aws cloudhsm classic - ユーザーガイド · aws cloudhsm classic ユーザーガイド aws...
TRANSCRIPT
AWS CloudHSM Classicユーザーガイド
AWS CloudHSM Classic ユーザーガイド
AWS CloudHSM Classic: ユーザーガイドCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
AWS CloudHSM Classic ユーザーガイド
Table of Contents........................................................................................................................................................ v
AWS CloudHSM とは ......................................................................................................................... 1Payment Card Industry (PCI) Data Security Standard (DSS) への準拠 ................................................ 1料金表 ....................................................................................................................................... 1関連サービス ............................................................................................................................. 1ヘルプが必要な場合 .................................................................................................................... 2
セットアップ ..................................................................................................................................... 3AWS 無料アカウント作成方法 ...................................................................................................... 3IAM ユーザーを作成する .............................................................................................................. 3アクセスの制御 .......................................................................................................................... 4環境のセットアップ .................................................................................................................... 5
AWS CloudFormation を使用した設定 ................................................................................... 6手動セットアップ ............................................................................................................... 9
SSH キーの生成 ....................................................................................................................... 13Linux での SSH キーの生成 ................................................................................................ 14Windows での SSH キーの生成 .......................................................................................... 14SSH パブリックキーの例 ................................................................................................... 15プライベートキーのコピー ................................................................................................. 15
CLI ツールを設定する ................................................................................................................ 16CLI ツールのインストール ................................................................................................. 16CLI ツールの設定 .............................................................................................................. 18
ご利用開始にあたって ....................................................................................................................... 23HSM のプロビジョニング ........................................................................................................... 24HSM の設定 ............................................................................................................................. 25
HSM ENI の識別子と IP アドレスの取得 .............................................................................. 25セキュリティグループの適用 .............................................................................................. 26HSM の初期化 .................................................................................................................. 26オンプレミス HSM の接続 ................................................................................................. 28
HSM クライアントの設定 ........................................................................................................... 28Linux HSM クライアントの設定 .......................................................................................... 28Windows HSM クライアントの設定 ..................................................................................... 30
ベストプラクティス .......................................................................................................................... 33一般的なベストプラクティス ...................................................................................................... 33パスワードに関するベストプラクティス ....................................................................................... 33パスワードワークシート ............................................................................................................ 34
オペレーションおよびメンテナンス ..................................................................................................... 35高可用性とロードバランシング ........................................................................................................... 36
高可用性およびロードバランシングのベストプラクティス .............................................................. 37一般的なベストプラクティス .............................................................................................. 37損失と復旧のベストプラクティス ........................................................................................ 37
HA パーティショングループの作成 .............................................................................................. 39HA パーティショングループの作成 ...................................................................................... 39クライアントの登録 .......................................................................................................... 40
キーのレプリケート .......................................................................................................................... 43HSM データのバックアップと復元 ...................................................................................................... 44
Windows を使用した HSM データのバックアップ .......................................................................... 44Luna Backup HSM からの HSM データの復元 .............................................................................. 45
AWS CloudHSM とサードパーティー製アプリケーションの統合 .............................................................. 47AWS CloudHSM での透過的なデータ暗号化 ................................................................................. 47
Oracle Database TDE と AWS CloudHSM ........................................................................... 47Microsoft SQL Server と AWS CloudHSM ............................................................................ 47
Amazon Elastic Block Store のボリューム暗号化 ........................................................................... 48Amazon Simple Storage Service (S3) および SafeNet KeySecure での暗号化 .................................... 48
iii
AWS CloudHSM Classic ユーザーガイド
AWS CloudHSM に保存されたプライベートキーを使用した Apache ウェブサーバーでの SSL ターミネーションのセットアップ ......................................................................................................... 48独自のアプリケーションの構築 ................................................................................................... 48
HSM の使用を停止する方法 ............................................................................................................... 49SafeNet Luna SA に関するドキュメント .............................................................................................. 50CloudTrail のログ記録 ........................................................................................................................ 51
CloudTrail 内の AWS CloudHSM 情報 .......................................................................................... 51AWS CloudHSM ログファイルエントリの概要 .............................................................................. 51
AWS CloudHSM のトラブルシューティング ......................................................................................... 53HSM が機能していません。何をすればよいですか? ....................................................................... 53HSM をゼロ化する方法を教えてください。 .................................................................................. 53HSM の置き換え ....................................................................................................................... 53
CLI リファレンス .............................................................................................................................. 55ツールの更新 ............................................................................................................................ 55CLI コマンドリファレンス ......................................................................................................... 55
add-hsm-to-hapg ............................................................................................................... 56clone-hapg ....................................................................................................................... 59clone-hsm ........................................................................................................................ 61create-client ..................................................................................................................... 64create-hapg ...................................................................................................................... 66create-hsm ....................................................................................................................... 68delete-client ...................................................................................................................... 71delete-hapg ...................................................................................................................... 72delete-hsm ....................................................................................................................... 74deregister-client-from-hapg ................................................................................................. 76describe-client .................................................................................................................. 78describe-hapg ................................................................................................................... 79describe-hsm .................................................................................................................... 81get-client-configuration ....................................................................................................... 83initialize-hsm .................................................................................................................... 85list-clients ......................................................................................................................... 88list-hapgs ......................................................................................................................... 89list-hsms .......................................................................................................................... 91modify-hsm ...................................................................................................................... 93register-client-to-hapg ........................................................................................................ 95remove-hsm-from-hapg ...................................................................................................... 97バージョン ....................................................................................................................... 99
