key_mgmt_util (KMU) を使用して AWS CloudHSM クラスター内のハードウェアセキュリティモジュール (HSM) とやりとりするには、Linux 用の AWS CloudHSM クライアントソフトウェアが必要です。このクライアントを以前に作成した Linux EC2 クライアントインスタンスにインストールする必要があります。Windows を使用している場合は、クライアントをインストールすることもできます。詳細については、「KMU (Windows) 用の AWS CloudHSM クライアントをインストールして設定する」を参照してください。
ステップ 1. AWS CloudHSM クライアントとコマンドラインツールのインストール
クライアントインスタンスに接続し、次のコマンドを実行して、AWS CloudHSM クライアントとコマンドラインツールをダウンロードし、インストールします。
- Amazon Linux
-
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-client-latest.el6.x86_64.rpm
sudo yum install ./cloudhsm-client-latest.el6.x86_64.rpm
- Amazon Linux 2
-
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-client-latest.el7.x86_64.rpm
sudo yum install ./cloudhsm-client-latest.el7.x86_64.rpm
- CentOS 7
-
sudo yum install wget
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-client-latest.el7.x86_64.rpm
sudo yum install ./cloudhsm-client-latest.el7.x86_64.rpm
- CentOS 8
-
sudo yum install wget
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-client-latest.el8.x86_64.rpm
sudo yum install ./cloudhsm-client-latest.el8.x86_64.rpm
- RHEL 7
-
sudo yum install wget
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-client-latest.el7.x86_64.rpm
sudo yum install ./cloudhsm-client-latest.el7.x86_64.rpm
- RHEL 8
-
sudo yum install wget
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-client-latest.el8.x86_64.rpm
sudo yum install ./cloudhsm-client-latest.el8.x86_64.rpm
- Ubuntu 16.04 LTS
-
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-client_latest_amd64.deb
sudo apt install ./cloudhsm-client_latest_amd64.deb
- Ubuntu 18.04 LTS
-
wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-client_latest_u18.04_amd64.deb
sudo apt install ./cloudhsm-client_latest_u18.04_amd64.deb
ステップ 2. クライアント設定の編集
AWS CloudHSM クライアントを使用してクラスターに接続するには、クライアント設定を編集する必要があります。
クライアント設定を編集するには
-
発行証明書 (クラスターの証明書に署名するために使用したもの) を、クライアントインスタンスの次の場所にコピーします:/opt/cloudhsm/etc/customerCA.crt
。この場所に証明書をコピーするには、クライアントインスタンスにルートユーザーアクセス権限が必要です。
-
次の configure コマンドを使用して AWS CloudHSM クライアントとコマンドラインツールの設定ファイルを更新し、クラスターの HSM の IP アドレスを指定します。HSM の IP アドレスを取得するには、クラスターを AWS CloudHSM コンソールで表示するか、describe-clusters AWS CLI コマンドを実行します。コマンドの出力では、HSM の IP アドレスは EniIp
フィールドの値です。複数の HSM がある場合は、いずれかの HSM の IP アドレスを選択してください。どれでも構いません。
sudo /opt/cloudhsm/bin/configure -a <IP address>
Updating server config in /opt/cloudhsm/etc/cloudhsm_client.cfg
Updating server config in /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
-
AWS CloudHSM でクラスターのアクティブ化 に移動します。