翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM キー同期について
<a name="understand-key-sync"></a>

AWS CloudHSM は、キー同期を使用して、クラスター内のすべてのハードウェアセキュリティモジュール (HSM) でトークンキーのクローンを作成します。キーの生成、インポート、またはアンラップ操作中、トークンキーを永続キーとして作成します。クラスターを通してこれらのキーを配信するには、CloudHSM はクライアント側とサーバー側の両方にキーの同期を提供します。

![\[Key synchronization diagram showing client-side and server-side sync for CloudHSM クラスター.\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/images/key-synch.png)


キー同期の目標（サーバー側とクライアント側の両方）は、新しいキーを作成した後、できるだけ迅速にクラスター全体に、それを配信することです。これは、新しいキーを使用するために実行する後続の呼び出しが、クラスター内の利用可能な HSM にルーティングされる可能性があるため重要です。発信したコールがキーなしで HSM にルーティングされた場合、コールは失敗します。キー作成操作の後に実行される後続の呼び出しをアプリケーションで再試行するように指定することで、これらのタイプの障害を軽減できます。同期に必要な時間は、クラスターやその他の無形オブジェクト上のワークロードによって異なります。CloudWatch メトリクスを使用して、このタイプの状況でアプリケーションが採用すべきタイミングを判断します。CloudWatch のメトリクスの詳細については、[CloudWatch Metrics](hsm-metrics-cw.md) を参照してください。

クラウド環境でのキー同期の課題は、キーの耐久性です。1 つの HSM でキーを作成し、多くの場合、それらのキーを使ってすぐに開始します。キーがクラスター内の別のHSMに複製される前に、その上にキーを作成する HSM に障害が発生した場合は、キーで暗号化されたいかなるものに対するキー *および* アクセスを失います。このリスクを軽減するために、*client-side synchronization* を提供します。クライアント側の同期は、キーの生成、インポート、またはアンラップ操作中に作成したキーをクローンするクライアント側のプロセスです。クローニングキーの作成時にクローンを作成すると、キーの耐久性が向上します。もちろん、1 つの HSM を用いてクラスター内のキーのクローンを作成することはできません。キーの耐久性を高めるために、最低 2 つの HSM を使用するようにクラスターを構成することをお勧めします。クライアント側の同期と 2 つの HSM を持つクラスターで、クラウド環境におけるキーの耐久性の課題に対応できます。