クライアント SDK 5 設定ツール - AWS CloudHSM
構文詳細設定パラメータ関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クライアント SDK 5 設定ツール

Client 5 SDK 設定ツールを使用して、クライアント側の設定ファイルを更新します。

クライアント 5 SDK の各コンポーネントには、構成ツールのファイル名にコンポーネントの識別子を含む構成ツールが含まれています。例えば、クライアント 5 の PKCS #11 SDK ライブラリには、Linux または configure-pkcs11.exe Windows configure-pkcs11の という名前の設定ツールが含まれています。

構文

PKCS #11
configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11
OpenSSL
configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]
JCE
configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]
CloudHSM CLI
configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

詳細設定

クライアント SDK5 設定ツールに固有の詳細設定のリストについては、「クライアント 5 SDK 設定ツールの詳細設定」を参照してください。

重要

設定を変更した後、変更内容を反映させるためにアプリケーションを再起動する必要があります。

これらの例は、クライアント 5 SDK の設定ツールの使用方法を示しています。

この例では、 -aパラメータを使用してクライアント 5 SDK HSMのデータを更新します。-a パラメータを使用するには、クラスターHSMs内の のいずれかの IP アドレスが必要です。

PKCS #11 library
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、クラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
クライアント 5 の Windows SDK EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、クラスターHSM内の の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、クラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、クラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
クライアント 5 の Windows SDK EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、クラスターHSM内の の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
クライアント 5 の Linux SDK EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、クラスター内の HSM(s) の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
クライアント 5 の Windows SDK EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、クラスター内の HSM(s) の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
注記

–-cluster-id パラメータは -a <HSM_IP_ADDRESSES> の代わりに使用できます。–-cluster-id の使用要件については、「クライアント SDK 5 設定ツール」を参照してください。

-a パラメータの詳細については、「パラメータ」をご参照ください。

この例では、 cluster-idパラメータを使用して、DescribeClusters呼び出しを行うことでクライアント 5 SDK をブートストラップします。

PKCS #11 library
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id

  • クラスター ID cluster-1234567を使用して、クラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
を使用してクライアント 5 の Windows SDK EC2インスタンスをブートストラップするには cluster-id

  • クラスター ID cluster-1234567を使用して、クラスターHSM内の の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
OpenSSL Dynamic Engine
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id

  • クラスター ID cluster-1234567を使用して、クラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
JCE provider
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id

  • クラスター ID cluster-1234567を使用して、クラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
を使用してクライアント 5 の Windows SDK EC2インスタンスをブートストラップするには cluster-id

  • クラスター ID cluster-1234567を使用して、クラスターHSM内の の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
CloudHSM CLI
を使用してクライアント 5 の Linux SDK EC2インスタンスをブートストラップするには cluster-id

  • クラスター ID cluster-1234567を使用して、クラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
を使用してクライアント 5 の Windows SDK EC2インスタンスをブートストラップするには cluster-id

  • クラスター ID cluster-1234567を使用して、クラスターHSM内の の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567

--region--endpoint のパラメータと cluster-id のパラメータを組み合わせて、システムが DescribeClusters の呼び出しを行う方法を指定することができます。例えば、クラスターのリージョンがAWSCLIデフォルトとして設定されたリージョンと異なる場合は、 --regionパラメータを使用してそのリージョンを使用する必要があります。さらに、呼び出しに使用するエンドポイントを指定 AWS CloudHSM APIすることもできます。これは、 のデフォルトのDNSホスト名を使用しないVPCインターフェイスエンドポイントを使用するなど、さまざまなネットワーク設定に必要な場合があります AWS CloudHSM。

PKCS #11 library
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
エンドポイントとリージョンを使用して Windows EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。

    
C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
OpenSSL Dynamic Engine
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
JCE provider
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
エンドポイントとリージョンを使用して Windows EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
CloudHSM CLI
カスタムエンドポイントとリージョンを使用して Linux EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
エンドポイントとリージョンを使用して Windows EC2インスタンスをブートストラップするには

  • 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスターHSM内の の IP アドレスを指定します。

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

--cluster-id--region--endpoint パラメータの詳細については、パラメータを参照してください。

この例では、 のカスタムキー--server-client-cert-fileとSSL証明書SSLを指定して、 および --server-client-key-fileパラメータを使用して再設定する方法を示します。 AWS CloudHSM

PKCS #11 library
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.crtssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows でクライアント SDK5 とのTLSクライアントとサーバーの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.crtと を指定しますssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.crtssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.crtssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows でクライアント SDK5 とのTLSクライアントとサーバーの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.crtと を指定しますssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Linux でクライアント SDK5 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.crtssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows でクライアント SDK5 とのTLSクライアントとサーバーの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.crtと を指定しますssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

--server-client-cert-file、および --server-client-key-file、パラメータの詳細については、パラメータ を参照してください。

この例では、 のカスタムキー--client-cert-hsm-tls-fileとSSL証明書SSLを指定して、 および --client-key-hsm-tls-fileパラメータを使用して再設定する方法を示します。 AWS CloudHSM

