翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Client 5 SDK 設定ツールを使用して、クライアント側の設定ファイルを更新します。
クライアント 5 SDK の各コンポーネントには、構成ツールのファイル名にコンポーネントの識別子を含む構成ツールが含まれています。例えば、クライアント 5 の PKCS #11 SDK ライブラリには、Linux または configure-pkcs11.exe
Windows configure-pkcs11
の という名前の設定ツールが含まれています。
- PKCS #11
-
configure-pkcs11[ .exe ]
-a <ENI IP address>
[--hsm-ca-cert <customerCA certificate file path>
]
[--cluster-id <cluster ID>
]
[--endpoint <endpoint>
]
[--region <region>
]
[--server-client-cert-file <client certificate file path>
]
[--server-client-key-file <client key file path>
]
[--client-cert-hsm-tls-file <client certificate hsm tls path>
]
[--client-key-hsm-tls-file <client key hsm tls path>
]
[--log-level <error | warn | info | debug | trace>
]
Default is <info>
[--log-rotation <daily | weekly>
]
Default is <daily>
[--log-file <file name with path>
]
Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
[--log-type <file | term>
]
Default is <file>
[-h | --help]
[-V | --version]
[--disable-key-availability-check]
[--enable-key-availability-check]
[--disable-validate-key-at-init]
[--enable-validate-key-at-init]
This is the default for PKCS #11
- OpenSSL
-
configure-dyn[ .exe ]
-a <ENI IP address>
[--hsm-ca-cert <customerCA certificate file path>
]
[--cluster-id <cluster ID>
]
[--endpoint <endpoint>
]
[--region <region>
]
[--server-client-cert-file <client certificate file path>
]
[--server-client-key-file <client key file path>
]
[--client-cert-hsm-tls-file <client certificate hsm tls path>
]
[--client-key-hsm-tls-file <client key hsm tls path>
]
[--log-level <error | warn | info | debug | trace>
]
Default is <error>
[--log-type <file | term>
]
Default is <term>
[-h | --help]
[-V | --version]
[--disable-key-availability-check]
[--enable-key-availability-check]
[--disable-validate-key-at-init]
This is the default for OpenSSL
[--enable-validate-key-at-init]
- JCE
-
configure-jce[ .exe ]
-a <ENI IP address>
[--hsm-ca-cert <customerCA certificate file path>
]
[--cluster-id <cluster ID>
]
[--endpoint <endpoint>
]
[--region <region>
]
[--server-client-cert-file <client certificate file path>
]
[--server-client-key-file <client key file path>
]
[--client-cert-hsm-tls-file <client certificate hsm tls path>
]
[--client-key-hsm-tls-file <client key hsm tls path>
]
[--log-level <error | warn | info | debug | trace>
]
Default is <info>
[--log-rotation <daily | weekly>
]
Default is <daily>
[--log-file <file name with path>
]
Default is </opt/cloudhsm/run/cloudhsm-jce.log>
Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
[--log-type <file | term>
]
Default is <file>
[-h | --help]
[-V | --version]
[--disable-key-availability-check]
[--enable-key-availability-check]
[--disable-validate-key-at-init]
This is the default for JCE
[--enable-validate-key-at-init]
- CloudHSM CLI
-
configure-cli[ .exe ]
-a <ENI IP address>
[--hsm-ca-cert <customerCA certificate file path>
]
[--cluster-id <cluster ID>
]
[--endpoint <endpoint>
]
[--region <region>
]
[--server-client-cert-file <client certificate file path>
]
[--server-client-key-file <client key file path>
]
[--client-cert-hsm-tls-file <client certificate hsm tls path>
]
[--client-key-hsm-tls-file <client key hsm tls path>
]
[--log-level <error | warn | info | debug | trace>
]
Default is <info>
[--log-rotation <daily | weekly>
]
Default is <daily>
[--log-file <file name with path>
]
Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
[--log-type <file | term>
]
Default setting is <file>
[-h | --help]
[-V | --version]
[--disable-key-availability-check]
[--enable-key-availability-check]
[--disable-validate-key-at-init]
This is the default for CloudHSM CLI
[--enable-validate-key-at-init]
クライアント SDK5 設定ツールに固有の詳細設定のリストについては、「クライアント 5 SDK 設定ツールの詳細設定」を参照してください。
設定を変更した後、変更内容を反映させるためにアプリケーションを再起動する必要があります。
これらの例は、クライアント 5 SDK の設定ツールの使用方法を示しています。
この例では、 -a
パラメータを使用してクライアント 5 SDK HSMのデータを更新します。-a
パラメータを使用するには、クラスターHSMs内の のいずれかの IP アドレスが必要です。
- PKCS #11 library
-
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには
クライアント 5 の Windows SDK EC2インスタンスをブートストラップするには
- OpenSSL Dynamic Engine
-
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには
- JCE provider
-
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには
クライアント 5 の Windows SDK EC2インスタンスをブートストラップするには
- CloudHSM CLI
-
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには
クライアント 5 の Windows SDK EC2インスタンスをブートストラップするには
–-cluster-id
パラメータは -a <HSM_IP_ADDRESSES>
の代わりに使用できます。–-cluster-id
の使用要件については、「クライアント SDK 5 設定ツール」を参照してください。
-a
パラメータの詳細については、「パラメータ」をご参照ください。
この例では、 cluster-id
パラメータを使用して、DescribeClusters
呼び出しを行うことでクライアント 5 SDK をブートストラップします。
- PKCS #11 library
-
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id
を使用してクライアント 5 の Windows SDK EC2インスタンスをブートストラップするには cluster-id
- OpenSSL Dynamic Engine
-
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id
- JCE provider
-
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id
を使用してクライアント 5 の Windows SDK EC2インスタンスをブートストラップするには cluster-id
- CloudHSM CLI
-
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id
を使用してクライアント 5 の Windows SDK EC2インスタンスをブートストラップするには cluster-id
--region
と --endpoint
のパラメータと cluster-id
のパラメータを組み合わせて、システムが DescribeClusters
の呼び出しを行う方法を指定することができます。例えば、クラスターのリージョンがAWSCLIデフォルトとして設定されたリージョンと異なる場合は、 --region
パラメータを使用してそのリージョンを使用する必要があります。さらに、呼び出しに使用するエンドポイントを指定 AWS CloudHSM APIすることもできます。これは、 のデフォルトのDNSホスト名を使用しないVPCインターフェイスエンドポイントを使用するなど、さまざまなネットワーク設定に必要な場合があります AWS CloudHSM。
- PKCS #11 library
-
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには
-
設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
--region us-east-1
--endpoint https://cloudhsmv2.us-east-1.amazonaws.com
エンドポイントとリージョンを使用して Windows EC2インスタンスをブートストラップするには
-
設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。
C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567
--region us-east-1
--endpoint https://cloudhsmv2.us-east-1.amazonaws.com
- OpenSSL Dynamic Engine
-
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには
-
設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。
$
sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
--region us-east-1
--endpoint https://cloudhsmv2.us-east-1.amazonaws.com
- JCE provider
-
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには
-
設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。
$
sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
--region us-east-1
--endpoint https://cloudhsmv2.us-east-1.amazonaws.com
エンドポイントとリージョンを使用して Windows EC2インスタンスをブートストラップするには
-
設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
--region us-east-1
--endpoint https://cloudhsmv2.us-east-1.amazonaws.com
- CloudHSM CLI
-
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには
-
設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。
$
sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