トラブルシューティング ........................................................................................................... 100RuntimeError: Luna is requesting a password. ..................................................................... 100The delete-hsm command appears to succeed, but the HSM is not deleted. .............................. 100
制限 .............................................................................................................................................. 102付録 .............................................................................................................................................. 103
手動での開始方法 .................................................................................................................... 103手動での HSM のプロビジョニング ................................................................................... 103手動での HSM の初期化 ................................................................................................... 103高可用性 ........................................................................................................................ 105
1 つの証明書を使用した AWS CloudHSM への複数のクライアントインスタンスの接続 ..................... 111HSM クライアント設定を含む AMI を作成する .................................................................... 111Amazon S3 バケットとロールを作成する ........................................................................... 112
サンプルアプリケーション ........................................................................................................ 112C を使用したサンプルアプリケーション ............................................................................. 113Java を使用したサンプルアプリケーション ......................................................................... 113
AWS CloudHSM アップグレードガイド ...................................................................................... 114HSM ソフトウェアのアップグレード .................................................................................. 115HSM ファームウェアのアップグレード .............................................................................. 119
ドキュメント履歴 ............................................................................................................................ 120
iv
AWS CloudHSM Classic ユーザーガイド
AWS CloudHSM Classic のユーザーガイドです。最新バージョンについては、「AWS CloudHSM UserGuide」を参照してください。
v
AWS CloudHSM Classic ユーザーガイドPayment Card Industry (PCI) DataSecurity Standard (DSS) への準拠
AWS CloudHSM とはハードウェアセキュリティモジュール (HSM) はハードウェアアプライアンスであり、不正使用防止策の施されたハードウェアデバイス内での安全なキー保管と暗号化操作が可能になります。HSM は暗号キーデータを安全に保存し、アプライアンスの暗号境界の外側からは見えないようにキーデータを使用できるように設計されています。
AWS CloudHSM は、AWS クラウド内の専用 HSM アプライアンスを使用することで、企業の契約上および規制上のデータセキュリティ要件に準拠しやすくします。AWS と AWS Marketplace のパートナーはAWS プラットフォーム内で機密データを保護するためのさまざまなソリューションを提供しますが、暗号化キーの管理に関して厳しい契約または法律上の制約を受ける一部のアプリケーションとデータについては付加的な保護策が必要になります。
これまでは、機密データまたは機密データを保護する暗号キーはオンプレミスのデータセンターでしか保守管理できませんでした。そのため、アプリケーションをクラウドに移行できず、アプリケーションのパフォーマンスも大幅に低下しました。AWS CloudHSM を使用すると、安全なキー管理に関する米国政府標準規格に適合するように設計/検証された HSM 内で暗号キーを保護できるようになります。ユーザーだけがキーにアクセスできる手法で、データ暗号化に使用される暗号化キーを安全に生成、保管、管理できます。AWS CloudHSM は、アプリケーションのパフォーマンスを低下させることなく、AWS クラウド内の厳密なキー管理要件を満たすのに役立ちます。
Payment Card Industry (PCI) Data SecurityStandard (DSS) への準拠
AWS CloudHSM は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および伝送をサポートしており、Payment Card Industry (PCI) Data Security Standard (DSS)に準拠していることが確認されています。PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。
料金表AWS CloudHSM の料金の詳細については、AWS CloudHSM 料金表を参照してください。AWSCloudHSM サービスを無料で試す場合は、2 週間のトライアルをリクエストできます。無料トライアルの詳細については、「無料トライアル」を参照してください。
関連サービスAmazon Virtual Private Cloud (Amazon VPC) での AWS CloudHSM の使用HSM アプライアンスは、ユーザーが指定した IP アドレスで VPC 内にプロビジョニングされます。これにより、EC2 インスタンスに対して簡単でプライベートなネットワーク接続が可能になります。HSM アプライアンスを EC2 インスタンス近くに配置することで、ネットワークレイテンシーが下がり、アプリケーションのパフォーマンスが上がります。ユーザーの HSM アプライアンスはユーザー専用であり、AWS の他のお客様はアクセスできません。複数のリージョンとアベイラビリティーゾーンで利用できる AWS CloudHSM により、可用性と耐久性の高いアプリケーションを構築できます。
Amazon VPC の詳細については、「Amazon VPC とは?」を参照してください (「Amazon VPC ユーザーガイド」)。
1
AWS CloudHSM Classic ユーザーガイドヘルプが必要な場合
ヘルプが必要な場合AWS フォーラムを活用することをお勧めします。これらは、AWS サービスに関連する技術的な質問を話し合うことができるユーザー用のコミュニティベースのフォーラムです。AWS CloudHSM フォーラムについては、https://forums.aws.amazon.com/forum.jspa?forumID=156 にアクセスしてください。
AWS プレミアムサポート (1 対 1 の迅速な対応を行うサポートチャネル) にサブスクライブすることで、サポートを受けることもできます (詳細については、https://aws.amazon.com/premiumsupport を参照してください)。
2
AWS CloudHSM Classic ユーザーガイドAWS 無料アカウント作成方法
AWS CloudHSM のセットアップAWS CloudHSM を使用するには、AWS アカウントと、HSM アプライアンスをプロビジョニングする特定の環境を持っている必要があります。
トピック• AWS 無料アカウント作成方法 (p. 3)• IAM ユーザーを作成する (p. 3)• AWS CloudHSM リソースへのアクセスの制御 (p. 4)• AWS CloudHSM 環境のセットアップ (p. 5)• SSH キーの生成 (p. 13)• AWS CloudHSM CLI ツールの設定 (p. 16)
AWS 無料アカウント作成方法AWS アカウントからすべてのサービスにアクセスできますが、料金はリソースを利用した分のみに課金されます。
AWS アカウントをお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。
AWS にサインアップするには
1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。2. オンラインの手順に従います。
ルートアカウント認証情報により、AWS のサービスに対してお客様の身分が証明され、AWS リソースを無制限に使用できる権限が付与されます。セキュリティ認証情報を共有することなく他のユーザーにAWS CloudHSM リソースの管理を許可するには、AWS Identity and Access Management (IAM) を使用します。アカウント所有者も含め、だれもが IAM ユーザーとして作業することをお勧めします。自分用にIAM ユーザーを作成し、その IAM ユーザーに管理者特権を与えて、それをすべての作業に使用します。詳細については、「AWS CloudHSM リソースへのアクセスの制御 (p. 4)」を参照してください。
IAM ユーザーを作成するAWS CloudHSM API および CLI ツールでは、お客様がリソースへのアクセス許可を持っているかどうか判断するために、アクセスキーが必要です。AWS アカウントによる API および CLI へのアクセス用にアクセスキーを作成できます。ただし、ルート AWS アカウントのアクセスキーを使用して AWS にアクセスすることはお勧めできません。そうではなく、AWS Identity and Access Management (IAM) を使用してIAM ユーザーを作成し、その IAM ユーザーを管理権限を持つ IAM グループに追加することをお勧めします。これで、IAM ユーザーに管理権限が付与されます。次に、AWS CloudHSM API と CLI で、IAM ユーザーのアクセスキーを使用します。
AWS にサインアップしても、お客様の IAM ユーザーをまだ作成していない場合は、IAM コンソールを使用して作成できます。
自分用の IAM ユーザーを作成し、そのユーザーを管理者グループに追加するには
1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/ でAWS アカウントのルートユーザー として IAM コンソールにサインインします。
3
AWS CloudHSM Classic ユーザーガイドアクセスの制御
Note
以下の管管管 IAM ユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。
2. コンソールのナビゲーションペインで、[Users] を選択後、[Add user] を選択します。3. [User name] に、Administrator と入力します。4. [AWS マネジメントコンソール access] の横のチェックボックスをオンにし、[Custom password] を選
択して、新しいユーザーのパスワードをテキストボックスに入力します。オプションとして [Requirepassword reset] (パスワードのリセットの強制) を選択し、ユーザーが次回サインインしたときに新しいパスワードを作成することを強制できます。
5. [Next: Permissions] を選択します。6. [Set permissions for user] ページで、[Add user to group] を選択します。7. [Create group] を選択します。8. [Create group] ダイアログボックスに、Administrators と入力します。9. [Filter] で、[Job function] を選択します。10. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group]
を選択します。11. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて
[Refresh] を選択し、リスト内のグループを表示します。12. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示しま
す。続行する準備ができたら、[Create user] を選択します。
この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス権限を制限する方法については、「アクセス管理」と「ポリシーの例」を参照してください。
新規の IAM ユーザーとしてサインインするには、AWS マネジメントコンソール からサインアウトし、次の URL を使用します。このとき、<your_aws_account_id はハイフンを除いた AWS アカウント番号です (たとえば AWS アカウント番号が 1234-5678-9012 であれば、AWS アカウント ID は123456789012 となります)。
https://<your_aws_account_id>.signin.aws.amazon.com/console/
作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに「<your_user_name> @ <your_aws_account_id>」が表示されます。
サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成します。IAM ダッシュボードから [Customize] をクリックし、エイリアス (会社名など) を入力します。アカウントエイリアスを作成した後、サインインするには、次の URL を使用します。
https://<your_account_alias>.signin.aws.amazon.com/console/
AWS Directory Service リソースへのアクセス制御に IAM ポリシーを使用する方法については、「AWSCloudHSM リソースへのアクセスの制御 (p. 4)」を参照してください。
AWS CloudHSM リソースへのアクセスの制御デフォルトでは、IAM ユーザーには AWS CloudHSM オペレーションへのアクセス許可がありません。IAM ユーザーが AWS CloudHSM オペレーションを管理できるようにするには、特定の AWS
4
AWS CloudHSM Classic ユーザーガイド環境のセットアップ
CloudHSM オペレーションを使用するアクセス許可を IAM ユーザーに明示的に付与する IAM ポリシーを作成し、このポリシーをアクセス許可を必要とする IAM ユーザーまたはグループにアタッチする必要があります。IAM ポリシーの詳細については、IAM ユーザーガイド ガイドの Permissions and Policies を参照してください。
以下のポリシーステートメントでは、すべての AWS CloudHSM オペレーションを使用するアクセス許可をユーザーまたはグループに付与します。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : "cloudhsm:*", "Resource" : "*" } ]}
次のポリシーステートメントでは、AWS CloudHSM リソースを読み取るオペレーションを使用するアクセス許可を、ユーザーまたはグループに付与します。
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "cloudhsm:Get*", "cloudhsm:List*", "cloudhsm:Describe*" ], "Resource" : "*" } ]}
IAM の詳細については、以下を参照してください。
• Identity and Access Management (IAM)• IAM ユーザーガイド
AWS CloudHSM 環境のセットアップAWS CloudHSM では、HSM アプライアンスのプロビジョニングに次の環境が必要です。
• AWS CloudHSM サービスを使用するリージョンの Virtual Private Cloud (VPC)。Amazon VPC の詳細については、「Amazon VPC とは?」を参照してください (「Amazon VPC ユーザーガイド」)。
• VPC での 1 つのプライベートサブネット (インターネットゲートウェイのないサブネット)。HSM アプライアンスはこのサブネットにプロビジョニングされます。
• 1 つのパブリックサブネット (インターネットゲートウェイがアタッチされたサブネット)。コントロールインスタンスはこのサブネットにアタッチされます。
• AWS リソースへのアクセスを AWS CloudHSM に委任する AWS Identity and Access Management(IAM) ロール。これは、AWS CloudHSM が Elastic Network Interface などの AWS リソースの作成と設定を代行するために必要です。IAM ロールの詳細については、IAM ユーザーガイドの「IAM ロール」を参照してください。
5
AWS CloudHSM Classic ユーザーガイドAWS CloudFormation を使用した設定
• SafeNet クライアントソフトウェアがインストールされた、HSM アプライアンスと同じ VPC 内の EC2インスタンス。このインスタンスはコントロールインスタンスと呼ばれ、HSM アプライアンスに接続して管理するために使用されます。
• セキュリティグループでは、ポート 22 (SSH の場合) またはポート 3389 (RDP の場合) がネットワークに対して開かれます。このセキュリティグループはコントロールインスタンスにアタッチされるため、リモートでアクセスできます。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「インスタンス用の受信トラフィックの認可」を参照してください。
AWS CloudFormation を使用して AWS CloudHSM 環境をセットアップするか、手動で環境をセットアップすることができます。
• AWS CloudFormation を使用した AWS CloudHSM 用の環境の自動設定 (p. 6)• AWS CloudHSM 環境の手動セットアップ (p. 9)
AWS CloudFormation を使用した AWS CloudHSM 用の環境の自動設定AWS CloudHSM の AWS CloudFormation テンプレートを使用して、AWS CloudHSM 用の AWS 環境が自動的に設定できます。
トピック• 前提条件 (p. 6)• AWS CloudHSM 用の環境に関する詳細 (p. 6)• AWS CloudFormation を使用した AWS CloudHSM 用の環境の設定 (p. 8)• HSM をプロビジョニングするための準備 (p. 9)
前提条件このプロセスを開始する前に、以下が必要です。
• AWS アカウントで、選択したリージョンに 1 つの VPC を作成できる。AWS リージョンごとに許可される VPC の数については、Amazon VPC ユーザーガイド の「Amazon VPC の制限」を参照してください。
• Amazon EC2 キーペア。このキーペアを使用して、AWS CloudFormation によって作成されるクライアントインスタンスにアクセスします。AWS CloudHSM 用の環境を設定するのと同じ AWS リージョンにこのキーペアを作成する必要があります。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon EC2 を使用したキーペアの作成」を参照してください。
AWS CloudHSM 用の環境に関する詳細次の図は、AWS CloudFormation テンプレートで自動的に設定する AWS CloudHSM 用の AWS 環境を示しています。
6
AWS CloudHSM Classic ユーザーガイドAWS CloudFormation を使用した設定
AWS CloudFormation で次のリソースが作成されて設定されます。
1. Virtual Private Cloud (VPC)。2. サブネット。これには 1 つのパブリックアクセス可能なサブネットとアベイラビリティーゾーンごとの
1 つのプライベートサブネットが含まれます。以下の例を検討してください。• 3 つのアベイラビリティーゾーンがあるリージョンでは、1 つのパブリックアクセス可能なサブネッ
ト (2a) と 3 つのプライベートサブネット (2b、2c、2d) の 4 つのサブネットが作成されます。• 2 つのアベイラビリティーゾーンがあるリージョンでは、1 つのパブリックアクセス可能なサブネッ
ト (2a) と 2 つのプライベートサブネット (2c、2d) の 3 つのサブネットが作成されます。
Note
AWS CloudHSM は、各 HSM アプライアンスをプライベートサブネットにプロビジョニングし、インターネットから隔離します。
3. SafeNet クライアントソフトウェアがインストールされている、パブリックサブネット内の AmazonElastic Compute Cloud (Amazon EC2) インスタンス (Amazon Linux x86 64 ビットを実行しているm3.medium)。このインスタンスは クライアントインスタンス と呼ばれます。クライアントインスタンスで ID を認証するには、AWS CloudFormation スタックの作成時に指定したキーペアを使用します。
4. インターネットからパブリックサブネットへの SSH 接続を許可するセキュリティグループ (4a)。 さらに、パブリックサブネットからプライベートサブネットへの SSH および NTLS 接続を許可するセキュリティグループ (4b)。
7
AWS CloudHSM Classic ユーザーガイドAWS CloudFormation を使用した設定
5. クライアントインスタンスの Elastic IP アドレス。6. AWS CloudHSM から AWS リソースへのアクセスを許可する IAM ロール (前の図には示していませ
ん)。7. Amazon Simple Notification Service (Amazon SNS) 通知を使用してスタックの設定を AWS CloudHSM