PKCS #11 library
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.pemssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Windows でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.pemと を指定しますssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.pemssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.pemssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Windows でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.pemと を指定しますssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Linux でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 構成ツールで ssl-client.pemssl-client.key を指定します。

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Windows でTLSクライアント SDK5 HSMとの相互認証にカスタム証明書とキーを使用するには

  1. キーと証明書を適切なディレクトリにコピーします。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.pemと を指定しますssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

--client-cert-hsm-tls-file、および --client-key-hsm-tls-file、パラメータの詳細については、パラメータ を参照してください。

この例では --disable-key-availability-check パラメータを使用して、クライアントキーの耐久性設定を無効にします。単一の でクラスターを実行するにはHSM、クライアントキーの耐久性設定を無効にする必要があります。

PKCS #11 library
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには

  • 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Windows でクライアント 5 SDK のクライアントキーの耐久性を無効にするには

  • 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには

  • 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには

  • 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Windows でクライアント 5 SDK のクライアントキーの耐久性を無効にするには

  • 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Linux でクライアント 5 SDK のクライアントキーの耐久性を無効にするには

  • 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Windows でクライアント 5 SDK のクライアントキーの耐久性を無効にするには

  • 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

--disable-key-availability-check パラメータの詳細については、「パラメータ」をご参照ください。

クライアント SDK 5 はlog-file、、log-levellog-rotation、および log-typeパラメータを使用してログ記録を管理します。

注記

AWS Fargate や AWS Lambda などのSDKサーバーレス環境に を設定するには、 AWS CloudHSM ログタイプを に設定することをお勧めしますterm。クライアントログは に出力stderrされ、その環境に設定された CloudWatch ロググループにキャプチャされます。

PKCS #11 library
デフォルトのログ記録の場所

  • ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

    Linux

    /opt/cloudhsm/run/cloudhsm-pkcs11.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
ファイルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info
ターミナルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
OpenSSL Dynamic Engine
デフォルトのログ記録の場所

  • ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

    Linux

    stderr
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
ファイルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info
ターミナルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
JCE provider
デフォルトのログ記録の場所

  • ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

    Linux

    /opt/cloudhsm/run/cloudhsm-jce.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-level info
ファイルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info
ターミナルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
CloudHSM CLI
デフォルトのログ記録の場所

  • ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

    Linux

    /opt/cloudhsm/run/cloudhsm-cli.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-level info
ファイルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info
ターミナルのログ記録オプションを設定するには
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

log-filelog-levellog-rotationlog-type のパラメータの詳細については、「パラメータ」を参照してください。

この例では、 --hsm-ca-certパラメータを使用して、クライアント 5 SDK の発行証明書の場所を更新します。

PKCS #11 library
クライアント 5 の Linux SDK に発行証明書を配置するには

  • 設定ツールを使用して、発行証明書の場所を指定します。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
クライアント 5 の Windows SDK に発行証明書を配置するには

  • 設定ツールを使用して、発行証明書の場所を指定します。

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
クライアント 5 の Linux SDK に発行証明書を配置するには

  • 設定ツールを使用して、発行証明書の場所を指定します。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
クライアント 5 の Linux SDK に発行証明書を配置するには

  • 設定ツールを使用して、発行証明書の場所を指定します。

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
クライアント 5 の Windows SDK に発行証明書を配置するには

  • 設定ツールを使用して、発行証明書の場所を指定します。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
クライアント 5 の Linux SDK に発行証明書を配置するには

  • 設定ツールを使用して、発行証明書の場所を指定します。

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
クライアント 5 の Windows SDK に発行証明書を配置するには

  • 設定ツールを使用して、発行証明書の場所を指定します。

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

--hsm-ca-cert パラメータの詳細については、「パラメータ」をご参照ください。

パラメータ

-a <ENI IP address>

指定された IP アドレスをクライアント 5 SDK 設定ファイルに追加します。クラスターHSMから の ENI IP アドレスを入力します。このオプションの使用方法の詳細については、「ブートストラップクライアント 5SDK」を参照してください。

必須:はい

--hsm-ca-cert <customerCA certificate file path>

EC2 クライアントインスタンスをクラスターに接続するために使用する認証局 (CA) 証明書を保存するディレクトリへのパス。このファイルは、クラスターを初期化するときに作成します。デフォルトでは、システムはこのファイルを次の場所で検索します。

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

クラスターの初期化または証明書の配置の詳細については、「各 EC2 インスタンス上に発行証明書を配置する」 および 「クラスターの初期化」 を参照してください。

必須:いいえ

--cluster-id <cluster ID>

クラスター ID に関連付けられたクラスター内のすべての HSMElastic Network Interface (ENI) IP アドレスを検索するDescribeClusters呼び出しを行います。システムは ENI IP アドレスを設定 AWS CloudHSM ファイルに追加します。

注記

パブリックインターネットにアクセスVPCできない 内のEC2インスタンスから --cluster-idパラメータを使用する場合は、 に接続するためのインターフェイスVPCエンドポイントを作成する必要があります AWS CloudHSM。VPC エンドポイントの詳細については、「」を参照してくださいAWS CloudHSM および VPC エンドポイント

