AWS CloudHSM クラスターアーキテクチャ

クラスターを作成したら、AWS アカウントの Amazon Virtual Private Cloud (VPC) と、その VPC の 1 つ以上のサブネットを指定します。選択した AWS リージョンのアベイラビリティーゾーン (AZ) ごとにサブネットを 1 つ作成することをお勧めします。VPC を作成するときにプライベートサブネットを作成できます。詳細については、「AWS CloudHSM のための仮想プライベートクラウド (VPC) の作成」を参照してください。

HSM を作成する度に、HSM のクラスターとアベイラビリティーゾーンを指定します。HSM を別々のアベイラビリティーゾーンに指定すると、いずれかのアベイラビリティーゾーンが使用できなくなった場合でも冗長性と高可用性を維持します。

HSM を作成すると、AWS CloudHSM によって、AWS アカウントで指定されたサブネットに Elastic Network Interface (ENI) が作成されます。Elastic Network Interface は、HSM とやり取りするためのインターフェイスです。HSM は、AWS CloudHSM が所有している AWS アカウントの各 VPC に属しています。HSM と対応するネットワークインターフェイスは、同じアベイラビリティーゾーンに存在します。

クラスターで HSM を操作するには、AWS CloudHSM クライアントソフトウェアが必要です。通常、次の図に示すように、HSM ENI と同じ VPC にある Amazon EC2 インスタンス (クライアントインスタンス) でクライアントをインストールします。ただし、これは技術的には必要ありません。HSM ENI に接続できる限り、互換性のある任意のコンピュータでクライアントをインストールできます。クライアントは ENI を通じてクラスター内の個々の HSM と通信します。

以下の図は、3 つの HSM を含む AWS CloudHSM クラスターを表します。これらは、VPC 内の別々のアベイラビリティーゾーンに存在します。