AWS CloudHSM 向けに、クライアントとなる Amazon EC2 インスタンスのセキュリティグループを設定する
AWS CloudHSM でクラスターの Amazon EC2 インスタンスを起動すると、それがデフォルトの Amazon VPC セキュリティ グループに関連付けられます。このトピックでは、クラスターセキュリティグループを EC2 インスタンスに関連付ける方法について説明します。この関連付けにより、EC2 インスタンスで実行されている AWS CloudHSM クライアントは HSM と通信できるようになります。EC2 インスタンスを AWS CloudHSM クラスターに接続するには、VPC のデフォルトセキュリティグループの設定と、インスタンスへのクラスターセキュリティグループの関連付けを正しく行う必要があります。
設定の変更を完了するには、次の手順を実行します。
ステップ 1. デフォルトのセキュリティグループの変更
クライアントソフトウェアをダウンロードしてインストールし、HSM と通信できるように、SSH 接続または RDP 接続が許可されるようにデフォルトのセキュリティグループを変更する必要があります。
デフォルトのセキュリティグループを変更するには
-
https://console.aws.amazon.com/ec2/
で EC2 ダッシュボード を開きます。 -
インスタンス (実行中) を選択し、AWS CloudHSM クライアントをインストールする EC2 インスタンスの横にあるチェックボックスを選択します。
-
[セキュリティ] タブで、[デフォルト] という名前のセキュリティグループを選択します。
-
ページの一番上で、[アクション]、[インバウンドのルールの編集] の順に選択します。
-
[Add rule (ルールの追加)] を選択します。
-
[タイプ] で、以下のいずれかを実行します。
-
Windows Server の Amazon EC2 インスタンスで、RDP を選択します。ポート
3389は自動的に追加されています。 -
Linux Amazon EC2 インスタンスの場合は、SSH を選択します。ポート範囲
22は自動的に追加されています。
-
-
いずれのオプションでも、[ソース] を [My IP] に設定すると、Amazon EC2 インスタンスと通信できるようになります。
重要
誰もがインスタンスにアクセスできないようにするには、CIDR 範囲として 0.0.0.0/0 を指定しないでください。
-
[Save] を選択します。
ステップ 2. Amazon EC2 インスタンスを AWS CloudHSM クラスターに接続します
EC2 インスタンスがクラスター内の HSM と通信できるように、クラスターのセキュリティグループを EC2 インスタンスに接続する必要があります。クラスターのセキュリティグループには、ポート 2223〜2225 経由のインバウンド通信を許可する事前に設定されたルールが含まれます。
EC2 インスタンスを AWS CloudHSM クラスターに接続するには
-
https://console.aws.amazon.com/ec2/
で EC2 ダッシュボード を開きます。 -
インスタンス (実行中) を選択し、AWS CloudHSM クライアントをインストールする EC2 インスタンスのチェックボックスを選択します。
-
ページの一番上で、アクション、セキュリティ、セキュリティグループの変更 を選択します。
-
クラスターの ID と一致するグループ名のセキュリティグループ (例:
cloudhsm-cluster-) を選択します。clusterID-sg -
[セキュリティグループを追加] を選択します。
-
[Save] を選択します。
注記
最大 5 つのセキュリティグループを 1 つの Amazon EC2 インスタンスに割り当てることができます。上限に達した場合は、Amazon EC2 のインスタンスのデフォルトのセキュリティグループとクラスターのセキュリティグループを変更する必要があります。
デフォルトのセキュリティグループで、以下の操作を行います。
クラスターセキュリティグループからポート
2223-2225経由で TCP プロトコルを使用したトラフィックを許可するアウトバウンドルールを追加します。
クラスターのセキュリティグループで、以下の操作を行います。
デフォルトのセキュリティグループからポート
2223-2225経由で TCP プロトコルを使用したトラフィックを許可するインバウンドルールを追加します。