に送信するために必要な IAM 認証情報 (図には示していません)。
AWS CloudFormation を使用した AWS CloudHSM 用の環境の設定AWS CloudFormation を使用して cloudhsm-quickstart テンプレートから AWS CloudHSM 用の環境を設定するには、次の手順を完了します。
AWS CloudFormation を使用して AWS CloudHSM 環境が自動的に設定するには
1. AWS マネジメントコンソール にサインインした後、AWS CloudFormation コンソール (https://console.aws.amazon.com/cloudformation) を開きます。
2. ナビゲーションバーで、リージョンセレクターを使用して、AWS CloudHSM が現在サポートされているいずれかの AWS リージョンを選択します。
• 米国東部(バージニア北部)• 米国東部 (オハイオ)• 米国西部 (北カリフォルニア)• 米国西部 (オレゴン)• カナダ (中部)• 欧州 (アイルランド)• 欧州 (フランクフルト)• アジアパシフィック (東京)• アジアパシフィック (シンガポール)• アジアパシフィック (シドニー)
3. [Create Stack] または [Create New Stack] を選択します。4. [Specify an Amazon S3 template URL] を選択し、次の URL を入力するか貼り付けます。https://
cloudhsm.s3.amazonaws.com/cloudhsm-quickstart.json
[Next] を選択します。5. [Stack name] に、スタックの識別可能な名前 (例: CloudHSM-Environment) を入力します。
[KeyName] で、HSM クライアントインスタンスに接続するときに使用するキーペアを選択します。[Next] を選択します。
6. (オプション) [Options] ページで、スタックに適用するタグを追加します。完了したら、[Next] を選択します。
7. [Review] ページで、設定を確認し、[I acknowledge that this template might cause AWSCloudFormation to create IAM resources.] チェックボックスをオンにします。これにより、AWSCloudFormation でお客様のアカウントに IAM ロールを作成し、その IAM ロールを使用して他の AWSリソース (前の「AWS CloudHSM 用の環境に関する詳細 (p. 6)」セクションで説明) を作成することを了承します。
[Create] を選択します。
スタックを作成すると、ステータスは [CREATE_COMPLETE] に変わります。エラーが発生すると、スタックはロールバックされ、ステータスは最終的に [ROLLBACK_COMPLETE] に変わります。AWSCloudFormation コンソールの [Events] タブを使用して、エラーが発生した理由を特定できます。
8
AWS CloudHSM Classic ユーザーガイド手動セットアップ
AWS CloudFormation スタックの詳細については、AWS CloudFormation ユーザーガイド の「AWS マネジメントコンソール での AWS CloudFormation スタックデータとリソースの表示」を参照してください。
HSM をプロビジョニングするための準備以下の情報を収集します。この情報は、HSM をプロビジョニングするために必要です。この情報は、AWS CloudFormation スタックが完了すると、「AWS CloudFormation コンソール」の [Outputs] タブで使用できます。
• IAM ロール ARN• プライベートサブネット ID• クライアント IP アドレス
この情報を収集したら、「SSH キーの生成 (p. 13)」に進みます。
AWS CloudHSM 環境の手動セットアップ以下の手順を使用して AWS CloudHSM で使用する AWS 環境を手動でセットアップします。必要に応じて、AWS CloudHSM から提供されている AWS CloudFormation テンプレートを代わりに使用して、環境を自動的にセットアップすることもできます。詳細については、「AWS CloudFormation を使用した AWSCloudHSM 用の環境の自動設定 (p. 6)」を参照してください。
環境を手動でセットアップするには、以下の各トピックの手順を実行します。
トピック• Virtual Private Cloud (VPC) の作成 (p. 9)• プライベートサブネットの作成 (p. 10)• セキュリティグループの作成 (p. 10)• IAM ロールの作成 (p. 11)• クライアントインスタンスの起動 (p. 12)• HSM をプロビジョニングするための準備 (p. 13)
Virtual Private Cloud (VPC) の作成Amazon Virtual Private Cloud(Amazon VPC) を使用して新しい VPC を作成します。
VPC を作成するには
1. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
2. ナビゲーションバーで、リージョンセレクターを使用して、AWS CloudHSM が現在サポートされているいずれかの AWS リージョンを選択します。
• 米国東部(バージニア北部)• 米国東部 (オハイオ)• 米国西部 (北カリフォルニア)• 米国西部 (オレゴン)• カナダ (中部)• 欧州 (アイルランド)• 欧州 (フランクフルト)• アジアパシフィック (東京)
9
AWS CloudHSM Classic ユーザーガイド手動セットアップ
• アジアパシフィック (シンガポール)• アジアパシフィック (シドニー)
3. [Start VPC Wizard] を選択します。4. 最初のオプション [VPC with a Single Public Subnet] を選択し、続いて [Select] を選択します。5. [VPC name:] に、わかりやすい名前 (例: CloudHSM) を入力します。[Subnet name:] に、わかりやすい
名前 (例: CloudHSM public subnet) を入力します。他のすべてのオプションはデフォルト設定のままにし、 [Create VPC] を選択します。
プライベートサブネットの作成リージョンのアベイラビリティーゾーンごとにプライベートサブネット (インターネットゲートウェイがアタッチされていないサブネット) を作成します。これにより、HSM のサブネットを最も柔軟に選択できます。HSM ごとに異なるアベイラビリティーゾーンでプロビジョニングすることは、最も堅牢な高可用性の設定となります。
HSM VPC 内にプライベートサブネットを作成するには
1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで、[Subnets] を選択し、続いて [Create Subnet] を選択します。3. [Create Subnet] ダイアログボックスで、次の操作を行います。
a. [Name tag] に、わかりやすい名前 (例: CloudHSM private subnet) を入力します。b. [VPC] で、前に作成した CloudHSM VPC を選択します。c. [Availability Zone] で、リストの最初のアベイラビリティーゾーンを選択します。d. [CIDR block] に、サブネットで使用する CIDR ブロックを入力します。
サブネット CIDR ブロックの選択の詳細については、「サブネットのサイズ設定」 (Amazon VPCユーザーガイド) を参照してください。
[Yes, Create] を選択します。4. リージョンの残りのアベイラビリティーゾーンごとにステップ 3 と 4 を繰り返します。
セキュリティグループの作成AWS CloudHSM で使用するセキュリティグループを作成し、セキュリティグループに必要なインバウンドルールを追加します。
Note
ここで指定するセキュリティグループのルールは、AWS CloudHSM の使用を開始するために必要な最小限のルールです。本番稼働用のデプロイメントでは、セキュリティポリシーとベストプラクティスに基づいてネットワークトラフィックを制限する適切なルールを定義してください。
AWS CloudHSM で使用するセキュリティグループを作成するには
1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。2. ナビゲーションペインで [Security Groups] を選択し、続いて [Create Security Group] を選択します。3. [Create Security Group] ダイアログボックスで、以下の操作を行います。
a. [Name tag] に、わかりやすい名前 (例: CloudHSM_SG) を入力します。b. [Group name] に、わかりやすい名前を入力します。[Name tag] に使用したのと同じ名前を入力で
きます。
10
AWS CloudHSM Classic ユーザーガイド手動セットアップ
c. [Description] に、説明 (例: CloudHSM 管管管管管管管 SG) を入力します。d. [VPC] で、前に作成した CloudHSM VPC を選択します。
4. [Yes, Create] を選択します。
セキュリティグループに必要なインバウンドルールを追加するには
1. リストのセキュリティグループを選択し、[Inbound Rules] タブ、[Edit] の順に選択します。2. 以下の操作を行って、ネットワークからのトラフィックをポート 22 (SSH) で許可するインバウンド
ルールを追加します。
a. [Type] で [SSH (22)] を選択します。b. [Source] に、ネットワークの CIDR ブロックを入力します。c. [Add another rule] を選択します。
3. 以下の操作を行って、VPC からのトラフィックをポート 22 (SSH) で許可するインバウンドルールを追加します。
a. [Type] で [SSH (22)] を選択します。b. [Source] で、以前作成した CloudHSM セキュリティグループのセキュリティグループ ID を入
力、または選択します。(例: sg-0123abcd)。c. [Add another rule] を選択します。
4. 以下の操作を行って、ネットワークからのトラフィックをポート 3389 (RDP) で許可するインバウンドルールを追加します。
a. [Type] で [RDP (3389)] を選択します。b. [Source] に、ネットワークの CIDR ブロックを入力します。c. [Add another rule] を選択します。
5. 以下の操作を行って、VPC からのトラフィックをポート 1792 で許可するインバウンドルールを追加します。
a. [Type] で [Custom TCP Rule] を選択します。b. [ポート範囲] で [1792] と入力します。c. [Source] で、以前作成した CloudHSM セキュリティグループのセキュリティグループ ID を入
力、または選択します。(例: sg-0123abcd)。6. [Save] を選択して、4 つのインバウンドルールをすべてセキュリティグループに追加します。
IAM ロールの作成VPC のリストアップや、HSM にアタッチする Elastic Network Interface (ENI) の作成など、特定のアクションを代行する許可を AWS CloudHSM に付与する必要があります。そのために、これらのアクセス許可を AWS CloudHSM に付与して権限の代行を許可する IAM ロールを作成します。
AWS CloudHSM の IAM ロールを作成するには
1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。2. ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。3. [Role Name] に、わかりやすい名前 (例: CloudHSM_Role) を入力し、[Next Step] を選択します。4. [AWS Service Roles] を選択します。下にスクロールして [AWS CloudHSM] を見つけます。[AWS
CloudHSM] 行で、[Select] を選択します。5. [AWSCloudHSMRole] の横にあるチェックボックスをオンにし、[Next Step] を選択します。6. [Create Role] を選択します。
11
AWS CloudHSM Classic ユーザーガイド手動セットアップ
クライアントインスタンスの起動HSM へのアクセスに使用する Amazon Elastic Compute Cloud (Amazon EC2) インスタンス (クライアントインスタンスと呼ばれます) を起動します。AWS CloudHSM では、Amazon マシンイメージ (AMI) を使用して、このクライアントインスタンスを起動できます。この AMI は、AWS CloudHSM コマンドラインインターフェイス (CLI) およびその他の HSM クライアントソフトウェアに事前設定されています。AMI を使用してクライアントインスタンスを起動するには、以下の手順に従います。
または、すでに持っているインスタンスに AWS CloudHSM CLI と HSM クライアントソフトウェアを手動でインストールすることもできます。詳細については、「CLI ツールを設定する (p. 16)」、「LinuxHSM クライアントの設定 (p. 28)」、または「Windows HSM クライアントの設定 (p. 30)」を参照してください。
AWS CloudHSM AMI から事前設定された EC2 インスタンスを起動するには
1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。2. [インスタンスの作成] を選択します。3. [Community AMIs] タブを選択します。次に、[Search community AMIs] を使用して、CloudHSM 5.4
を見つけます。4. [CloudHSM 5.4 Client AMI] の行を見つけます。次の AMI ID のテーブルを使用して、AWS リージョン
の適切な AMI を選択します。続いて、[Select] を選択します。
AWS リージョン AMI ID
米国東部(バージニア北部) ami-85a975ee
米国東部 (オハイオ) ami-58f6ad3d
米国西部 (北カリフォルニア) ami-e5561a85
米国西部 (オレゴン) ami-cd717dfd
カナダ (中部) ami-309d2f54
欧州 (アイルランド) ami-1e501b69
欧州 (フランクフルト) ami-c22326df
アジアパシフィック (東京) ami-8c09be8c
アジアパシフィック (シンガポール) ami-00cecc52
アジアパシフィック (シドニー) ami-87d492bd
5. 起動するインスタンスのタイプを選択します。続いて、[Next: Configure Instance Details] を選択します。
6. 次の作業を行います。
a. [Network] で、以前作成した CloudHSM VPC を選択します。b. [Subnet] で、以前作成した CloudHSM パブリックサブネットを選択します。c. [Auto-assign Public IP] で、[Enable] を選択します。d. (オプション) 必要に応じて残りのインスタンスの詳細を変更します。
7. [次の手順: ストレージの追加] を選択します。次に、必要に応じてストレージの設定を変更します。8. [Next: Add Tags] を選択します。次に、必要に応じてタグを追加します。9. [Next: Configure Security Group] を選択します。10. [Select an existing security group] を選択します。次に、前に作成した CloudHSM セキュリティグルー
プのチェックボックスをオンにします。
12
AWS CloudHSM Classic ユーザーガイドSSH キーの生成
11. [Review and Launch] を選択します。12. インスタンスの詳細を確認し、[Launch] を選択します。13. 既存のキーペアを使用してインスタンスを起動するか、新しいキーペアを作成するかを選択します。
• 既存のキーペアを使用するには、以下の操作を行います。1. [Choose an existing key pair] を選択します。2. [Select a key pair] で、使用するキーペアを選択します。3. [I acknowledge that I have access to the selected private key file (private key file
name.pem), and that without this file, I won't be able to log into my instance.] の横にあるチェックボックスをオンにします。
• 新しいキーペアを作成するには、以下の操作を行います。1. [Create a new key pair] を選択します。2. [Key pair name] に、わかりやすいキーペア名 (例: CloudHSM 管管管管管管管管) を入力します。3. [Download Key Pair] を選択して、プライベートキーファイルを安全でアクセス可能な場所に保存
します。
Warning
以降は、プライベートキーファイルをダウンロードできなくなります。この時点でプライベートキーファイルをダウンロードしないと、以後はクライアントインスタンスにログインできなくなります。
14. [Launch Instances] を選択します。続いて、[View Instances] を選択します。15. インスタンスが実行されるまで待ちます。実行されたら、SSH を使用してインスタンスに接続しま
す。詳細については、「SSH を使用した Linux インスタンスへの接続」または「PuTTY を使用したWindows から Linux インスタンスへの接続」 (Linux インスタンス用 Amazon EC2 ユーザーガイド) を参照してください。
16. クライアントインスタンスで、次のコマンドを使用して AWS CloudHSMCLI を最新バージョンに更新します。
sudo yum update aws-cloudhsm-cli -y
HSM をプロビジョニングするための準備以下の情報を収集します。HSM のプロビジョニングに必要です。
• CloudHSM のために前に作成したプライベートサブネットのサブネット ID。この情報は、Amazon VPCコンソール (https://console.aws.amazon.com/vpc/home#subnets:) から入手できます。
• CloudHSM のために前に作成したセキュリティグループのグループ ID。この情報は、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/home#securityGroups:) から入手できます。
• CloudHSM のために前に作成した IAM ロールの Amazon リソースネーム (ARN)。この情報は、IAM コンソール (https://console.aws.amazon.com/iam/home#roles) から入手できます。CloudHSM のロールの名前を選択し、[Role ARN] を書き留めます。
SSH キーの生成 (p. 13) に進みます。
SSH キーの生成AWS CloudHSM は、HSM アプライアンスへのログイン時に、SSH キーペアを使用して管理者アカウントを認証します。AWS CloudHSM にサインアップするときに、AWS へのパブリックキーを指定します。AWS にはパブリックキー情報のみを送信することが重要です。パブリックキーはプロビジョニング時
13
AWS CloudHSM Classic ユーザーガイドLinux での SSH キーの生成
に HSM アプライアンスにインストールされます。プライベートキーは、HSM アプライアンスへの接続に使用するすべてのインスタンスで使用できる必要があります。
キーペアは任意のマシンで生成できますが、プライベートキーは HSM アプライアンスへの接続に使用するすべてのインスタンスにコピーする必要があります。キーペアを生成した同じインスタンスを HSM アプライアンスへの接続に使用する場合は、プライベートキーファイルをコピーする必要はありません。既存の SSH キーペアを使用するか、新しいキーペアを作成することができます。キーペアジェネレータは数多くありますが、Linux で通常使用されるジェネレータは、ssh-keygen コマンドです。Windows では、PuTTYgen ユーティリティを使用できます。
HSM アプライアンスへの無許可のログインを防ぐために、プライベートキーにはパスフレーズを含めてください。パスフレーズを含めると、HSM アプライアンスにログインするたびにパスフレーズの入力が必要になります。
AWS CloudHSM では、RSA 2048 ビットのキーペアがサポートされています。
トピック• Linux での SSH キーの生成 (p. 14)• Windows での SSH キーの生成 (p. 14)• SSH パブリックキーの例 (p. 15)• プライベートキーのコピー (p. 15)
Linux での SSH キーの生成Linux マシンで SSH キーを生成するには、次の例に示すように、ssh-keygen コマンドを使用できます。
$ ssh-keygenGenerating public/private rsa key pair.Enter file in which to save the key (/home/user/.ssh/id_rsa):Enter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in /home/user/.ssh/id_rsa.Your public key has been saved in /home/user/.ssh/id_rsa.pub.The key fingerprint is:df:c4:49:e9:fe:8e:7b:eb:28:d5:1f:72:82:fb:f2:69The key's randomart image is:+--[ RSA 2048]----+| || . || o || + . || S *. || . =.o.o || ..+ +..|| .o Eo .|| .OO=. |+-----------------+$
Windows での SSH キーの生成Windows マシンで SSH キーを生成するには、PuTTYgen ユーティリティを使用できます。PuTTYgenユーティリティを使用してキーペアを作成する方法の詳細については、http://www.howtoforge.com/ssh_key_based_logins_putty を参照してください。
PuTTYgen は PuTTY 専用の形式でプライベートキーを保存します。PuTTY 形式以外のプライベートキーを SSH クライアントで使用する場合は、PuTTYgen でプライベートキーを OpenSSH 形式に変換しま
14
AWS CloudHSM Classic ユーザーガイドSSH パブリックキーの例
す。そのためには、PuTTYgen のメニューで [Conversion] をクリックし、[Export OpenSSH key] を選択します。
HSM アプライアンスで使用するパブリックキーは SSH 形式であることが必要です。PuTTYgen で、[Public key for pasting into OpenSSH authorized keys file] フィールドの内容をコピーし、ファイルに保存します。これがパブリックキーファイルです。
SSH パブリックキーの例次の例は、Linux の ssh-keygen コマンドを使用して生成した SSH パブリックキーです。AWS に提供するパブリックキーは次のようになります。次の例では、読みやすくするために改行が使用されていますが、SSH パブリックキーはひとつながりの行です。