--region us-east-1
--endpoint https://cloudhsmv2.us-east-1.amazonaws.com
エンドポイントとリージョンを使用して Windows EC2インスタンスをブートストラップするには
-
設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567
--region us-east-1
--endpoint https://cloudhsmv2.us-east-1.amazonaws.com
--cluster-id
、--region
、--endpoint
パラメータの詳細については、パラメータを参照してください。
この例では、 のカスタムキー--server-client-cert-file
とSSL証明書SSLを指定して、 および --server-client-key-file
パラメータを使用して再設定する方法を示します。 AWS CloudHSM
- PKCS #11 library
-
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.crt /opt/cloudhsm/etc
$
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.crt
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt
\
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows でクライアント SDK5 とのTLSクライアントとサーバーの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell インタープリタでは、設定ツールを使用して ssl-client.crt
と を指定しますssl-client.key
。
& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
`
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- OpenSSL Dynamic Engine
-
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.crt
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-dyn \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt
\
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
- JCE provider
-
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.crt
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-jce \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt
\
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows でクライアント SDK5 とのTLSクライアントとサーバーの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell インタープリタでは、設定ツールを使用して ssl-client.crt
と を指定しますssl-client.key
。
& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
`
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- CloudHSM CLI
-
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.crt
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-cli \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt
\
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows でクライアント SDK5 とのTLSクライアントとサーバーの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell インタープリタでは、設定ツールを使用して ssl-client.crt
と を指定しますssl-client.key
。
& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
`
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
--server-client-cert-file
、および --server-client-key-file
、パラメータの詳細については、パラメータ を参照してください。
この例では、 のカスタムキー--client-cert-hsm-tls-file
とSSL証明書SSLを指定して、 および --client-key-hsm-tls-file
パラメータを使用して再設定する方法を示します。 AWS CloudHSM
- PKCS #11 library
-
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.pem /opt/cloudhsm/etc
$
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.pem
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem
\
--client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Windows でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell インタープリタでは、設定ツールを使用して ssl-client.pem
と を指定しますssl-client.key
。
& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
`
--client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- OpenSSL Dynamic Engine
-
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.pem
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem
\
--client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
- JCE provider
-
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.pem
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem
\
