユーザーを管理 し、HSM を使用します。
重要
クラスターをアクティブ化する前に、クラスターに接続する各 EC2 インスタンス上のプラットフォームのために、デフォルトの場所に発行証明書をコピーする必要があります (クラスターを初期化するときに、発行証明書を作成します)。
Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
発行証明書を配置したら、CloudHSM CLI をインストールし、最初の HSM で cluster activate コマンドを実行します。クラスター内の最初の HSM の管理者アカウントに unactivated-admin ロールが割り当てられているはずです。これはクラスターがアクティブ化される前にのみ存在する一時的なロールです。クラスターをアクティブ化すると、非アクティブ化された管理者のロールは管理者に変わります。
クラスターをアクティブ化するには
-
以前に起動したクライアントインスタンスに接続します。詳細については、「AWS CloudHSM とやり取りするための Amazon EC2 クライアントインスタンスを起動する」を参照してください。Linux インスタンスまたは Windows Server を起動できます。
-
CloudHSM CLI をインタラクティブモードで実行します。
-
(オプション) user list コマンドを使用して、既存のユーザーを表示します。
aws-cloudhsm >user list{ "error_code": 0, "data": { "users": [ { "username": "admin", "role": "unactivated-admin", "locked": "false", "mfa": [], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "cluster-coverage": "full" } ] } } -
cluster activate コマンドを使用して初期管理者パスワードを設定します。
aws-cloudhsm >cluster activateEnter password:<NewPassword>Confirm password:<NewPassword>新しいパスワードをパスワードワークシートに書き留めておくことをお勧めします。ワークシートを紛失しないでください。パスワードワークシートのコピーを印刷することをお勧めします。このコピーに重要な HSM のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーをオフサイトの安全なストレージに保存することをお勧めします。
-
(オプション) user list コマンドを使用して、ユーザーのタイプが admin/CO に変更されていることを確認します。
aws-cloudhsm >user list{ "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "cluster-coverage": "full" } ] } } -
quit コマンドを使用して、CloudHSM CLI ツールを停止します。
aws-cloudhsm >quit
CMU または CloudHSM CLI のオペレーションの詳細については、HSM ユーザーについて と CMU での HSM ユーザー管理について を参照してください。