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA6bUsFjDSFcPC/BZbIAv8cAR5syJMBGiEqzFOIEHbm0fPkkQ0U6KppzuXvVlc2u7w0mgPMhnkEfV6j0YBITu0Rs8rNHZFJsCYXpdoPxMMgmCf/FaOiKrb7+1xk21q2VwZyj13GPUsCxQhRW7dNidaaYTf14sbd9AqMUH4UOUjs27MhO37q8/WjV3wVWpFqexm3f4HPyMLAAEeExT7UziHyoMLJBHDKMN71Ok2kV24wwn+t9P/Va/6OR6LyCmyCrFyiNbbCDtQ9JvCj5RVBla5q4uEkFRl0t6m9XZg+qT67sDDoystq3XEfNUmDYDL4kq1xPM66KFk3OS5qeIN2kcSnQ==
プライベートキーのコピープライベートキーは、HSM アプライアンスへの接続に使用されるすべてのインスタンスにコピーする必要があります。これらのインスタンスは、control instances と呼ばれます。
トピック• プライベートキーを Linux インスタンスにコピーする (p. 15)• プライベートキーを Windows インスタンスにコピーする (p. 16)
プライベートキーを Linux インスタンスにコピーするコントロールインスタンスが Linux インスタンスである場合は、次の手順を実行します。
1. PuTTYgen を使用してキーを作成した場合は、PuTTYgen を使用してプライベートキーを OpenSSH形式に変換します。詳細については、「Windows での SSH キーの生成 (p. 14)」を参照してください。
2. プライベートキーファイルを保存元のマシンから、コントロールインスタンスの ~/.ssh/ ディレクトリにコピーします。
3. SSH を介してコントロールインスタンスに接続します。この手順の残りは、コントロールインスタンスから実行します。
4. コントロールインスタンスで、プライベートキーファイルのアクセス権限を変更します。
$ chmod 600 ~/.ssh/[private_key_file]
5. ssh-add を使用して、プライベートキーを認証エージェントに追加します。プライベートキーの生成時に保護対策としてパスフレーズを設定した場合は、ssh-add コマンドからパスフレーズの入力を求められます
$ ssh-add ~/.ssh/[private_key_file]
以後、HSM アプライアンスに接続するときに、このキーが認証に使用されます。このコマンドは、コントロールインスタンスに再接続するたびに繰り返す必要があります。または、ssh と scp で使用するプライベートキーファイルを -i で指定することもできます。
15
AWS CloudHSM Classic ユーザーガイドCLI ツールを設定する
プライベートキーを Windows インスタンスにコピーするコントロールインスタンスが Windows インスタンスである場合は、以下の手順を実行します。
1. プライベートキーファイルを保存元のマシンから、PuTTY キーが保存されているコントロールインスタンス上のディレクトリにコピーします。
2. RDP を介してコントロールインスタンスに接続します。この手順の残りは、コントロールインスタンスから実行します。
3. プライベートキーが PuTTY プライベートキーファイルでない場合は、以下の手順を実行します。
a. コントロールインスタンスで、PuTTYgen を使用して、コピーされたプライベートキーファイルをインポートします。そのためには、PuTTYgen のメニューで [Conversion] をクリックして[Import key] を選択し、続いてプライベートキーファイルを選択します。キーのパスフレーズを入力することを求められます。
b. PuTTYgen で、[Save private key] を選択し、プライベートキーを PuTTY プライベートキーファイルとして保存します。
PuTTY を使用して HSM アプライアンスに接続するときに、このプライベートキーファイルを認証に使用します。ログインするたびにパスフレーズを入力する手間を省くために、Pageant を使用できます。Pageant は、PuTTY で使用される SSH 認証エージェントです。プライベートキーはデコード済みの状態でメモリに保持されるため、パスフレーズを入力せずにプライベートキーを使用できます。詳細については、「Using Pageant for authentication」を参照してください。
AWS CloudHSM CLI ツールの設定AWS CloudHSM CLI ツールは、HSM の管理を一元化して簡素化します。ツールを使うことで、HSM アプライアンスを簡単に作成して初期化できます。また、各 HSM にログインして Luna シェルコマンドを実行することなく、HSM を高可用性に設定できます。
トピック• CLI ツールのインストール (p. 16)• AWS CloudHSMCLI ツールの設定 (p. 18)
CLI ツールのインストールAWS CloudHSM CLI ツールで使用するためにインスタンスを設定するには、次の手順を実行します。
AWS CloudHSM CLI 用にインスタンスを設定するには
1. HSM アプライアンスが含まれている同じ VPC 内で、Linux インスタンスを起動します。2. 次のように VPC セキュリティグループを設定します。
• インスタンスに割り当てるセキュリティグループでは、ネットワークから着信するトラフィックのためにポート 22 (SSH) を開いておく必要があります。これにより、SSH 経由でインスタンスに接続できます。
• HSM アプライアンスに割り当てるセキュリティグループでは、VPC から着信するトラフィックのためにポート 22 (SSH) を開いておく必要があります。これにより、インスタンスは HSM アプライアンスと通信できます。
3. 「Python 2.7 のインストール (p. 17)」と「pip のインストール (p. 17)」の説明に従って、Linuxインスタンスに Python 2.7 と pip をインストールします。
4. 「AWS CloudHSM CLI ツールのインストール (p. 17)」の説明に従って AWS CloudHSM CLI ツールをダウンロードしてインストールします。
16
AWS CloudHSM Classic ユーザーガイドCLI ツールのインストール
5. すべての HSM のプライベートキーファイルをインスタンスにコピーします。これらは、プロビジョニング時に HSM にインストールされたキーのプライベート部分です。これらのファイルは、initialize-hsm (p. 85) や add-hsm-to-hapg (p. 56) などの多くのコマンドで必要になります。詳細については、「プライベートキーのコピー (p. 15)」を参照してください。
トピック• Python 2.7 のインストール (p. 17)• pip のインストール (p. 17)• AWS CloudHSM CLI ツールのインストール (p. 17)• 必要なファイルとディレクトリの所有権の設定 (p. 18)
Python 2.7 のインストールPython 2.7 がインストール済みであるかどうかは、インスタンスで次のコマンドを実行して確認できます。
$ python2.7 -V
python2.7 コマンドが見つからないというレスポンスが返された場合は、インスタンスで以下のいずれかのコマンドを実行して Python 2.7 をインストールします。
• RHEL システムおよびその派生 (Amazon Linux など) では、次のコマンドを使用します。
$ sudo yum install python27
• Debian システムおよびその派生 (Ubuntu など) では、次のコマンドを使用します。
$ sudo apt-get install python27
pip のインストールpip がインストール済みであるかどうかは、インスタンスで次のコマンドを実行して確認できます。
$ pip -V
pip コマンドが見つからないというレスポンスが返された場合は、インスタンスで次のコマンドを実行して pip をダウンロードします。
$ curl -O https://bootstrap.pypa.io/get-pip.py
次に、インスタンスで次のコマンドを実行して pip をインストールします。
$ sudo python2.7 get-pip.py
AWS CloudHSM CLI ツールのインストールPython 2.7 のインストール (p. 17)と pip のインストール (p. 17)を完了したら、インスタンスで次のいずれかのコマンドを実行して AWS CloudHSM CLI ツールをインストールします。
• Amazon Linux では、次のコマンドを使用します。
17
AWS CloudHSM Classic ユーザーガイドCLI ツールの設定
$ sudo yum install aws-cloudhsm-cli
• 他のすべてのオペレーティングシステムでは、次のコマンドを使用します。
$ pip install aws-cloudhsm-cli
オペレーティングシステムの設定によっては、前の pip コマンドを sudo で実行することが必要になる場合もあります。
次のコマンドを実行して AWS CloudHSM CLI ツールが正常にインストールされたことを確認します。
$ cloudhsm version
必要なファイルとディレクトリの所有権の設定インスタンスに SafeNet クライアントソフトウェアがインストールされている場合、AWS CloudHSM CLIツールでは、コマンドを実行しているユーザーが特定のファイルとディレクトリの所有者であることが要求されます。
ファイルとディレクトリの所有者を設定するには
1. AWS CloudHSM CLI ツールを実行しているインスタンスで以下のコマンドを実行し、Chrystoki.conf ファイルの所有者と書き込みアクセス許可を設定します。
$ sudo chown <owner> /etc/Chrystoki.conf
$ sudo chmod +w /etc/Chrystoki.conf
<owner> はユーザーまたはユーザーが属するグループにすることができます。2. AWS CloudHSM CLI ツールを実行しているインスタンスで次のコマンドを実行し、Luna クライアン
トディレクトリの所有者を設定します。
$ sudo chown <owner> -R /usr/safenet/lunaclient/
<owner> はユーザーまたはユーザーが属するグループにすることができます。
AWS CloudHSMCLI ツールの設定以下のトピックでは、AWS CloudHSM CLI ツールを設定して使用する方法について説明します。
トピック• 認証 (p. 19)• SSH 接続 (p. 19)• パスワード (p. 20)• 設定ファイル (p. 20)• クライアント証明書 (p. 20)
18
AWS CloudHSM Classic ユーザーガイドCLI ツールの設定
認証AWS CloudHSMCLI ツールでは、ユーザーの識別および認証に AWS アクセスキー ID とシークレットアクセスキーの認証情報を使用します。これらのキーの詳細については、「AWS セキュリティの認証情報」と「AWS アクセスキーを管理するためのベストプラクティス」 (アマゾン ウェブ サービスの全般的なリファレンス) を参照してください。
AWS CloudHSM CLI ツールに認証情報を提供するには、以下の方法があります。
• 認証情報を設定ファイルの aws_access_key_id と aws_secret_access_key で指定できます。設定ファイルは、--conf_file パラメータで各コマンドに指定します。詳細については、「設定ファイル (p. 20)」を参照してください。この方法で CLI に認証情報を提供することをお勧めします。
• すべての AWS CloudHSM で使用する認証情報を、次の例に示すように、インスタンスの boto 設定ファ
イルに追加することで設定できます。
[Credentials]aws_access_key_id = access_key_idaws_secret_access_key = secret_access_key
この boto 設定ファイルは、システムのすべてのユーザーに設定するか、現在のユーザーにのみ設定することができます。これらの認証情報をすべてのユーザーに適用するには、ファイルを /etc/boto.cfgとして保存します。これらの認証情報を現在のユーザーにのみ適用するには、ファイルを ~/.boto として保存します。
• コマンドごとに --aws-access-key-id パラメータと --aws-secret-access-key パラメータを使
用して、認証情報を各コマンドに提供できます。すべての AWS CloudHSMCLI コマンドは、これらの引数を受け入れます。スクリプトを他のユーザーと共有すると、認証情報が誤って公開されるおそれがあるため、この方法はお勧めできません。
• Amazon EC2 インスタンスに AWS CloudHSM CLI をインストールしたら、Amazon EC2 の IAM ロー
ルを使用して、認証情報を提供します。Amazon EC2 の IAM ロールを使用して、認証情報を EC2 インスタンスに設定または保存しないようにしてください。または、次のようにします。1. AWS CloudHSM 権限を持つ IAM ロールを作成します。2. このロールを EC2 インスタンスと関連付けます。
このように関連付けることで、Amazon EC2 の IAM ロール機能を使用して、一時的な認証情報が EC2インスタンスに分散され、これらの認証情報は定期的に循環します。AWS CloudHSM CLI では、これらの認証情報を自動的に検出して、使用されます。詳細については、『Linux インスタンス用 AmazonEC2 ユーザーガイド』の「Amazon EC2 の IAM ロール」を参照してください。
SSH 接続AWS CloudHSM CLI コマンドの多く (initialize-hsm (p. 85) など) は、SSH プロトコルを使用して HSMアプライアンスと通信する必要があります。これを容易に行うには、他のパラメータを指定せずに ssh<hsm_ip_address> コマンドを有効にして各 HSM に接続します。そのためには、いくつかの方法があります。~/.ssh/config ファイルに、次のようなエントリを追加することをお勧めします。
Host <hsm_ip_address>User managerIdentityFile <private_key_file>
19
AWS CloudHSM Classic ユーザーガイドCLI ツールの設定
<hsm_ip_address> を HSM アプライアンスの IP アドレスに置き換え、<private_key_file> をプライベートキー (プロビジョニング時に HSM アプライアンスにインストールしたパブリックキーに対応するキー) に置き換えます。プライベートキーがパスフレーズで保護されている場合は、ssh-agent を使用してプライベートキーをロック解除して ssh プロセスに渡します。これで、他のパラメータや入力を使用せずに ssh <hsm_ip_address> コマンドで HSM に接続されます。
Note
パスワードベースの SSH 認証はサポートされていません。HSM への認証には、キーペアを使用する必要があります。詳細については、「SSH キーの生成 (p. 13)」を参照してください。
パスワード「パスワードワークシート (p. 34)」のコピーを印刷することをお勧めします。このコピーを使用して重要な AWS CloudHSM Classic のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。AWS では、適切な HSM セキュリティ責任者の認証情報がない場合、HSM のキーマテリアルを復旧できません。
設定ファイルAWS CloudHSM CLI コマンドの多くは、AWS リージョンや認証情報などの一般的なパラメータを必要とします。これらは、コマンドラインオプションとして渡す代わりに、設定ファイル内で指定して、その設定ファイルを --conf_file パラメータで渡すことができます。
次の例は、この設定ファイルの形式を示しています。
[cloudhsmcli]aws_access_key_id=<value>aws_secret_access_key=<value>aws_region=<value>hapg_arns= <value1> <value2> <value...>so_password=<value>
クライアント証明書各 CloudHSM クライアントは、関連付けられている HSM パーティションやパーティショングループでの認証にプライベートキーと証明書を必要とします。HSM クライアントの作成に create-client (p. 64) コマンドを使用するには、このコマンドに証明書を渡します。
証明書は、base64 でエンコードされた X.509 v3 PEM 証明書が含まれているファイルです。PEM 証明書は次の形式であることが必要です。
-----BEGIN CERTIFICATE-----<certificate contents>-----END CERTIFICATE-----
プライベートキーは、クライアントの LunaSA クライアント証明書ディレクトリ内に存在している必要があります。このディレクトリは、クライアントに LunaSA クライアントソフトウェアをインストールするときに作成されます。LunaSA クライアントソフトウェアの詳細については、「Linux HSM クライアントの設定 (p. 28)」または「Windows HSM クライアントの設定 (p. 30)」を参照してください。LunaSAクライアント証明書ディレクトリの場所は、クライアントのオペレーティングシステムによって異なります。
Linux クライアント
/usr/safenet/lunaclient/cert
20
AWS CloudHSM Classic ユーザーガイドCLI ツールの設定
Windows クライアント
%ProgramFiles%\SafeNet\LunaClient\cert
この証明書を作成する方法は複数あります。2 つの代表的な方法は、LunaSA vtl createCert コマンドを使用することと OpenSSL ツールキットを使用することです。
トピック• LunaSA コマンド (p. 21)• OpenSSL ツールキット (p. 21)
LunaSA コマンドLunaSA の vtl コマンドでプライベートキーと証明書を作成するには、クライアントに LunaSA クライアントソフトウェアがインストールされている必要があります。詳細については、「Linux HSM クライアントの設定」または「Windows HSM クライアントの設定」 (AWS CloudHSM ユーザーガイド) を参照してください。
Linux クライアントで vtl コマンドを使用してクライアント証明書を作成するには、次のコマンドを実行します。
$ sudo vtl createCert -n <client_name>
Windows クライアントで vtl コマンドを使用してクライアント証明書を作成するには、次のコマンドを実行します。
C:\> vtl createCert -n <client_name>
<client_name> は、スペースや特殊文字を含まない任意の一意の名前とすることができます。この同じ名前を create-client (p. 64) コマンドの --label パラメータで使用する必要があります。
vtl createCert コマンドの出力は、次のようになります。
Private Key created and written to:<luna_client_cert_dir>/<client_name>Key.pemCertificate created and written to:<luna_client_cert_dir>/<client_name>.pem
<luna_client_cert_dir> は、クライアントの LunaSA クライアント証明書ディレクトリです。
--certificate-filename パラメータの <client_name>.pem ファイルを create-client (p. 64) コマンドで渡します。
OpenSSL ツールキットOpenSSL ツールキットでは、以下のコマンドを実行して、プライベートキーと証明書を作成できます。
プライベートキーを作成します。
openssl genrsa -out <luna_client_cert_dir>/<client_name>Key.pem 2048
プライベートキーから証明書を生成します。
openssl req -new -x509 -days 3650 -key <luna_client_cert_dir>/<client_name>Key.pem -out <client_name>.pem
21
AWS CloudHSM Classic ユーザーガイドCLI ツールの設定
<luna_client_cert_dir> は、クライアントの LunaSA クライアント証明書ディレクトリです。
<client_name> は、スペースや特殊文字を含まない任意の一意の名前とすることができます。
openssl req コマンドの出力は、次のようになります。証明書で使用するいくつかのフィールドに入力することを求められます。唯一の必須フィールドは Common Name です。このフィールドは<client_name> と同じであることが必要です。この同じ名前を create-client (p. 64) コマンドの --label パラメータでも使用する必要があります。残りのフィールドは空白にすることができます。
You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [XX]:.State or Province Name (full name) []:.Locality Name (eg, city) [Default City]:.Organization Name (eg, company) [Default Company Ltd]:.Organizational Unit Name (eg, section) []:.Common Name (eg, your name or your server's hostname) []:<client_name>Email Address []:.
--certificate-filename パラメータの <client_name>.pem ファイルを create-client (p. 64) コマンドで渡します。
22
AWS CloudHSM Classic ユーザーガイド
AWS CloudHSM の開始方法AWS CloudHSM は、ハードウェアセキュリティモジュール (HSM) を AWS クラウドで使用可能にすることで、お客様に安全な暗号化キーストレージを提供します。
このガイドでは、AWS CloudHSM を使用するための基本的な実践手順として、HSM アプライアンスを設定するステップ、サードパーティー製ソフトウェアアプリケーションを AWS CloudHSM と統合するステップ、および HSM アプライアンスを使用するシンプルなアプリケーションを記述するステップについて説明します。また、AWS CloudHSM サービスを使用するためのベストプラクティスについても説明します。
AWS CloudHSM を使用するには、高可用性の設定で 2 つの HSM を使用することをお勧めします。高可用性の設定については、「高可用性とロードバランシング (p. 36)」を参照してください。
以下に示すのは、AWS CloudHSM を使い始めるための概略手順です。ステップごとの詳細な手順は、後続の各セクションを参照してください。
AWS CloudHSM の使用を開始するには
1. 「AWS CloudHSM のセットアップ (p. 3)」の手順に従って HSM 環境を設定します (まだ設定していない場合)。
2. 「HSM のプロビジョニング (p. 24)」の手順を使用して 1 つ以上の HSM をプロビジョニングします。
3. 「HSM の設定 (p. 25)」の手順を使用して HSM を初期化します。4. 「オンプレミス HSM の接続 (p. 28)」の手順に従って、オンプレミスの HSM アプライアンスを
HSM VPC に接続します。5. HSM クライアントの設定 (p. 28)を行います。6. HA の設定 (p. 36)を行います。7. 次の 2 つのオプションから選択します。
• サードパーティー製ソフトウェアアプリケーションを AWS CloudHSM と統合します。詳細については、「AWS CloudHSM とサードパーティー製アプリケーションの統合 (p. 47)」を参照してください。
• サンプルアプリケーション (p. 112)を使用して独自のアプリケーションの構築 (p. 48)の準備を整えます。
23
AWS CloudHSM Classic ユーザーガイドHSM のプロビジョニング
Important