--client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Windows でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell インタープリタでは、設定ツールを使用して ssl-client.pem
と を指定しますssl-client.key
。
& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
`
--client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- CloudHSM CLI
-
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
$
sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
構成ツールで ssl-client.pem
、ssl-client.key
を指定します。
$
sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem
\
--client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Windows でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell インタープリタでは、設定ツールを使用して ssl-client.pem
と を指定しますssl-client.key
。
& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
`
--client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
--client-cert-hsm-tls-file
、および --client-key-hsm-tls-file
、パラメータの詳細については、パラメータ を参照してください。
この例では --disable-key-availability-check
パラメータを使用して、クライアントキーの耐久性設定を無効にします。単一の でクラスターを実行するにはHSM、クライアントキーの耐久性設定を無効にする必要があります。
- PKCS #11 library
-
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには
Windows でクライアント 5 SDK のクライアントキーの耐久性を無効にするには
- OpenSSL Dynamic Engine
-
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには
- JCE provider
-
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには
Windows でクライアント 5 SDK のクライアントキーの耐久性を無効にするには
- CloudHSM CLI
-
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには
Windows でクライアント 5 SDK のクライアントキーの耐久性を無効にするには
--disable-key-availability-check
パラメータの詳細については、「パラメータ」をご参照ください。
クライアント SDK 5 はlog-file
、、log-level
、log-rotation
、および log-type
パラメータを使用してログ記録を管理します。
AWS Fargate や AWS Lambda などのSDKサーバーレス環境に を設定するには、 AWS CloudHSM ログタイプを に設定することをお勧めしますterm
。クライアントログは に出力stderr
され、その環境に設定された CloudWatch ロググループにキャプチャされます。
- PKCS #11 library
-
デフォルトのログ記録の場所
-
ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
/opt/cloudhsm/run/cloudhsm-pkcs11.log
Windows
C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
- OpenSSL Dynamic Engine
-
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
- JCE provider
-
デフォルトのログ記録の場所
-
ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
/opt/cloudhsm/run/cloudhsm-jce.log
Windows
C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
- CloudHSM CLI
-
デフォルトのログ記録の場所
-
ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
/opt/cloudhsm/run/cloudhsm-cli.log
Windows
C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
log-file
、log-level
、log-rotation
、log-type
のパラメータの詳細については、「パラメータ」を参照してください。
この例では、 --hsm-ca-cert
パラメータを使用して、クライアント 5 SDK の発行証明書の場所を更新します。
- PKCS #11 library
-
クライアント 5 の Linux SDK に発行証明書を配置するには
クライアント 5 の Windows SDK に発行証明書を配置するには
- OpenSSL Dynamic Engine
-
クライアント 5 の Linux SDK に発行証明書を配置するには
- JCE provider
-
クライアント 5 の Linux SDK に発行証明書を配置するには
クライアント 5 の Windows SDK に発行証明書を配置するには
- CloudHSM CLI
-
クライアント 5 の Linux SDK に発行証明書を配置するには
クライアント 5 の Windows SDK に発行証明書を配置するには
--hsm-ca-cert
パラメータの詳細については、「パラメータ」をご参照ください。
- -a
<ENI IP address>
-
指定された IP アドレスをクライアント 5 SDK 設定ファイルに追加します。クラスターHSMから の ENI IP アドレスを入力します。このオプションの使用方法の詳細については、「ブートストラップクライアント 5SDK」を参照してください。
必須:はい
- --hsm-ca-cert
<customerCA certificate file path>
-
EC2 クライアントインスタンスをクラスターに接続するために使用する認証局 (CA) 証明書を保存するディレクトリへのパス。このファイルは、クラスターを初期化するときに作成します。デフォルトでは、システムはこのファイルを次の場所で検索します。
Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
クラスターの初期化または証明書の配置の詳細については、「各 EC2 インスタンス上に発行証明書を配置する」 および 「クラスターの初期化」 を参照してください。
