AWS CloudHSM クライアント SDK 5 設定パラメータ
AWS CloudHSM クライアント SDK 5 を設定するパラメータのリストを次に示します。
- -a
<ENI IP address> -
指定した IP アドレスをクライアント SDK 5 設定ファイルに追加します。クラスター内の HSM の任意の ENI IP アドレスを入力します。このオプションの使用方法の詳細については、「クライアント SDK 5でブートストラップ」 を参照してください。
必須: はい
- --hsm-ca-cert
<customerCA certificate file path> -
EC2クライアントインスタンスをクラスターに接続するために使用する認証局(CA)証明書を格納するディレクトリへのパス。このファイルは、クラスターを初期化するときに作成します。デフォルトでは、システムはこのファイルを次の場所で検索します。
Linux
/opt/cloudhsm/etc/customerCA.crtWindows
C:\ProgramData\Amazon\CloudHSM\customerCA.crtクラスターの初期化または証明書の配置の詳細については、「各 EC2 インスタンス上に発行証明書を配置する」 および 「AWS CloudHSM のクラスターの初期化」 を参照してください。
必須:いいえ
- --cluster-id
<cluster ID> -
DescribeClustersを呼び出して、クラスターIDに関連付けられたクラスターのすべての HSM Elastic Network Interface(ENI)IPアドレスを検索します。システムは、ENI IP アドレスを AWS CloudHSM 構成ファイルに追加します。注記
パブリックインターネットにアクセスできない VPC 内の EC2 インスタンスから
--cluster-idパラメータを使用する場合、AWS CloudHSM との接続のためにインターフェイスVPC エンドポイントを作成する必要があります。VPCエンドポイントの詳細については、AWS CloudHSM および VPC エンドポイント を参照してください。必須:いいえ
- --endpoint
<endpoint> -
作成に使用する AWS CloudHSM API エンドポイントを指定し
DescribeClustersを呼び出します。このオプションは--cluster-idと組み合わせて設定する必要があります。必須:いいえ
- --region
<region> -
クラスターのリージョンを指定します。このオプションは
--cluster-idと組み合わせて設定する必要があります。この
--regionパラメータを指定しない場合、システムはAWS_DEFAULT_REGIONまたはAWS_REGIONの環境変数の読み取りを試みてリージョンを選択します。これらの変数が設定されていない場合、環境変数で別のファイルを指定しない限り、AWS Config (通常は~/.aws/config) のプロファイルに関連付けられたリージョンをチェックしますAWS_CONFIG_FILE。いずれも設定されていない場合は、us-east-1デフォルトでリージョンが設定されます。必須:いいえ
- --server-client-cert-file
<client certificate file path> -
TLS クライアント・サーバー相互認証に使用するクライアント証明書へのパス。
クライアント SDK 5 に含まれるデフォルトのキーと SSL/TLS 証明書を使用しない場合のみ、このオプションを使用します。このオプションは
--server-client-key-fileと組み合わせて設定する必要があります。必須:いいえ
- --server-client-key-file
<client key file path> -
TLS クライアントサーバー相互認証に使用するクライアントキーへのパス。
クライアント SDK 5 に含まれるデフォルトのキーと SSL/TLS 証明書を使用しない場合のみ、このオプションを使用します。このオプションは
--server-client-cert-fileと組み合わせて設定する必要があります。必須:いいえ
- --client-cert-hsm-tls-file
<クライアント証明書の hsm tls パス> -
TLS クライアントと HSM の相互認証に使用するクライアント証明書へのパス。
このオプションは、CloudHSM CLI で HSM に少なくとも 1 つのトラストアンカーを登録している場合にのみ使用します。このオプションは
--client-key-hsm-tls-fileと組み合わせて設定する必要があります。必須:いいえ
- --client-key-hsm-tls-file
<クライアントキー hsm tls のパス> -
TLS クライアントと HSM の相互認証に使用されるクライアントキーへのパス。
このオプションは、CloudHSM CLI で HSM に少なくとも 1 つのトラストアンカーを登録している場合にのみ使用します。このオプションは
--client-cert-hsm-tls-fileと組み合わせて設定する必要があります。必須:いいえ
- --log-level
<error | warn | info | debug | trace> -
システムがログファイルに書き込むべき最小のログレベルを指定します。各レベルは前のレベルを含み、最小レベルはエラー、最大レベルはトレースとなります。つまり、エラーを指定すると、システムはログにエラーのみを書き込みます。トレースを指定すると、システムはエラー、警告、情報 (info)、およびデバッグメッセージをログに書き込みます。詳細については、「クライアント SDK 5 のログの記録」を参照してください。
必須:いいえ
- --log-rotation
<daily | weekly> -
システムがログをローテートする頻度を指定します。詳細については、「クライアント SDK 5 のログの記録」を参照してください。
必須:いいえ
- --log-file
<file name with path> -
システムがログファイルを書き込む場所を指定します。詳細については、「クライアント SDK 5 のログの記録」を参照してください。
必須:いいえ
- --log-type
<term | file> -
システムがログをファイルまたはターミナルのどちらに書き込むかを指定します。詳細については、「クライアント SDK 5 のログの記録」を参照してください。
必須:いいえ
- -h | --help
-
ヘルプを表示します。
必須:いいえ
- -v | --version
-
バージョンを表示します。
必須:いいえ
- --disable-key-availability-check
-
キーの可用性クォーラムを無効にするためのフラグ。このフラグは、AWS CloudHSM は、キー可用性クォーラムを無効にし、クラスター内の 1 つの HSM にのみ存在するキーを使用できます。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。
必須:いいえ
- --enable-key-availability-check
-
キーの可用性クォーラムを有効にするためのフラグ。このフラグを使用すると、AWS CloudHSM はキー可用性クォーラムを使用し、それらのキーがクラスター内の2つの HSM に存在するまでキーを使用できないようにする必要があることを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。
デフォルトでは有効になっています。
必須:いいえ
- --disable-validate-key-at-init
-
このフラグを指定すると、その後の呼び出しでキーのパーミッションを確認するための初期化呼び出しをスキップできるため、パフォーマンスが向上します。注意して使用してください。
背景: PKCS #11 ライブラリの一部のメカニズムでは、初期化コールで後続のコールでキーを使用できるかどうかを検証するマルチパートオペレーションをサポートしています。これには HSM への検証呼び出しが必要で、オペレーション全体にレイテンシーが追加されます。このオプションを使用すると、後続の呼び出しを無効にし、パフォーマンスを向上させる可能性があります。
必須:いいえ
- --enable-validate-key-at-init
-
初期化呼び出しを使用して、後続の呼び出しでキーに対する許可を検証するように指定します。これがデフォルトのオプションです。
enable-validate-key-at-initを使用して、これらの初期化呼び出しを再開するにはdisable-validate-key-at-initを一時停止します。必須:いいえ