このガイドでは、AWS CloudHSM サービスをすぐに開始できるように簡略な手順を提供しています。本番稼働用のデプロイメントでは、SafeNet Luna SA のドキュメントに記載されている詳細な説明と背景情報を参照し、十分に理解を深めた上で HSM を操作してください。このガイドは、HSM の安全な操作に欠かせない重要な情報を詳しく説明するものではありません。
トピック• HSM のプロビジョニング (p. 24)• HSM の設定 (p. 25)• HSM クライアントの設定 (p. 28)
HSM のプロビジョニングHSM をプロビジョニングするには、以下の情報が必要です。
• HSM のプロビジョニングを行うプライベートサブネットの識別子。詳細については、「AWSCloudHSM 環境のセットアップ (p. 5)」を参照してください。
• AWS CloudHSM の IAM ロールの Amazon リソースネーム (ARN)。詳細については、「AWSCloudHSM 環境のセットアップ (p. 5)」を参照してください。
• SSH パブリックキー。詳細については、「SSH キーの生成 (p. 13)」を参照してください。
Important
プロビジョニングする HSM ごとに前払い料金が発生します。HSM を誤ってプロビジョニングしたために返金をリクエストする場合は、HSM を削除 (p. 49)した上で AWS Support Center にアクセスし、アカウントおよび請求サポートの新しいケースを作成してください。AWS CloudHSM サービスを無料で試す場合は、2 週間のトライアルをリクエストできます。無料トライアルの詳細については、「無料トライアル」を参照してください。
HSM をプロビジョニングするには、次の例に示すように、コントロールインスタンスから AWSCloudHSM CLI コマンドの create-hsm (p. 68) を使用します。
Note
次の例では読みやすいように改行が使用されています。このコマンドをコントロールインスタンスから使用する場合は、改行やバックスラッシュ文字 (\) は含めないでください。次のコマンドを使用する前に、aws_access_key_id、aws_secret_access_key、およびaws_region が設定ファイル (~/cloudhsm.conf) で指定されていることを確認してください。詳細については、「設定ファイル (p. 20)」を参照してください。
$ cloudhsm create-hsm --conf_file ~/cloudhsm.conf \--subnet-id <subnet_id> \--ssh-public-key-file <public_key_file> \--iam-role-arn <iam_role_arn> \--syslog-ip <syslog_ip_address>
次のリストは、前の例で使用されている各パラメータの説明です。
<subnet_id>
HSM を配置する先の VPC 内のサブネットの識別子。<public_key_file>
HSM にインストールする SSH パブリックキーが含まれているファイル。
24
AWS CloudHSM Classic ユーザーガイドHSM の設定
<iam_role_arn>
AWS CloudHSM が Elastic Network Interface (ENI) の割り当てを代行することを許可する IAM ロールの ARN。
<syslog_ip_address>
(オプション) syslog モニタリングサーバーの IP アドレス。AWS CloudHSM サービスがサポートするsyslog モニタリングサーバーは 1 つのみです。
レスポンスは次のようになります。
{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}
<hsm_arn> の値をメモします。HSM の初期化に必要になります。
このコマンドを繰り返して必要な数の HSM を作成します。
HSM の設定HSM を設定する場合、パスワードワークシート (p. 34) を印刷することをお勧めします。これに HSMのパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。AWS では、適切な HSM セキュリティ責任者の認証情報がない場合、HSM のキーマテリアルを復旧できません。
HSM を作成すると、HSM に IP アドレスが割り当てられます。この IP アドレスにアクセスできるのは、HSM が配置されている同じ VPC 内のインスタンスに限られるため、HSM を初期化して管理するにはcontrol instance を使用する必要があります。コントロールインスタンスは、AWS CloudHSM 環境の設定時に起動されています。
トピック• HSM ENI の識別子と IP アドレスの取得 (p. 25)• セキュリティグループの適用 (p. 26)• HSM の初期化 (p. 26)• オンプレミス HSM の接続 (p. 28)
Note
どのコマンド例でも、aws_access_key_id、aws_secret_access_key、および aws_region が、設定ファイル (~/cloudhsm.conf) に設定済みであることを前提としています。詳細については、「設定ファイル (p. 20)」を参照してください。
HSM ENI の識別子と IP アドレスの取得HSM の IP アドレスを確認するには、次の手順を実行します。
HSM の IP アドレスを確認するには
1. SSH を使用してコントロールインスタンスに接続します。残りの手順は、コントロールインスタンスから実行します。
25
AWS CloudHSM Classic ユーザーガイドセキュリティグループの適用
2. HSM の ARN がわからない場合は、list-hsms (p. 91) コマンドを実行し、該当する HSM の ARN をコピーします。
$ cloudhsm list-hsms --conf_file ~/cloudhsm.conf{ "HsmList": [ "<hsm1_arn>", "<hsm2_arn>" ], "RequestId": "<request_id>"}
3. describe-hsm (p. 81) コマンドを実行して、HSM の ARN を渡します。ENI 識別子は EniId フィールドに含まれています。HSM の IP アドレスは EniIp フィールドに含まれています。これらの値をメモしておきます。HSM の初期化に必要になります。
$ cloudhsm describe-hsm --conf_file ~/cloudhsm.conf --hsm-arn <hsm_arn>{ "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "<iam_role_arn>", "Partitions": [], "RequestId": "<request_id>", "SerialNumber": "<serial_number>", "SoftwareVersion": "5.1.3-1", "SshPublicKey": "<public_key_text>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "2014-02-05T22:59:38.294Z", "SubscriptionType": "PRODUCTION", "VendorName": "SafeNet Inc."}
セキュリティグループの適用HSM をプロビジョニングしたら、HSM に適切なセキュリティグループを適用する必要があります。
セキュリティグループを適用するには
1. Amazon EC2 コンソールを開き、HSM をプロビジョニングしたリージョンを選択します。2. コンソールのナビゲーションペインで、[Network Interfaces] を選択します。3. ネットワークインターフェイスのリストで HSM のネットワークインターフェイス ID を見つけて選択
し、[Actions] をクリックしたら、[Change Security Groups] を選択します。4. [Change Security Groups] ダイアログボックスで、HSM で作成したセキュリティグループを選択し、
[Save] をクリックします。5. (オプション) HSM アプライアンスへのネットワーク接続のトラブルシューティングに役立てるため
に、ICMP エコー要求とエコー応答のセキュリティグループに送受信ルールを追加します。これにより、HSM アプライアンスに ping を実行して、HSM アプライアンスからの応答を受信できます。
HSM の初期化AWS CloudHSM CLI を使用して HSM を初期化するには、コントロールインスタンスから次の手順を実行します。手動で HSM を初期化する必要がある場合は、「手動での HSM の初期化 (p. 103)」を参照してください。
26
AWS CloudHSM Classic ユーザーガイドHSM の初期化
HSM を初期化するには
1. (オプション) 必要に応じて、次の describe-hsm (p. 81) コマンドを使用して HSM の IP アドレスを取得します。これは、次のステップで HSM に接続するために必要です。
$ cloudhsm describe-hsm --conf_file ~/cloudhsm.conf --hsm-arn <hsm_arn>
出力は次の例のようになります。<eni_ip> の値をメモしておきます。
{ "AvailabilityZone": "<az_id>", "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "arn:aws:iam::<account>:role/<role_name>", "Partitions": [ "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>", "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>", "arn:aws:cloudhsm:<region>:<account>:<hsm_id>/<partition_id>" ], "RequestId": "<request_id>", "SerialNumber": "<serial_number>", "SoftwareVersion": "<version>", "SshPublicKey": "<public_key_contents>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "<start_date>", "SubscriptionType": "<subscription_type>", "VendorName": "<vendor>"}
2. 「SSH 接続 (p. 19)」の手順に従って、前のステップで取得した HSM IP アドレスを使用し、HSM との永続的な SSH 接続を開きます。
3. 次の initialize-hsm (p. 85) コマンドを使用して HSM を初期化します。
$ cloudhsm initialize-hsm --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \--label <label> \--cloning-domain <cloning_domain> \--so-password <so_password>
パラメーターは次のとおりです。
<hsm_arn>
初期化する HSM の識別子。<label>
HSM の一意の名前。<cloning_domain>
HSM のクローニングドメインは、HSM 間でのキーマテリアルのクローニングを制御するために使用されるシークレットです。clone-hsm (p. 61) コマンドを使用して HSM をクローンする場合は、クローン元とクローン先の両方の HSM を同じクローニングドメインで初期化する必要があります。
<so_password>
HSM のセキュリティ責任者アカウントに設定するパスワード。このパスワードを パスワードワークシート (p. 34) に書き留めます。
27
AWS CloudHSM Classic ユーザーガイドオンプレミス HSM の接続
HSM を初期化すると、HSM セキュリティ責任者アカウント (管理者) のパスワードも設定されます。このパスワードは、同じ高可用性パーティショングループに属するすべての HSM に共通であることが必要です。セキュリティ責任者のパスワードを パスワードワークシート (p. 34) に記録し、なくさないようにします。「パスワードワークシート (p. 34)」のコピーを印刷することをお勧めします。このコピーを使用して重要な AWS CloudHSM Classic のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。AWS では、適切な HSM セキュリティ責任者の認証情報がない場合、HSMのキーマテリアルを復旧できません。
初期化する HSM ARN ごとに initialize-hsm (p. 85) コマンドを繰り返します。4. 次のコマンドを使用して HSM との永続的な SSH 接続を閉じます。
$ ssh -O stop <hsm_ip_address>
オンプレミス HSM の接続必要に応じて VPN または AWS Direct Connect を使用し、データセンターの SafeNet Luna SA HSM アプライアンスを AWS インスタンスに接続できます。詳細については、AWS Direct Connect の詳細ページを参照してください。
HSM クライアントの設定HSM クライアントソフトウェアのインストール方法については、次のトピックを参照してください。
トピック• Linux HSM クライアントの設定 (p. 28)• Windows HSM クライアントの設定 (p. 30)
Linux HSM クライアントの設定Linux HSM クライアントを設定するには、Linux クライアントインスタンスに HSM クライアントソフトウェアをインストールする必要があります。AWS CloudHSM は、HSM クライアントソフトウェアで構成済みの Amazon Elastic Compute Cloud(Amazon EC2) インスタンスを起動するために使用できるカスタム Amazon マシンイメージ (AMI) を提供しています。AWS CloudFormation を使用して自動的に環境をセットアップする場合や、AWS CloudHSM AMI を使用してクライアントインスタンスを起動する場合は、「Linux クライアントと HSM アプライアンス間のネットワーク信頼リンクの作成 (p. 29)」に進むことができます。
HSM クライアントソフトウェアを手動でインストールすることもできます。CloudHSM クライアントAMI から起動されていない EC2 インスタンスで HSM クライアントソフトウェアを手動でインストールする場合は、次の手順を参照してください。次のステップは、Amazon Linux x86 64 ビット AMI 用であり、別のシステムアーキテクチャを使用する場合は、変更が必要になることがあります。
Linux HSM クライアントを手動でインストールして設定するには
1. HSM クライアントをインストールする Linux インスタンスに接続します。インスタンスは、HSM と同じ VPC 内で実行されている必要があります。
2. https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz でクライアントソフトウェアパッケージをダウンロードします。次の SHA 256 ダイジェストで、ダウンロードしたパッケージの整合性を確認できます。
28
AWS CloudHSM Classic ユーザーガイドLinux HSM クライアントの設定
4777ae559cfa9421735f73b4c1a2fe69b2f43d4d774f36e4050e773c23372f4c
ダイジェストは、https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz.sha256 でも入手できます。
3. パッケージからファイルを抽出し、ルートとして 610-012382-008_revC/linux/64/install.sh ファイルを実行して、Luna SA オプションをインストールします。
Linux クライアントと HSM アプライアンス間のネットワーク信頼リンクの作成次の手順では、vtl アプリケーションを使用します。これは以前にインストールされた Luna SA クライアントツールの一部です。vtl アプリケーションは /usr/safenet/lunaclient/bin/ にインストールされます。コマンドを使用するたび、および PATH 環境変数に追加するたびに、このパスを含める必要があります。
Note
これらのステップを複数の HSM アプライアンスに対して完了するには、最初の HSM に対してすべてのステップを実行します。次に、2 番目以降の HSM ごとに最初からすべてのステップを繰り返します。
クライアントと HSM アプライアンス間でネットワーク信頼リンクを作成するには
これらの手順は、Amazon Linux x86 64 ビットに適用され、システムアーキテクチャによっては変更が必要になる場合があります。
1. HSM からクライアントインスタンスにサーバー証明書をコピーするには、scp コマンドを使用します。
scp -i ~/.ssh/<private key file> manager@<HSM IP address>:server.pem .
<private key file> は、HSM への接続に使用される SSH プライベートキーファイルの名前です。コマンドの最後にあるドット (.) は必須で、これにより scp は生成されるファイルを現在のディレクトリにコピーします。
2. HSM サーバー証明書をクライアントに登録するには、vtl コマンドを使用します。
sudo vtl addServer -n <HSM IP address> -c server.pem
コマンドが成功した場合は、以下のような出力が表示されます。
New server <HSM IP address> successfully added to server list.
3. クライアントインスタンス用のクライアント証明書を作成するには、vtl コマンドを使用します。
sudo vtl createCert -n <client name>
<client name> は、スペースや特殊文字を使用しない任意の一意の名前にすることができます。コマンドが成功した場合は、以下のような出力が表示されます。
Private Key created and written to:<client cert directory>/<client name>Key.pemCertificate created and written to:<client cert directory>/<client name>.pem
29
AWS CloudHSM Classic ユーザーガイドWindows HSM クライアントの設定
Note
複数のインスタンス間で共有する証明書を作成することもできます。詳細については、「HSM クライアント設定を含む AMI を作成する (p. 111)」を参照してください。
4. クライアント証明書を HSM にコピーするには、scp コマンドを使用します。
scp -i ~/.ssh/<private key file> <client cert directory>/<client name>.pem manager@<HSM IP address>:
Note
送信先の後のコロン (:) は必須です。これがない場合、scp は指定された送信先をリモートサーバーと認識しません。
5. ssh コマンドを使って、HSM に接続します。
ssh -i ~/.ssh/<private key file> manager@<HSM IP address>
6. HSM で、client register コマンドを使用してクライアントを登録します。
lunash:> client register -client <client ID> -hostname <client name>
コマンドが成功した場合は、以下のような出力が表示されます。
'client register' successful.
<client name> は前の createCert コマンドで使用したのと同じ名前にする必要があります。<client ID> は、スペースや特殊文字を使用しない任意の一意の名前とすることができます。混乱を防ぐために、これらの 2 つの名前を同じにしておくことをお勧めします。
Note
複数のインスタンス間で共有する証明書を作成できます。詳細については、「HSM クライアント設定を含む AMI を作成する (p. 111)」を参照してください。
7. HSM で、client assignPartition コマンドを使用してクライアントをパーティションに割り当てます。
lunash:> client assignPartition -client <client ID> -partition <partition name>
クライアントを高可用性パーティショングループに登録するには、「高可用性パーティショングループでのクライアントの登録 (p. 40)」を参照してください。
Windows HSM クライアントの設定Windows HSM クライアントを設定するには、Windows クライアントインスタンスに HSM クライアントソフトウェアを手動でインストールする必要があります。
Windows HSM クライアントを設定するには
1. HSM クライアントをインストールする Windows インスタンスに接続します。インスタンスは、HSMと同じ VPC 内で実行されている必要があります。
2. https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz でクライアントソフトウェアパッケージをダウンロードします。次の SHA 256 ダイジェストで、ダウンロードしたパッケージの整合性を確認できます。
30
AWS CloudHSM Classic ユーザーガイドWindows HSM クライアントの設定
4777ae559cfa9421735f73b4c1a2fe69b2f43d4d774f36e4050e773c23372f4c
ダイジェストは、https://s3.amazonaws.com/cloudhsm-software/Luna_5_4_Client_Software.tgz.sha256 でも入手できます。
3. パッケージからファイルを抽出し、610-012382-008_revC\windows\64\LunaClient.msi ファイルを実行して、Luna SA オプションをインストールします。
Windows クライアントと HSM アプライアンス間のネットワーク信頼リンクの作成次の手順では、vtl アプリケーションを使用します。これは以前にインストールされた Luna SA クライアントツールの一部です。vtl アプリケーションは %ProgramFiles%\SafeNet\LunaClient\bin\ にインストールされます。コマンドを使用するたび、および PATH 環境変数に追加するたびに、このパスを含める必要があります。
Note
これらのステップを複数の HSM アプライアンスに対して完了するには、最初の HSM に対してすべてのステップを実行します。次に、2 番目以降の HSM ごとに最初からすべてのステップを繰り返します。
Windows クライアントと HSM アプライアンス間にネットワーク信頼リンクを作成するには
1. HSM からクライアントインスタンスにサーバー証明書をコピーするには、pscp コマンドを使用します。
pscp -i <private key file>.ppk manager@<hsm IP address>:server.pem .
<private key file> は、HSM アプライアンスへの接続に使用する PuTTY プライベートキーファイルのパスとファイル名です。コマンドの最後にあるドット (.) は必須で、これにより pscp は生成されるファイルを現在のディレクトリにコピーします。
2. HSM サーバー証明書をクライアントに登録するには、vtl コマンドを使用します。Important
このコマンドは、管理者として実行する必要があります。これを行うには、cmd.exe アイコンを右クリックし、[Run as Administrator] を選択します。
vtl addServer -n <hsm IP address> -c server.pem
コマンドが成功した場合は、以下のような出力が表示されます。
New server <HSM IP address> successfully added to server list.
