AWS CloudHSM 内のインフラストラクチャセキュリティ
マネージドサービスである AWS CloudHSM は、Amazon Web Services のセキュリティプロセスの概要
AWS 公開版 API コールを使用して、ネットワーク経由で AWS CloudHSM にアクセスします。また、リクエストには、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
ネットワークの隔離
Virtual Private Cloud (VPC) は、AWS クラウド内の論理的に隔離された領域にある仮想ネットワークです。VPC のプライベートサブネットにクラスターを作成できます。VPC を作成するときにプライベートサブネットを作成できます。詳細については、「AWS CloudHSM のための仮想プライベートクラウド (VPC) の作成」を参照してください。
HSM を作成するときは、HSM と対話できるように、AWS CloudHSM がサブネットに Elastic Network Interface (ENI) を配置します。詳細については、「AWS CloudHSM クラスターアーキテクチャ」を参照してください。
AWS CloudHSM は、クラスター内の HSM 間のインバウンドおよびアウトバウンド通信を許可するセキュリティグループを作成します。このセキュリティグループを使用して、EC2 インスタンスがクラスター内の HSM と通信するようにできます。詳細については、「AWS CloudHSM 向けに、クライアントとなる Amazon EC2 インスタンスのセキュリティグループを設定する」を参照してください。
ユーザーの承認
AWS CloudHSM では、HSM で実行されるオペレーションには、認証された HSM ユーザーの認証情報が必要です。詳細については、「CloudHSM CLI の HSM ユーザータイプ」を参照してください。