必須:いいえ
- --cluster-id
<cluster ID>
-
クラスター ID に関連付けられたクラスター内のすべての HSMElastic Network Interface (ENI) IP アドレスを検索するDescribeClusters
呼び出しを行います。システムは ENI IP アドレスを設定 AWS CloudHSM ファイルに追加します。
パブリックインターネットにアクセスVPCできない 内のEC2インスタンスから --cluster-id
パラメータを使用する場合は、 に接続するためのインターフェイスVPCエンドポイントを作成する必要があります AWS CloudHSM。VPC エンドポイントの詳細については、「」を参照してくださいAWS CloudHSM および VPC エンドポイント。
必須:いいえ
- エンドポイント
<endpoint>
-
DescribeClusters
呼び出しに使用するエンドポイントを指定します AWS CloudHSM API。このオプションは --cluster-id
と組み合わせて設定する必要があります。
必須:いいえ
- --region
<region>
-
クラスターのリージョンを指定します。このオプションは --cluster-id
と組み合わせて設定する必要があります。
この --region
パラメータを指定しない場合、システムは AWS_DEFAULT_REGION
または AWS_REGION
の環境変数の読み取りを試みてリージョンを選択します。これらの変数が設定されていない場合、AWS_CONFIG_FILE
環境変数で別のファイルを指定しない限り、システムは設定ファイル (通常は AWS ~/.aws/config
) 内のプロファイルに関連付けられたリージョンをチェックします。いずれも設定されていない場合は、us-east-1
デフォルトでリージョンが設定されます。
必須:いいえ
- --server-client-cert-file
<client certificate file path>
-
クライアントとサーバーの相互認証に使用されるTLSクライアント証明書へのパス。
このオプションは、クライアント SDK5 に含めるデフォルトのキーと SSL/TLS 証明書を使用しない場合にのみ使用してください。このオプションは --server-client-key-file
と組み合わせて設定する必要があります。
必須:いいえ
- --server-client-key-file
<client key file path>
-
クライアントとサーバーの相互認証に使用されるTLSクライアントキーへのパス。
このオプションは、クライアント SDK5 に含めるデフォルトのキーと SSL/TLS 証明書を使用しない場合にのみ使用してください。このオプションは --server-client-cert-file
と組み合わせて設定する必要があります。
必須:いいえ
- -client-cert-hsm-tls-- ファイル
<client certificate hsm tls path>
-
クライアント相互HSM認証に使用されるTLSクライアント証明書へのパス。
このオプションは、少なくとも 1 つのトラストアンカーを HSM クラウドHSM に登録している場合にのみ使用してくださいCLI。このオプションは --client-key-hsm-tls-file
と組み合わせて設定する必要があります。
必須:いいえ
- -client-key-hsm-tls-- ファイル
<client key hsm tls path>
-
クライアント相互HSM認証に使用されるTLSクライアントキーへのパス。
このオプションは、少なくとも 1 つのトラストアンカーを HSM クラウドHSM に登録している場合にのみ使用してくださいCLI。このオプションは --client-cert-hsm-tls-file
と組み合わせて設定する必要があります。
必須:いいえ
- --log-level
<error | warn | info | debug |
trace>
-
システムがログファイルに書き込むべき最小のログレベルを指定します。各レベルは前のレベルを含み、最小レベルはエラー、最大レベルはトレースとなります。つまり、エラーを指定すると、システムはログにエラーのみを書き込みます。トレースを指定すると、システムはエラー、警告、情報 (info)、およびデバッグメッセージをログに書き込みます。詳細については、「クライアント SDK 5 のログ記録」を参照してください。
必須:いいえ
- --log-rotation
<daily | weekly>
-
システムがログをローテートする頻度を指定します。詳細については、「クライアント SDK 5 のログ記録」を参照してください。
必須:いいえ
- --log-file
<file name with path>
-
システムがログファイルを書き込む場所を指定します。詳細については、「クライアント SDK 5 のログ記録」を参照してください。
必須:いいえ
- --log-type
<term | file>
-
システムがログをファイルまたはターミナルのどちらに書き込むかを指定します。詳細については、「クライアント SDK 5 のログ記録」を参照してください。
必須:いいえ
- -h | --help
-
ヘルプを表示します。
必須:いいえ
- -v | --version
-
バージョンを表示します。
必須:いいえ
- --disable-key-availability-check
-
キーの可用性クォーラムを無効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを無効にし、クラスターHSM内の 1 つのみに存在するキーを使用できることを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。
必須:いいえ
- --enable-key-availability-check
-
キーの可用性クォーラムを有効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを使用し、それらのキーがクラスターHSMs内の 2 つの に存在するまでキーを使用できないことを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。
デフォルトでは有効になっています。
必須:いいえ
- -disable-validate-key-at--init
-
このフラグを指定すると、その後の呼び出しでキーのパーミッションを確認するための初期化呼び出しをスキップできるため、パフォーマンスが向上します。注意して使用してください。
背景: PKCS #11 ライブラリの一部のメカニズムは、初期化呼び出しが後続の呼び出しに キーを使用できるかどうかを検証するマルチパートオペレーションをサポートしています。これには、 への検証呼び出しが必要です。これによりHSM、オペレーション全体のレイテンシーが増加します。このオプションを使用すると、後続の呼び出しを無効にし、パフォーマンスを向上させる可能性があります。
必須:いいえ
- -enable-validate-key-at--init
-
初期化呼び出しを使用して、後続の呼び出しでキーに対する許可を検証するように指定します。これがデフォルトのオプションです。enable-validate-key-at-init
を使用して、これらの初期化呼び出しを再開するには disable-validate-key-at-init
を一時停止します。
必須:いいえ