3. クライアントインスタンス用のクライアント証明書を作成するには、vtl コマンドを使用します。Important
このコマンドは、管理者として実行する必要があります。これを行うには、cmd.exe アイコンを右クリックし、[Run as Administrator] を選択します。
vtl createCert -n <client name>
<client name> は、スペースや特殊文字を使用しない任意の一意の名前にすることができます。コマンドが成功した場合は、以下のような出力が表示されます。
31
AWS CloudHSM Classic ユーザーガイドWindows HSM クライアントの設定
Private Key created and written to:<client cert directory>\<client name>Key.pemCertificate created and written to:<client cert directory>\<client name>.pem
Note
複数のインスタンス間で共有する証明書を作成することもできます。詳細については、「HSM クライアント設定を含む AMI を作成する (p. 111)」を参照してください。
4. クライアント証明書を HSM にコピーするには、pscp コマンドを使用します。
pscp -i <private key file> <client cert directory>\<client name>.pem manager@<HSM IP address>:
Note
送信先の後のコロン (:) は必須です。これがない場合、pscp は指定された送信先をリモートサーバーと認識しません。
5. PuTTY を使用して HSM に接続します。6. HSM で、client register コマンドを使用してクライアントを登録します。
lunash:> client register -client <client ID> -hostname <client name>
コマンドが成功した場合は、以下のような出力が表示されます。
'client register' successful.
<client name> は前の createCert コマンドで使用したのと同じ名前にする必要があります。<client ID> は、スペースや特殊文字を使用しない任意の一意の名前とすることができます。混乱を防ぐために、これらの 2 つの名前を同じにしておくことをお勧めします。
Note
複数のインスタンス間で共有する証明書を作成できます。詳細については、「HSM クライアント設定を含む AMI を作成する (p. 111)」を参照してください。
7. HSM で、client assignPartition コマンドを使用してクライアントをパーティションに割り当てます。
lunash:> client assignPartition -client <client ID> -partition <partition name>
クライアントを高可用性パーティショングループに登録するには、「高可用性パーティショングループでのクライアントの登録 (p. 40)」を参照してください。
32
AWS CloudHSM Classic ユーザーガイド一般的なベストプラクティス
ベストプラクティストピック
• 一般的なベストプラクティス (p. 33)• パスワードに関するベストプラクティス (p. 33)• パスワードワークシート (p. 34)
一般的なベストプラクティス• 高可用性 (HA) の設定を使用します。AWS では、2 つ以上の HSM アプライアンスを別個のアベイラビ
リティーゾーンで使用するように HA を設定することをお勧めします。そうすれば、1 つのアベイラビリティーゾーンが使用不能になっても、データが失われることはありません。HA 設定のセットアップの詳細については、「高可用性とロードバランシング (p. 36)」を参照してください。
• HSM を初期化すると、HSM 内のキーマテリアルが破棄され、元に戻すことができなくなります。キーが別の場所にバックアップされているか、キーが不要であることが確かである場合を除いて、HSM は絶対に初期化しないでください。
• AWS CloudHSM Luna SA アプライアンスまたはクライアントソフトウェア、あるいは HSM ファームウェアをアップグレードするには、AWS CloudHSM アップグレードガイド (p. 114) に示すサポート対象のバージョンのみを使用します。サポートされていないソフトウェアパッチや更新をアプライアンスに適用しないでください。AWS CloudHSM で特定のソフトウェアパッチやバージョンがサポートされているかどうか不明な場合は、AWS サポート までお問い合わせください。
• アプライアンスのネットワーク設定は変更しません。• アプライアンスで提供されている syslog 転送設定は削除または変更しません。syslog メッセージの転送
先は、既存の転送先を変更または削除しない限り、新たに追加できます。• アプライアンスで提供されている SNMP 設定は変更または削除しません。SNMP 設定は、既存の設定を
変更しない限り、新たに追加できます。• アプライアンスで提供されている NTP 設定は変更しません。
パスワードに関するベストプラクティス• HSM セキュリティ責任者 (管理者) のパスワードを パスワードワークシート (p. 34) ワークシートに
メモし、ワークシートをなくさないようにします。「パスワードワークシート (p. 34)」のコピーを印刷することをお勧めします。このコピーを使用して重要な AWS CloudHSM Classic のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。AWS では、適切な HSM セキュリティ責任者の認証情報がない場合、HSM のキーマテリアルを復旧できません。
• HSM アプライアンス管理者のパスワードは変更しません。AWS では、このパスワードを使用してサービスを提供します。
• 管理者アカウントのログインには SSH キーを使用します。詳細については、「SSH キーの生成 (p. 13)」を参照してください。AWS では、アカウントへのアクセスが失われた場合に、管理者アカウントを再作成できます。必要に応じて、管理者アカウントのパスワードを設定できます。
• HSM パーティションのパスワードは、このパスワードに依存するクライアントやアプリケーションと連携させます。IAM ロールを使用してパスワードを配信する方法については、ブログ記事「IAM ルールを使用して AWS 以外の認証情報を EC2 インスタンスに配信する」を参照してください。
33
AWS CloudHSM Classic ユーザーガイドパスワードワークシート
パスワードワークシート次のワークシートを使用して、AWS CloudHSM のアプライアンスの情報をコンパイルします。このページを印刷して AWS CloudHSM のパスワードを記録し、安全な場所に格納します。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。
セキュリティ責任者のパスワード
HSM アプライアンスを初期化したときに設定したパスワードです。
_________________________________________________マネージャーのパスワード (オプション)
HSM アプライアンスの user password manager コマンドを使用して設定したパスワード (オプション) です。
_________________________________________________
パーティションのパスワード
パーティションラベル パスワード ドメインのクローン作成
34
AWS CloudHSM Classic ユーザーガイド
オペレーションおよびメンテナンスAWS では、HSM アプライアンスをモニタリングし、アプライアンスの可用性に関する小さな設定の問題を修正する場合があります。このようなオペレーションが HSM アプライアンスの使用に影響することはありません。
サービスを中断する可能性がある管理オペレーションが必要な場合は、オペレーションを実行する 24 時間前に AWS から通知があります。
予期しない状況で、AWS が予告なしに緊急のメンテナンスを実行しなければならない場合もあります。このような状況はできるだけ回避するよう努めます。ただし、サービスが使用不能になることを避けるために、AWS では、高可用性の設定で複数の HSM アプライアンスを別個のアベイラビリティーゾーンで使用することを強くお勧めします。HA 以外の設定で 1 つのみの HSM アプライアンスに障害が発生すると、キーとデータが永久に失われる場合があります。
AWS は、同じリージョン内の複数のアベイラビリティーゾーンにある HSM アプライアンスに対して同じ24 時間以内に定期メンテナンスを繰り返すことはありません。
高可用性の設定を行う方法については、「高可用性とロードバランシング (p. 36)」を参照してください。
HSM アプライアンスの管理とメンテナンスの詳細については、SafeNet Luna SA ドキュメントの「Administering Your Luna SA」を参照してください。
35
AWS CloudHSM Classic ユーザーガイド
高可用性とロードバランシングAWS CloudHSM を使用するには、高可用性 (HA) の設定で 2 つの HSM を使用することをお勧めします。HA 以外の設定で 1 つのみの HSM アプライアンスに障害が発生した場合、キーとデータを永久に失う可能性があります。HA のために最低 2 つの HSM を別個のアベイラビリティーゾーンで使用することをお勧めします。この設定では、1 つの HSM が使用不能になっても、キーは引き続き使用できます。ここでは、従来の HA 設定をセットアップする方法について説明します。
HA では、複数の HSM をグループ化して 1 つの仮想デバイスを設定できます。クライアントから見た場合は、クラスタリングや RAID テクノロジーに似た論理ユニットになります。HA 設定では、1 つ以上のHSM が使用不能になっても、サービスが維持されます。たとえば、3 つの HSM を HA グループとしてまとめた場合、2 つの HSM がオフラインになってもサービスは維持されます。
HA の設定にする場合は、各 HSM を HA グループに追加して HSM クライアントで管理します。HSMクライアントには、HSM グループが単一の HSM のように見えます。ただし、実際のオペレーションでは、HA グループのメンバー間でトランザクションの負荷を共有してデータを相互に同期させ、特定のメンバー HSM で障害が発生しても適切に処理容量を再配分してクライアントへのサービスが中断されないようにしています。HA は、すべてのメンバー HSM 間で負荷を分散してパフォーマンスと応答時間を向上させ、HA サービスを確実に提供します。すべてのメンバー HSM がアクティブになります (1 つのみがアクティブで残りがパッシブになるのではありません)。呼び出しは、HSM クライアント側のソフトウェア(ライブラリ) 経由で各クライアントアプリケーションから、使用率が最も低いメンバー HSM に渡されます。
詳細については、Gemalto SafeNet ウェブサイトのテクニカルノート「Overview of Luna High Availabilityand Load Balancing」を参照してください。HA のベストプラクティスの詳細については、「高可用性およびロードバランシングのベストプラクティス (p. 37)」を参照してください。
AWS CloudHSM Classic サービスは、高可用性 (HA) パーティショングループと呼ばれるリソースを定義します。高可用性パーティショングループは、高可用性を目的として通常複数の物理 HSM に分散されたパーティションのグループを表す仮想パーティションです。AWS CloudHSM Classic コマンドラインインターフェイスツールを使用して高可用性パーティショングループを作成および管理します。
36
AWS CloudHSM Classic ユーザーガイド高可用性およびロードバランシングのベストプラクティス
トピック• 高可用性およびロードバランシングのベストプラクティス (p. 37)• HA パーティショングループの作成 (p. 39)
高可用性およびロードバランシングのベストプラクティス
AWS は、HSM アプライアンスの高可用性およびロードバランシングに関する以下のベストプラクティスをお勧めします。
トピック• 一般的なベストプラクティス (p. 37)• 損失と復旧のベストプラクティス (p. 37)
一般的なベストプラクティス• HA グループを複数の AWS CloudHSM クライアント間で共有する場合は、ベストプラクティスとして、
これらのクライアント別に異なるプライマリ HA メンバーを選択し、耐障害性を高め、暗号化オペレーションのワークロードをより均等に配分します。
詳細については、SafeNet Luna SA ドキュメントの以下のトピックを参照してください。
• Overview of Luna High Availability and Load Balancing• HA with Luna SA
損失と復旧のベストプラクティストピック
• 高可用性の復旧 (p. 38)• 高可用性メンバーのサブセットの損失の復旧 (p. 38)• すべての高可用性メンバーの損失の復旧 (p. 39)
37
AWS CloudHSM Classic ユーザーガイド損失と復旧のベストプラクティス
高可用性の復旧高可用性 (HA) の復旧は、障害が発生した HA グループメンバーの自動的な回復です。この機能が導入される以前は、HA 機能で冗長性とパフォーマンスは提供されていましたが、障害が発生したグループメンバーや失われたグループメンバーは手動で回復する必要がありました。HA 復旧機能をオンにしない場合、HA では依然として手動でメンバーを回復する必要があります。HA グループのメンバーが失敗する理由としては、以下が考えられます。
• HSM アプライアンスの電源が切れた場合。ただし、2 時間未満で電源が回復されれば、HSM アプライアンスのアクティベーションの状態が維持されます。
• ネットワーク接続が失われた場合。
HA は、以下の条件が満たされている場合に復旧されます。
• HA の autoRecovery が有効になっている。• HA グループに 2 つ以上のノードがある。• HA ノードが起動時にアクセス可能である (接続されている)。• HA ノードの復旧試行回数の限度に達していない。限度に達するか限度を超えると、ダウンした接続を
復旧する方法は手動復旧のみになります。
すべての HA ノードが失敗した場合 (HSM クライアントからのリンクがない場合)、復旧することはできません。
ライブラリの HA 復旧ロジックでは、障害が発生したメンバーの最初の復旧が試行されるのは、アプリケーションからその HSM アプライアンス (HA グループ) を呼び出したときです。つまり、アイドル状態の HSM クライアントは復旧を試行しません。
ただし、ダウンした HA グループメンバーが回復されるまで、または再試行期間の限度に達するか超過して試行が停止されるまでは、ライブラリで復旧が試行されるため、ビジー状態の HSM クライアントでも 1分ごとに短い一時停止が発生する場合があります。したがって、ネットワーク中断のタイプや期間などを考慮し、通常の運用状況に基づいて再試行期間を設定します。
HA の autoRecovery はデフォルトでは無効です。「自動復旧の有効化 (p. 110)」の手順に従って明示的に有効にする必要があります。HA とautoRecovery の詳細については、SafeNet Luna SA ドキュメントで以下のトピックを参照してください。
• Configuring HA• Client - Create HA Group
高可用性メンバーのサブセットの損失の復旧HA メンバーのサブセットの損失が発生した場合、AWS では、次の手順を使用してグループメンバーを復旧することをお勧めします。
AWS から接続が復旧されたことが通知された場合は、次のコマンドを実行して HA グループの切断されたメンバーを再導入します。
vtl haAdmin recover -group <ha_group_label>
AWS では、短時間の接続の再試行を繰り返して、一時的なネットワーク停止による切断が自動的に復旧可能であることを確認することもお勧めします。たとえば、以下に示すように、5 回の接続を 1 分間隔で再試行します。
vtl haAdmin autoRecovery -interval 60
38
AWS CloudHSM Classic ユーザーガイドHA パーティショングループの作成
vtl haAdmin autoRecovery -retry 5
グループメンバーの手動復旧はしないで、自動復旧に伴うオーバーヘッドを最小限に抑える場合は、次の手順を使用します。
グループメンバーの復旧に伴うオーバーヘッドを最小限に抑えるには
• 接続に成功するまで、接続を 3 分間隔で再試行します。
vtl haAdmin autoRecovery -interval 180vtl haAdmin autoRecovery -retry -1
特殊な暗号化アプリケーションでグループメンバーを復旧するには
• 特殊な暗号化アプリケーションについては、ケースバイケースで SafeNet または AWS にお問い合わせください。
すべての高可用性メンバーの損失の復旧すべての HA メンバーの損失が発生した場合 (HA グループに属するすべてのメンバーとの通信が完全に失われた場合) は、LunaSlotManager.reinitialize() を使用できます。LunaSlotManager.reinitialize() を使用すると、アプリケーションを再起動する必要はありません。ただし、手動で復旧する場合はアプリケーションを再起動します。
LunaSlotManager.reinitialize() の詳細については、SafeNet Luna SA のテクニカルノート「LunaProvider: Recovering from the Loss of all HA Members Using LunaSlotManager.reinitialize()」を参照してください。
重要
• LunaHAStatus.isOK() は、すべての HA メンバーが存在する場合に限り、true を返します。このメソッドは、最低 1 つの HA メンバーが見つからない場合は false を返し、すべての HA メンバーが見つからない場合は例外をスローします。
• HA のスロット番号が変らないようにするには、HA-only オプションを有効にする必要があります。
HA パーティショングループの作成HA パーティショングループを作成するには、2 つのステップを実行します。HA パーティショングループを作成し、次に HA パーティショングループにクライアントを登録します。
タスク• HA パーティショングループの作成 (p. 39)• 高可用性パーティショングループでのクライアントの登録 (p. 40)
HA パーティショングループの作成HA パーティショングループを作成するには、次の手順を実行します。
Note
どのコマンド例でも、aws_access_key_id、aws_secret_access_key、および aws_region が、設定ファイル (~/cloudhsm.conf) に設定済みであることを前提としています。詳細については、「設定ファイル (p. 20)」を参照してください。
39
AWS CloudHSM Classic ユーザーガイドクライアントの登録
HA パーティショングループを作成し、初期化するには
1. HA パーティショングループを作成するには、次の create-hapg (p. 66) コマンドを使用します。
$ cloudhsm create-hapg --conf_file ~/cloudhsm.conf --group-label <label>
<label> は、HA パーティショングループの一意の名前です。2. 次の add-hsm-to-hapg (p. 56) コマンドを使用して、初期化した HSM を HA パーティショングルー
プに追加します。
$ cloudhsm add-hsm-to-hapg --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \--hapg-arn <hapg_arn> \--cloning-domain <cloning_domain> \--partition-password <partition_password> \--so-password <so_password>
パラメーターは次のとおりです。
<hsm_arn>
HA パーティショングループに追加する HSM の識別子。<hapg_arn>
HA パーティショングループの識別子。<cloning_domain>
