AWS CloudHSM クライアント SDK 3 の設定例

HSM の IP アドレスを取得するには (コンソール)

1. AWS CloudHSM コンソール (https://console.aws.amazon.com/cloudhsm/home) を開きます。

2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

3. クラスターの詳細ページを開くには、クラスターテーブルでクラスター ID を選択します。

4. IP アドレスを取得するには、[HSM] タブで、[ENI IP アドレス] にリストされている IP アドレスのいずれかを選択します。

HSM の IP アドレスを取得する (AWS CLI)

• describe-clusters から AWS CLI コマンドを実行して、HSM の IP アドレスを取得します。コマンドの出力では、HSM の IP アドレスは EniIp の値です。

  $  aws cloudhsmv2 describe-clusters
  	
  
  {
      "Clusters": [
          { ... }
              "Hsms": [
                  {
  ...
                      "EniIp": "10.0.0.9",
  ...
                  },
                  {
  ...
                      "EniIp": "10.0.1.6",
  ...
  

: HSM のデータを更新するには

1. -a パラメータを更新する前に、AWS CloudHSM クライアントを停止します。これにより、configure がクライアントの設定ファイルを編集する間に発生する可能性がある競合を防ぎます。クライアントがすでに停止している場合は、このコマンドによる影響はないので、スクリプトで使用できます。

   Amazon Linux

   $ sudo stop cloudhsm-client

   Amazon Linux 2

   $ sudo service cloudhsm-client stop

   CentOS 7

   $ sudo service cloudhsm-client stop

   CentOS 8

   $ sudo service cloudhsm-client stop

   RHEL 7

   $ sudo service cloudhsm-client stop

   RHEL 8

   $ sudo service cloudhsm-client stop

   Ubuntu 16.04 LTS

   $ sudo service cloudhsm-client stop

   Ubuntu 18.04 LTS

   $ sudo service cloudhsm-client stop

   Windows

   • Windows クライアント 1.1.2+ の場合:

     C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient

   • Windows クライアント 1.1.1 以前の場合。

     Ctrl+C を使用したコマンドウィンドウで AWS CloudHSM クライアントを起動します。

2. このステップでは、configure -aconfigure の -a パラメータを使用して 10.0.0.9 ENI IP アドレスを設定ファイルに追加します。

   Amazon Linux

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Amazon Linux 2

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   CentOS 7

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   CentOS 8

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   RHEL 7

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   RHEL 8

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Ubuntu 16.04 LTS

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Ubuntu 18.04 LTS

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Windows

   C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -a 10.0.0.9

3. 次に、AWS CloudHSM クライアントを再起動します。起動した クライアントでは、設定ファイルの ENI IP アドレスを使用してクラスターにクエリを実行します。次に、クラスター内のすべての HSM の ENI IP アドレスを、cluster.info ファイルに書き込みます。

   Amazon Linux

   $ sudo start cloudhsm-client

   Amazon Linux 2

   $ sudo service cloudhsm-client start

   CentOS 7

   $ sudo service cloudhsm-client start

   CentOS 8

   $ sudo service cloudhsm-client start

   RHEL 7

   $ sudo service cloudhsm-client start

   RHEL 8

   $ sudo service cloudhsm-client start

   Ubuntu 16.04 LTS

   $ sudo service cloudhsm-client start

   Ubuntu 18.04 LTS

   $ sudo service cloudhsm-client start

   Windows

   • Windows クライアント 1.1.2+ の場合:

     C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

   • Windows クライアント 1.1.1 以前の場合。

     C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

   このコマンドが完了すると、AWS CloudHSM クライアントと key_mgmt_util が使用する HSM データは完全かつ正確なものになります。

• -m を実行する前に、前の例 で示したように、AWS CloudHSM クライアントを停止して -a コマンドを実行し、AWS CloudHSM クライアントを再起動します。これにより、cluster.info ファイルから cloudhsm_mgmt_util.cfg ファイルにコピーされたデータが完全で正確であることを確認できます。

  Linux

  $ sudo /opt/cloudhsm/bin/configure -m

  Windows

  C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -m

• --cmu パラメータを使用して、クラスター内の HSM の IP アドレスを渡します。

  Linux

  $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>

  Windows

  C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>