AWS CloudHSM のクラスターにクライアント SDK を接続 - AWS CloudHSM

AWS CloudHSM のクラスターにクライアント SDK を接続

クライアント SDK 5 またはクライアント SDK 3 のいずれかを用いてクラスターに接続するには、まず 2 つの操作を行う必要があります。

  • EC2 インスタンス上に発行証明書を配置する

  • クライアント SDK をクラスターにブートストラップする

各 EC2 インスタンス上に発行証明書を配置する

クラスターの初期化時には、発行証明書を作成します。クラスターに接続する各 EC2 インスタンス上のプラットフォームのために、デフォルトの場所への発行証明書をコピーします。

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

発行証明書の場所を指定する

クライアント SDK 5 を用いて、構成ツールを使用して発行証明書の場所を指定できます。

PKCS #11 library
Linux クライアント SDK 5 の発行証明書を配置します。
  • 設定ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Windows クライアント SDK 5 の発行証明書を配置します。
  • 設定ツールを使用して、発行証明書の場所を指定します。

    "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Linux クライアント SDK 5 の発行証明書を配置する
  • 構成ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Linux クライアント SDK 5 の発行証明書を配置する
  • 設定ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Windows クライアント SDK 5 の発行証明書を配置します。
  • 設定ツールを使用して、発行証明書の場所を指定します。

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Linux クライアント SDK 5 の発行証明書を配置する
  • 設定ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Windows クライアント SDK 5 の発行証明書を配置します。
  • 設定ツールを使用して、発行証明書の場所を指定します。

    "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

さらなる詳細については、Configure Tool を参照してください。

クラスターの初期化、または証明書の作成と署名の詳細については、Initilize the Cluster を参照してください。

クライアント SDK をブートストラップする

ブートストラッププロセスは、使用しているクライアント SDK のバージョンによって異なりますが、クラスター内のいずれかのハードウェアセキュリティモジュール(HSM)の IP アドレスが必要です。クラスターに添付されている任意の HSM の IP アドレスを使用できます。クライアント SDK が接続すると、あらゆる追加の HSM の IP アドレスを取得し、ロードバランシングとクライアント側のキー同期操作を実行します。

HSM の IP アドレスを取得するには (コンソール)
  1. AWS CloudHSM コンソール (https://console.aws.amazon.com/cloudhsm/home) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. クラスターの詳細ページを開くには、クラスターテーブルでクラスター ID を選択します。

  4. IP アドレスを取得するには、[HSM] タブで、[ENI IP アドレス] にリストされている IP アドレスのいずれかを選択します。

HSM の IP アドレスを取得する (AWS CLI)
  • describe-clusters から AWS CLI コマンドを実行して、HSM の IP アドレスを取得します。コマンドからの出力では、HSM の IP アドレスは EniIp の値です。

    $ aws cloudhsmv2 describe-clusters { "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...

ブーストラップのさらなる詳細については、構成ツール を参照してください。

PKCS #11 library
クライアント SDK 5 用のための Linux の EC2 インスタンスをブートストラップするには
  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには
  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには
  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには
  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには
  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには
  • 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには
  • 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
注記

–-cluster-id パラメータは -a <HSM_IP_ADDRESSES> の代わりに使用できます。–-cluster-id の使用要件については、「AWS CloudHSM クライアント SDK 5 設定ツール」を参照してください。

クライアント SDK 3 用の Linux の EC2 インスタンスをブートストラップするには
  • configure でクラスター内の HSM の IP アドレスを指定します。

    sudo /opt/cloudhsm/bin/configure -a <IP address>
クライアント SDK 3 用の Windows EC2 インスタンスをブートストラップするには
  • configure でクラスター内の HSM の IP アドレスを指定します。

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

さらなる設定の詳細については、AWS CloudHSM 設定ツール を参照してください。