HA パーティショングループのクローニングドメイン。<partition_password>
メンバーパーティションのパスワード。このパスワードを パスワードワークシート (p. 34) に書き留めます。これは同じ HA パーティショングループに属するすべての HSM に共通であることが必要です。
<so_password>
<hsm_arn> のセキュリティ責任者のパスワード。
コマンドが成功した場合、出力は次のようになります。
{ "Status": "Addition of HSM <hsm_arn> to HAPG <hapg_arn> successful"}
パスワードワークシート (p. 34)にパーティションのパスワードを保存します。
後で使用できるように、create-hapg (p. 66) コマンドから返された HA パーティショングループのARN を保存します。
3. HA パーティショングループに追加する HSM ごとに、前のステップを繰り返します。
高可用性パーティショングループでのクライアントの登録クライアントで HA パーティショングループを使用するには、次のタスクを完了する必要があります。
40
AWS CloudHSM Classic ユーザーガイドクライアントの登録
Note
どのコマンド例でも、aws_access_key_id、aws_secret_access_key、および aws_region が、設定ファイル (~/cloudhsm.conf) に設定済みであることを前提としています。詳細については、「設定ファイル (p. 20)」を参照してください。
タスク• クライアントの作成 (p. 41)• クライアントの登録 (p. 41)• クライアント設定の生成 (p. 41)• クライアント設定の検証 (p. 42)
クライアントの作成クライアントを作成する前に、「クライアント証明書 (p. 20)」の説明に従って、クライアントの証明書を作成する必要があります。
クライアント証明書の作成後に、次の create-client (p. 64) コマンドを使用してクライアントを作成します。
$ cloudhsm create-client --conf_file ~/cloudhsm.conf --certificate-file <client_cert_file>
コマンドが成功した場合、出力は次のようになります。
{ "ClientArn": "<client_arn>", "RequestId": "<request_id>"}
<client_arn> の値をメモします。クライアントを登録するときに必要になります。
クライアントの登録クライアントの作成後に、次の register-client-to-hapg (p. 95) コマンドを使用してクライアントを HAパーティショングループに登録します。
$ cloudhsm register-client-to-hapg --conf_file ~/cloudhsm.conf \--client-arn <client_arn> \--hapg-arn <hapg_arn>
コマンドが成功した場合、出力は次のようになります。
{ "Status": "Registration of the client <client_arn> to the HA partition group <hapg_arn> successful"}
クライアント設定の生成クライアントを登録すると、クライアント設定ファイルとサーバー証明書が提供されます。
クライアントを HA パーティショングループを割り当てるには、クライアントで次の get-client-configuration (p. 83) コマンドを使用します。
41
AWS CloudHSM Classic ユーザーガイドクライアントの登録
$ cloudhsm get-client-configuration --conf_file ~/cloudhsm.conf \--client-arn <client_arn> \--hapg-arns <hapg_arn> \--cert-directory <server_cert_location> \--config-directory /etc/
コマンドが成功した場合、出力は次のようになります。
The configuration file has been copied to /etc/The server certificate has been copied to /usr/safenet/lunaclient/cert/server
クライアント設定の検証次のコマンドを使用して設定を確認します。次に、クライアントアプリケーションで HSM をポイントし、指定した HA グループラベルでこの HSM を参照します。
>vtl haAdmin show
出力の見出し「HA Group and Member Information」の下で、グループメンバーの数が HA パーティショングループ内の HSM の数と等しいことを確認します。
42
AWS CloudHSM Classic ユーザーガイド
HSM 間のキーのレプリケートNote
どのコマンド例でも、aws_access_key_id、aws_secret_access_key、および aws_region が、設定ファイル (~/cloudhsm.conf) に設定済みであることを前提としています。詳細については、「設定ファイル (p. 20)」を参照してください。
必要に応じて、次の clone-hapg (p. 59) コマンドを使用して、既存の HA パーティショングループの内容を新しい HA パーティショングループにレプリケートできます。新しい HA パーティショングループを作成するときは、ソース HA パーティショングループと同じクローニングドメインとパーティションパスワードを指定する必要があります。
$ cloudhsm clone-hapg --conf_file ~/cloudhsm.conf \--src-hapg-arn <src_arn> \--dest-hapg-arn <dest_arn> \--hapg-password <hapg_password>
パラメーターは次のとおりです。
<src_arn>
クローン元の HA パーティショングループの識別子。どちらの HA パーティショングループにも、同じクローニングドメインとパーティションパスワードが必要です。
<dest_arn>
クローン先の HA パーティショングループの識別子。どちらの HA パーティショングループにも、同じクローニングドメインとパーティションパスワードが必要です。
<hapg_password>
パーティショングループのパスワード。どちらの HA パーティショングループにも、同じパスワードが必要です。
コマンドが成功した場合、出力は次のようになります。
cloudhsmcli.hapg_cloner: Backing up existing config filescloudhsmcli.hapg_cloner: Collecting information about the HA Partition groupscloudhsmcli.hapg_cloner: Setting up a cloning environmentcloudhsmcli.hapg_cloner: Cloning the HA partition groupscloudhsmcli.hapg_cloner: Cleaning up the cloning environmentcloudhsmcli.hapg_cloner: Restoring existing config files{ "Status": "Completed cloning the HA partition group <src_arn> to the HA partition group <dest_arn>"}
後で使用できるように、clone-hapg (p. 59) コマンドから返された HA パーティショングループの ARNを保存します。
43
AWS CloudHSM Classic ユーザーガイドWindows を使用した HSM データのバックアップ
HSM データの Luna SA Backup HSMへのバックアップと復元
キーやデータの損失を防ぐには、AWS の推奨に従って複数の HSM アプライアンスを高可用性の設定で使用するほかに、Luna Backup HSM を購入済みである場合は、Luna SA パーティションのリモートバックアップ/復元を行うこともできます。Luna Backup HSM の詳細については、Gemalto SafeNet ウェブサイトから Luna Backup HSM の製品概要をダウンロードしてください。
Luna Backup HSM では、機密の暗号化情報が (使用中でない場合でも) ハードウェアにしっかり保護されます。キーは、緊急時、障害発生時、または災害発生時に備えて、Luna Backup HSM に簡単にバックアップし、安全に複製して保管することができます。
リモートバックアップ機能を使用すると、管理者は機密の暗号化情報のコピーを他の SafeNet HSM に安全に移動できます。管理者は、1 つの Luna Backup HSM を使用して最大 20 個の Luna HSM アプライアンスとの間でキーのバックアップと復元を行うことができます。
Luna Backup HSM は USB 経由で直接クライアントマシンに接続します。クライアントマシンは、SafeNet Luna クライアントソフトウェアがインストールされている AWS 外の Windows または Linuxマシンです。クライアントマシンには、AWS クラウドでの HSM への IP 接続も必要です。
トピック• Windows を使用した HSM データのバックアップ (p. 44)• Luna Backup HSM からの HSM データの復元 (p. 45)
Windows を使用した HSM データのバックアップWindows を使用して HSM データをバックアップするには
1. USB を使用して Luna Backup HSM を Windows コンピュータに接続します。Luna Backup HSM の詳細については、Gemalto SafeNet ウェブサイトの Luna Backup HSM の製品概要を参照してください。
2. Luna Remote Backup Driver (610-011646-001) を次の場所からインストールします。
https://s3.amazonaws.com/cloudhsm-software/610-011646-001.tar3. [Control Panel] から [Device Manager] を開いて [Luna G5 Device] を選択し、[Update Driver Software]
を右クリックして選択します。4. 「HSM の設定 (p. 25)」と「HSM クライアントの設定 (p. 28)」の各ステップを実行します。5. PuTTY を使用して、SSH 経由で HSM に接続します。6. HSM で次のコマンドを実行して、HSM アプライアンスの詳細を表示します。
lunash:> hsm show
7. HSM で次のコマンドを実行してパーティションの内容を表示します。
lunash:> par showc -par pm
8. Windows コマンドプロンプトから次のコマンドを実行して NTLS 接続を確立します。
44
AWS CloudHSM Classic ユーザーガイドLuna Backup HSM からの HSM データの復元
C:\> vtl verify
9. 次のコマンドを実行して使用可能なスロットを一覧表示します。
C:\> vtl listslots
10. 次のコマンドを実行して Luna Backup HSM アプライアンスを出荷時の設定に復元します。確認を求められたら、「Yes」と入力します。
C:\> vtl backup token factoryreset -target 2
11. 次のコマンドを実行して Luna Backup HSM アプライアンスを初期化します。HSM の初期化を確認するプロンプトが表示されたら、「yes」と入力し、PED 認証の使用を確認するプロンプトが表示されたら、「no」と入力します。
C:\> vtl backup token init -target 2 -label BackupHSM
Important
HSM ではパスワード認証を使用することが重要です。12. リモートバックアップコマンドを実行します。
C:\> vtl backup -source 1 -target 2 -partition pm_backup
13. 新しいバックアップの作成を確認するプロンプトが表示されたら、「yes」と入力します。14. バックアップの詳細を確認する場合は、次のコマンドを実行します。
C:\> vtl backup token show -target 2
Luna Backup HSM からの HSM データの復元HSM データを復元するには
1. PuTTY を使用して、SSH 経由で HSM に接続します。2. HSM 管理者 (セキュリティ責任者) として HSM にログインします。
lunash:> hsm login
3. HSM から次のコマンドを実行してパーティションの内容をクリアします。プロンプトが表示されたら、このパーティションのパスワードを入力し、「proceed」と入力します。
lunash:> partition clear -partition pm
4. 次のコマンドを実行してパーティションがクリアされていることを確認します。
lunash:> partition showcontents -partition pm
5. Windows コマンドプロンプトから次のコマンドを実行して、HSM パーティションにオブジェクトが存在していないことを確認します。
C:\> cmu li
45
AWS CloudHSM Classic ユーザーガイドLuna Backup HSM からの HSM データの復元
6. 次のコマンドを実行して復元を開始します。プロンプトが表示されたら、パスワードを入力します。
C:\> vtl backup restore -source 2 -partition pm_backup -target 1
7. HSM から次のコマンドを実行して復元が成功したことを確認します。プロンプトが表示されたら、パスワードを入力します。
lunash:> partition showcontents -partition pm
8. 次のコマンドを実行して、復元された HSM オブジェクトにクライアントからアクセスできることを確認します。
C:\> cmu li
46
AWS CloudHSM Classic ユーザーガイドAWS CloudHSM での透過的なデータ暗号化
AWS CloudHSM とサードパーティー製アプリケーションの統合
AWS CloudHSM でサードパーティー製アプリケーションを使用する方法について以下に説明します。
トピック• AWS CloudHSM での透過的なデータ暗号化 (p. 47)• Amazon Elastic Block Store のボリューム暗号化 (p. 48)• Amazon Simple Storage Service (S3) および SafeNet KeySecure での暗号化 (p. 48)• AWS CloudHSM に保存されたプライベートキーを使用した Apache ウェブサーバーでの SSL ターミ
ネーションのセットアップ (p. 48)• 独自のアプリケーションの構築 (p. 48)
探しているアプリケーションがリストに見つからない場合は、AWS サポートまでお問い合わせください。または、Gemalto SafeNet ウェブサイトの「HSM Interoperability」を参照してください。
AWS CloudHSM での透過的なデータ暗号化Transparent Data Encryption (TDE) は、アプリケーションのテーブルの列またはテーブルスペース (データベースに保存されているすべてのオブジェクトのコンテナ) に保存されているクレジットカード番号などの機密データを暗号化することで、機密データの盗難のリスクを軽減します。
次のトピックでは、TDE を使用して Oracle または Microsoft SQL Server データベースを設定し、マスター暗号化キーを AWS CloudHSM に保存する方法について説明します。
Oracle Database TDE と AWS CloudHSM以下の手順では、Oracle データベースと HSM を統合する方法について説明します。また、Oracle データベースをインストールして設定し、AWS CloudHSM と統合するために必要な情報を提供します。
TDE for Oracle Database 11g をセットアップするには
以下の手順については、Gemalto SafeNet ウェブサイトの Oracle Database Integration Guide に詳しく説明されています。
1. Luna SA/PCI/HSM アプライアンスをセットアップします。詳細については、「AWS CloudHSM のセットアップ (p. 3)」の手順を参照してください。
2. Oracle Database 11g をターゲットマシンにインストールします。3. Oracle Database 11g R1 (11.1.0.6、11.1.0.7 のいずれか) または 11g R2
(11.2.0.1、11.2.0.2、11.2.0.3 のいずれか) を HSM と統合します。
Microsoft SQL Server と AWS CloudHSM次のトピックでは、Microsoft SQL Server TDE と Extensible Key Management (EKM) を AWS CloudHSMで使用する方法について説明します。
47
AWS CloudHSM Classic ユーザーガイドAmazon Elastic Block Store のボリューム暗号化
EKM ライブラリの詳細については、http://technet.microsoft.com/en-us/library/bb895340.aspx を参照してください。
TDE for Microsoft SQL Server および EKM ライブラリをセットアップするには
以下の手順については、Gemalto SafeNet ウェブサイトの Microsoft SQL Server Integration Guide で詳しく説明されています。
1. HSM アプライアンスをセットアップします。「AWS CloudHSM のセットアップ (p. 3)」の手順を参照してください。
2. Luna SA/PCI/HSM アプライアンスを Microsoft SQL Server と統合します。3. SafeNet から EKM ライブラリをダウンロードしてインストールします。
Amazon Elastic Block Store のボリューム暗号化Amazon Elastic Block Store (Amazon EBS) のボリューム暗号化を SafeNet KeySecure、SafeNetProtectV、および AWS CloudHSM で使用するには、AWSMarketplace の Gemalto SafeNet 製品を参照してください。
Amazon Simple Storage Service (S3) およびSafeNet KeySecure での暗号化
SafeNet ProtectApp および SafeNet KeySecure の Amazon Simple Storage Service (Amazon S3) の暗号化を使用する方法については、SafeNet ウェブサイトの SafeNet KMIP and Amazon S3 Integration Guide を参照してください。
AWS CloudHSM に保存されたプライベートキーを使用した Apache ウェブサーバーでの SSL ターミネーションのセットアップ
SafeNet Luna HSM アプライアンスを Apache HTTP サーバーと統合すると、暗号化オペレーションがApache HTTP サーバーから SafeNet Luna HSM アプライアンスにオフロードされて、パフォーマンスが大幅に向上します。さらに、Luna HSM アプライアンスは、FIPS 140-2 認定ハードウェアセキュリティモジュール内でサーバーの高価値の SSL プライベートキーを保護して管理するため、セキュリティが強化されます。Apache の統合に必要なライブラリの詳細については、Gemalto SafeNet ウェブサイトのApache HTTP Server Integration Guide を参照してください。HSM と Apache ウェブサーバーを統合するには、OpenSSL Apache Toolkit for Luna が必要になる場合もあります。