必須:いいえ

エンドポイント <endpoint>

DescribeClusters 呼び出しに使用するエンドポイントを指定します AWS CloudHSM API。このオプションは --cluster-id と組み合わせて設定する必要があります。

必須:いいえ

--region <region>

クラスターのリージョンを指定します。このオプションは --cluster-id と組み合わせて設定する必要があります。

この --region パラメータを指定しない場合、システムは AWS_DEFAULT_REGION または AWS_REGION の環境変数の読み取りを試みてリージョンを選択します。これらの変数が設定されていない場合、AWS_CONFIG_FILE環境変数で別のファイルを指定しない限り、システムは設定ファイル (通常は AWS ~/.aws/config) 内のプロファイルに関連付けられたリージョンをチェックします。いずれも設定されていない場合は、us-east-1 デフォルトでリージョンが設定されます。

必須:いいえ

--server-client-cert-file <client certificate file path>

クライアントとサーバーの相互認証に使用されるTLSクライアント証明書へのパス。

このオプションは、クライアント SDK5 に含めるデフォルトのキーと SSL/TLS 証明書を使用しない場合にのみ使用してください。このオプションは --server-client-key-file と組み合わせて設定する必要があります。

必須:いいえ

--server-client-key-file <client key file path>

クライアントとサーバーの相互認証に使用されるTLSクライアントキーへのパス。

このオプションは、クライアント SDK5 に含めるデフォルトのキーと SSL/TLS 証明書を使用しない場合にのみ使用してください。このオプションは --server-client-cert-file と組み合わせて設定する必要があります。

必須:いいえ

-client-cert-hsm-tls-- ファイル <client certificate hsm tls path>

クライアント相互HSM認証に使用されるTLSクライアント証明書へのパス。

このオプションは、少なくとも 1 つのトラストアンカーを HSM クラウドHSM に登録している場合にのみ使用してくださいCLI。このオプションは --client-key-hsm-tls-file と組み合わせて設定する必要があります。

必須:いいえ

-client-key-hsm-tls-- ファイル <client key hsm tls path>

クライアント相互HSM認証に使用されるTLSクライアントキーへのパス。

このオプションは、少なくとも 1 つのトラストアンカーを HSM クラウドHSM に登録している場合にのみ使用してくださいCLI。このオプションは --client-cert-hsm-tls-file と組み合わせて設定する必要があります。

必須:いいえ

--log-level <error | warn | info | debug | trace>

システムがログファイルに書き込むべき最小のログレベルを指定します。各レベルは前のレベルを含み、最小レベルはエラー、最大レベルはトレースとなります。つまり、エラーを指定すると、システムはログにエラーのみを書き込みます。トレースを指定すると、システムはエラー、警告、情報 (info)、およびデバッグメッセージをログに書き込みます。詳細については、「クライアント SDK 5 のログ記録」を参照してください。

必須:いいえ

--log-rotation <daily | weekly>

システムがログをローテートする頻度を指定します。詳細については、「クライアント SDK 5 のログ記録」を参照してください。

必須:いいえ

--log-file <file name with path>

システムがログファイルを書き込む場所を指定します。詳細については、「クライアント SDK 5 のログ記録」を参照してください。

必須:いいえ

--log-type <term | file>

システムがログをファイルまたはターミナルのどちらに書き込むかを指定します。詳細については、「クライアント SDK 5 のログ記録」を参照してください。

必須:いいえ

-h | --help

ヘルプを表示します。

必須:いいえ

-v | --version

バージョンを表示します。

必須:いいえ

--disable-key-availability-check

キーの可用性クォーラムを無効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを無効にし、クラスターHSM内の 1 つのみに存在するキーを使用できることを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。

必須:いいえ

--enable-key-availability-check

キーの可用性クォーラムを有効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを使用し、それらのキーがクラスターHSMs内の 2 つの に存在するまでキーを使用できないことを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。

デフォルトでは有効になっています。

必須:いいえ

-disable-validate-key-at--init

このフラグを指定すると、その後の呼び出しでキーのパーミッションを確認するための初期化呼び出しをスキップできるため、パフォーマンスが向上します。注意して使用してください。

背景: PKCS #11 ライブラリの一部のメカニズムは、初期化呼び出しが後続の呼び出しに キーを使用できるかどうかを検証するマルチパートオペレーションをサポートしています。これには、 への検証呼び出しが必要です。これによりHSM、オペレーション全体のレイテンシーが増加します。このオプションを使用すると、後続の呼び出しを無効にし、パフォーマンスを向上させる可能性があります。

必須:いいえ

-enable-validate-key-at--init

初期化呼び出しを使用して、後続の呼び出しでキーに対する許可を検証するように指定します。これがデフォルトのオプションです。enable-validate-key-at-init を使用して、これらの初期化呼び出しを再開するには disable-validate-key-at-init を一時停止します。

必須:いいえ

関連トピック