AWS CloudHSM のクラスターにクライアント SDK を接続
クライアント SDK 5 またはクライアント SDK 3 のいずれかを用いてクラスターに接続するには、まず 2 つの操作を行う必要があります。
-
EC2 インスタンス上に発行証明書を配置する
-
クライアント SDK をクラスターにブートストラップする
各 EC2 インスタンス上に発行証明書を配置する
クラスターの初期化時には、発行証明書を作成します。クラスターに接続する各 EC2 インスタンス上のプラットフォームのために、デフォルトの場所への発行証明書をコピーします。
発行証明書の場所を指定する
クライアント SDK 5 を用いて、構成ツールを使用して発行証明書の場所を指定できます。
さらなる詳細については、Configure Tool を参照してください。
クラスターの初期化、または証明書の作成と署名の詳細については、Initilize the Cluster を参照してください。
クライアント SDK をブートストラップする
ブートストラッププロセスは、使用しているクライアント SDK のバージョンによって異なりますが、クラスター内のいずれかのハードウェアセキュリティモジュール(HSM)の IP アドレスが必要です。クラスターに添付されている任意の HSM の IP アドレスを使用できます。クライアント SDK が接続すると、あらゆる追加の HSM の IP アドレスを取得し、ロードバランシングとクライアント側のキー同期操作を実行します。
HSM の IP アドレスを取得するには (コンソール)
AWS CloudHSM コンソール (https://console.aws.amazon.com/cloudhsm/home
) を開きます。 -
AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
クラスターの詳細ページを開くには、クラスターテーブルでクラスター ID を選択します。
-
IP アドレスを取得するには、[HSM] タブで、[ENI IP アドレス] にリストされている IP アドレスのいずれかを選択します。
HSM の IP アドレスを取得する (AWS CLI)
-
describe-clusters から AWS CLI コマンドを実行して、HSM の IP アドレスを取得します。コマンドからの出力では、HSM の IP アドレスは
EniIp
の値です。$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...
ブーストラップのさらなる詳細については、構成ツール を参照してください。
注記
–-cluster-id
パラメータは -a <HSM_IP_ADDRESSES>
の代わりに使用できます。–-cluster-id
の使用要件については、「AWS CloudHSM クライアント SDK 5 設定ツール」を参照してください。
クライアント SDK 3 用の Linux の EC2 インスタンスをブートストラップするには
-
configure でクラスター内の HSM の IP アドレスを指定します。
sudo /opt/cloudhsm/bin/configure -a
<IP address>
クライアント SDK 3 用の Windows EC2 インスタンスをブートストラップするには
-
configure でクラスター内の HSM の IP アドレスを指定します。
C:\Program Files\Amazon\CloudHSM\bin\
configure-jce.exe -a
<HSM IP address>
さらなる設定の詳細については、AWS CloudHSM 設定ツール を参照してください。