CloudHSM CLI を使用したクォーラム認証の管理 (M of N アクセスコントロール)
AWS CloudHSM クラスター内の ハードウェアセキュリティモジュール (HSM) は、クォーラム認証 (M of N アクセスコントロールとしても知られる) をサポートしています。クォーラム認証を使用すると、HSM の単一のユーザーは HSM でクォーラム管理されたオペレーションを行うことができません。代わりに、HSM ユーザーの最小数 (少なくとも 2 人) が、これらのオペレーションを協力して行う必要があります。クォーラム認証を使用すると、複数の HSM ユーザーからの承認を要求することで、さらに保護レイヤーを追加できます。
クォーラム認証は次のオペレーションを制御できます。
-
管理者による HSM ユーザーの管理 – HSM ユーザーの作成と削除、および、別の HSM ユーザーのパスワードの変更。詳細については、「AWS CloudHSM を使用したクォーラム認証を有効にしたユーザー管理」を参照してください。
AWS CloudHSM でのクォーラム認証の使用については、次の点に注意してください。
-
HSM ユーザーは自分のクォーラムトークンに署名できます。つまり、リクエストするユーザーはクォーラム認証に必要な承認の 1 つを提供できます。
-
クォーラム管理されたオペレーションに対して、最小数のクォーラム承認者を選択します。選択できる最小数は 2 で、選択できる最大数は 8 です。
-
HSM はクォーラムトークンを最大 1024 保存できます。HSM にすでに 1024 トークンある場合、新しく作成しようとすると、HSM は期限切れのトークンの 1 つを消去します。デフォルトでは、トークンは作成後 10 分で有効期限が切れます。
-
多要素認証 (MFA) が有効になっている場合、クラスターは、クォーラム認証と MFA に同じキーを使用します。クォーラム認証と 2 要素認証の詳細については、「CloudHSM CLI を使用して MFA を管理する」を参照してください。
-
各 HSM には、サービスごとに一度に 1 つのトークンしか含めることができません。
次のトピックでは、AWS CloudHSM でのクォーラム認証についてさらに詳細な情報を提供します。
トピック