独自のアプリケーションの構築SafeNet クライアントから提供されている API オペレーションを使用してアプリケーションを設定する方法の詳細については、SafeNet Luna SA のドキュメントで「Configured and Registered Client Using anHSM Partition」と「Integrating Luna SA with Your Application」を参照してください。
48
AWS CloudHSM Classic ユーザーガイド
HSM の使用を停止する方法通常、AWS はキーマテリアルが含まれている HSM アプライアンスをプロビジョニング解除しません。これにより、まだ使用されているキーマテリアルを誤って削除するリスクからお客様と AWS を保護します。
Important
HSM アプライアンスの使用を停止する必要がある場合は (サブスクリプションの終了時など)、HSM のコンテンツを、お客様が管理している別の HSM にバックアップするか、HSM 内に保存されたキーが不要なことを確認します。
HSM アプライアンスの使用を停止するには、以下のステップを実行します。
HSM アプライアンスの使用を停止するには
1. コントロールインスタンスから SSH 経由で HSM に接続します。<private_key_file> は、HSMのプロビジョニング時に指定した SSH のプライベート部分です。
$ ssh -i <private_key_file> manager@<hsm_ip_address>
2. 無効なパスワードを 3 回使用して HSM 管理者として HSM にログインを試みて、HSM をゼロにします。詳細については、「HSM をゼロ化する方法を教えてください。 (p. 53)」を参照してください。
3. 最初に次のコマンドを実行してすべてのログをローテーションして、HSM アプライアンスの分類を解除します。
lunash:> syslog rotate
4. すべてのログを削除します。
lunash:> syslog cleanup
5. 次のいずれかの方法を使用して、HSM のプロビジョニングを解除します。
• AWS CloudHSM コマンドラインインターフェイスツールを使用し、delete-hsm (p. 74) コマンドで HSM をプロビジョニング解除します。
• AWS CloudHSM API を使用し、DeleteHsm オペレーションで HSM をプロビジョニング解除します。詳細については、AWS CloudHSM Developer Guide を参照してください。
HSM のプロビジョニング解除で問題が発生した場合は、AWS Support Center にお問い合わせください。
お支払いがない場合、AWS はサービスを終了して HSM を再初期化する権限を留保します。
49
AWS CloudHSM Classic ユーザーガイド
SafeNet Luna SA に関するドキュメント
SafeNet Luna SA アプライアンスの設定、オペレーション、およびメンテナンスの詳細については、以下のドキュメントを参照してください。
Luna SA 5.3
Luna SA 5.3 製品に関するドキュメントLuna SA 5.1
Luna SA 5.1 製品に関するドキュメント
50
AWS CloudHSM Classic ユーザーガイドCloudTrail 内の AWS CloudHSM 情報
CloudTrail を使用した AWSCloudHSM API コールのログ記録
AWS CloudHSM は AWS CloudTrail と統合されています。AWS CloudTrail は、AWS アカウントで AWSCloudHSM によって行われたか AWS CloudHSM に代わって行われた API コールをログに記録し、指定した Amazon S3 バケットにログファイルを渡すサービスです。CloudTrail は、AWS CloudHSMAPI および CLI からの API コールをキャプチャします。CloudTrail によって収集された情報を使用して、AWSCloudHSM に対してどのようなリクエストが行われたか(リクエストの実行元 IP アドレス、実行者、実行日時など)を判断できます。CloudTrail を設定して有効にする方法などの詳細については、『AWSCloudTrail User Guide』を参照してください。
CloudTrail 内の AWS CloudHSM 情報AWS アカウントで CloudTrail のログ記録を有効にすると、AWS CloudHSM アクションに対する API 呼び出しがログファイルに記録されます。AWS CloudHSM レコードは、他の AWS サービスレコードと一緒にログファイルに記録されます。CloudTrail は、期間とファイルサイズに基づいて、新しいファイルをいつ作成して書き込むかを決定します。
各ログエントリには、誰がリクエストを生成したかに関する情報が含まれます。ログのユーザー ID 情報は、リクエストが、ルートまたは IAM ユーザーの認証情報を使用して送信されたか、ロールまたはフェデレーションユーザーの一時的な認証情報を使用して送信されたか、あるいは別の AWS サービスによって送信されたかを確認するのに役立ちます。詳細については、CloudTrail Event Reference の userIdentityフィールドを参照してください。
必要な場合はログファイルを自身のバケットに保管できますが、ログファイルを自動的にアーカイブまたは削除するにように Amazon S3 ライフサイクルルールを定義することもできます。デフォルトではAmazon S3 のサーバー側の暗号化 (SSE) を使用して、ログファイルが暗号化されます。
ログファイルの配信時にすぐにアクションを実行する場合、新しいログファイルの配信時に CloudTrail により Amazon SNS 通知を発行することを選択できます。詳細については、「Amazon SNS 通知の構成」を参照してください。
また、複数の AWS リージョンと複数の AWS アカウントからの AWS CloudHSM ログファイルを 1 つのAmazon S3 バケットに集約することもできます。詳細については、「CloudTrail ログファイルの単一のAmazon S3 バケットへの集約」を参照してください。
AWS CloudHSM ログファイルエントリの概要CloudTrail ログファイルには、複数の JSON 形式イベントで構成される 1 つ以上のログエントリが記録されます。ログエントリは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、パラメータ、アクションの日時などに関する情報を含みます。ログエントリは、特定の順序になるように生成されるわけではありません。つまり、パブリック API 呼び出しの順序付けられたスタックトレースではありません。
パスワード、認証トークン、ファイルコメント、ファイルコンテンツなどの機密情報は、ログエントリには表示されません。
次の例は、AWS CloudHSM の CloudTrail ログエントリの例を示しています。
51
AWS CloudHSM Classic ユーザーガイドAWS CloudHSM ログファイルエントリの概要
{ "Records" : [ { "userIdentity" : { "type" : "IAMUser", "principalId" : "<user_id>", "arn" : "<user_arn>", "accountId" : "<account_id>", "accessKeyId" : "<access_key_id>", "userName" : "<username>" }, "eventTime" : "<event_time>", "eventSource" : "cloudhsm.amazonaws.com", "eventName" : "CreateHsm", "awsRegion" : "<region>", "sourceIPAddress" : "<IP_address>", "userAgent" : "<user_agent>", "requestParameters" : { "iamRoleArn" : "<IAM_role_arn>", "sshKey" : "<SSH_public_key>", "syslogIp" : "<syslog_ip>", "subscriptionType" : "<subscription_type>", "subnetId" : "<subnet_id>" }, "responseElements" : { "hsmArn" : "<hsm_arn>" }, "requestID" : "<request_id>", "eventID" : "<event_id>" } ]}
52
AWS CloudHSM Classic ユーザーガイドHSM が機能していません。何をすればよいですか?
AWS CloudHSM のトラブルシューティング
AWS CloudHSM のよくある質問については、AWS CloudHSM の「よくある質問」を参照してください。
トピック• HSM が機能していません。何をすればよいですか? (p. 53)• HSM をゼロ化する方法を教えてください。 (p. 53)• 障害が発生した HSM を置き換えます。 (p. 53)
HSM が機能していません。何をすればよいですか?AWS サポートまでお問い合わせください。お客様の案件は AWS CloudHSM をサポートするチームにルーティングされます。
HSM をゼロ化する方法を教えてください。HSM はゼロ化されているか、ゼロ化されていないかの 2 つの状態のいずれかです。ゼロ化された HSM は空白であり、お客様が使用できる状態です。ゼロ化されていない場合は、キーマテリアルまたは設定がすでに含まれています。HSM でいずれかのキーを保持する必要がある場合は、ゼロ化する前に HSM をバックアップします。キー情報をバックアップする方法については、「HSM データの Luna SA Backup HSMへのバックアップと復元 (p. 44)」を参照してください。
HSM をゼロ化するには、SSH を使用して HSM に接続し、無効なパスワードを使用して管理者としてのログインを 3 回試行します。これで HSM がゼロ化されます。
lunash:> hsm login
障害が発生した HSM を置き換えます。HSM の 1 つで障害が発生した場合、次の手順を使用して、その HSM を置き換えることができます。
Note
どのコマンド例でも、aws_access_key_id、aws_secret_access_key、および aws_region が、設定ファイル (~/cloudhsm.conf) に設定済みであることを前提としています。詳細については、「設定ファイル (p. 20)」を参照してください。
1. 次の remove-hsm-from-hapg (p. 97) コマンドを使用して、障害が発生した HSM を HA パーティショングループから削除します。
This command requires SSH connectivity with the HSM. For more information, see SSH 接続 (p. 19).
$ cloudhsm remove-hsm-from-hapg --conf_file ~/cloudhsm.conf \--hsm-arn <hsm_arn> \
53
AWS CloudHSM Classic ユーザーガイドHSM の置き換え
--so-password <so_password>
パラメーターは次のとおりです。
<hsm_arn>
障害が発生した HSM の識別子。<so_password>
<hsm_dest_arn> のセキュリティ責任者のパスワード。2. 次の clone-hsm (p. 61) コマンドを使用して、HA パーティショングループのメンバーシップおよび
キーマテリアルを新しい HSM にコピーします。
このコマンドでは、コピー元とコピー先の両方の HSM に SSH 経由で接続する必要があります。詳細については、「SSH 接続 (p. 19)」を参照してください。
Warning
この clone-hsm (p. 61) コマンドは、クローン対象の HSM のクライアントでもあるインスタンスから実行しないでください。
$ cloudhsm clone-hsm --conf_file ~/cloudhsm.conf \--source-hsm-arn <hsm_source_arn> \--dest-hsm-arn <hsm_dest_arn> \--so-password <so_password>
パラメーターは次のとおりです。
<hsm_source_arn>
障害が発生した HSM と同じ HA パーティショングループに属する使用可能な HSM の識別子。これを障害が発生した HSM にすることはできません。
<hsm_dest_arn>
クローン先の新しい HSM の識別子。<so_password>
<hsm_dest_arn> のセキュリティ責任者のパスワード。
このコマンドでは、ソース HSM のパーティションごとにパスワードとクローニングドメインを入力する必要があります。
このコマンドでは、コピー元の HSM が属する HA パーティショングループから、すべてのパーティションとキーマテリアルをコピー先の HSM にコピーし、コピー先の HSM を HA パーティショングループに追加します。
54
AWS CloudHSM Classic ユーザーガイドツールの更新
AWS CloudHSM Command LineInterface Tools Reference
これは AWS CloudHSM Command Line Interface Tools Referenceです。AWS CloudHSM サービスの各コマンドの説明、構文、および使用例を示します。
トピック• AWS CloudHSMCLI ツールの更新 (p. 55)• AWS CloudHSM CLI コマンドリファレンス (p. 55)• トラブルシューティング (p. 100)
AWS CloudHSMCLI ツールの更新AWS CloudHSM CLI ツールを更新するには、インスタンスで次のコマンドを実行して、最新の安定したegg ファイルをダウンロードします。
$ wget https://s3.amazonaws.com/cloudhsm-software/CloudHsmCLI.egg
次のコマンドを実行して、インスタンス上の CLI ツールを更新します。これにより、既存のバージョンが上書きされます。
$ sudo easy_install-2.7 -s /usr/local/bin CloudHsmCLI.egg
AWS CloudHSM CLI ツールが正しくインストールされていることを確認するには、バージョン (p. 99)コマンドを実行します。
$ cloudhsm version{ "Version": "<version>"}
AWS CloudHSM CLI コマンドリファレンスすべての AWS CloudHSMCLI コマンドは、cloudhsm で始まり、その後にコマンド識別子とコマンドオプションが続きます。(例:
$ cloudhsm [command] [option] ...
AWS CloudHSM CLI でサポートされているコマンドのリストを表示するには、--help オプションをcloudhsm コマンドに渡します。
$ cloudhsm --help
55
AWS CloudHSM Classic ユーザーガイドadd-hsm-to-hapg
AWS CloudHSM CLI ツールには、以下のコマンドが含まれています。
トピック• add-hsm-to-hapg (p. 56)• clone-hapg (p. 59)• clone-hsm (p. 61)• create-client (p. 64)• create-hapg (p. 66)• create-hsm (p. 68)• delete-client (p. 71)• delete-hapg (p. 72)• delete-hsm (p. 74)• deregister-client-from-hapg (p. 76)• describe-client (p. 78)• describe-hapg (p. 79)• describe-hsm (p. 81)• get-client-configuration (p. 83)• initialize-hsm (p. 85)• list-clients (p. 88)• list-hapgs (p. 89)• list-hsms (p. 91)• modify-hsm (p. 93)• register-client-to-hapg (p. 95)• remove-hsm-from-hapg (p. 97)• バージョン (p. 99)
add-hsm-to-hapg説明HSM を高可用性 (HA) パーティショングループに追加します。HA パーティショングループに対応するパーティションが HSM で作成されます。
This command requires SSH connectivity with the HSM. For more information, see SSH 接続 (p. 19).
使用
cloudhsm add-hsm-to-hapg --hsm-arn <value> --hapg-arn <value> --so-password <value> --partition-password <value> --cloning-domain <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet]
56
AWS CloudHSM Classic ユーザーガイドadd-hsm-to-hapg
[--verbose] [--help]
オプション--hsm-arn
追加対象の HSM を識別する ARN。
必須: はい.
これは、--conf_file の hsm_arn 設定で指定できます。--hapg-arn
HSM の追加先の HA パーティショングループを識別する ARN。
必須: はい.
これは、--conf_file の hapg_arn 設定で指定できます。--so-password
The HSM security officer password. It can include upper and lowercase letters, numbers, and non-alphanumeric characters. It cannot include spaces.
Required: Yes.
This can be specified in the so_password setting in --conf_file.--partition-password
メンバーパーティションに設定するパスワード。クライアントは、このパスワードを使用してパーティショングループにアクセスします。
必須: はい
これは、--conf_file の partition_password 設定で指定できます。--cloning-domain
グループのパーティションのクローニングドメイン。これは、initialize-hsm (p. 85) コマンドで使用される --cloning-domain とは異なります。
必須: はい
これは、--conf_file の cloning_domain 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。
57
AWS CloudHSM Classic ユーザーガイドadd-hsm-to-hapg
--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力オペレーションのステータス。
{ "Status": "Addition of HSM <hsm-arn> to HAPG <hapg-arn> successful"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
関連トピック• remove-hsm-from-hapg (p. 97)
58
AWS CloudHSM Classic ユーザーガイドclone-hapg
clone-hapg説明高可用性 (HA) パーティショングループの内容を別の HA パーティショングループにコピーします。
クローニングドメインおよびパーティションのパスワードは、コピー元とコピー先の両方の HA パーティショングループで同じであることが必要です。
このコマンドでは、コピー元とコピー先の両方の HA パーティショングループで、すべての HSM とのSSH 接続を必要とします。詳細については、「SSH 接続 (p. 19)」を参照してください。
Warning
クローン対象の HA パーティショングループのクライアントでもあるインスタンスから、このコマンドを発行しないでください。
使用cloudhsm clone-hapg --src-hapg-arn <value> --dest-hapg-arn <value> --hapg-password <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--src-hapg-arn
コピー元の HA パーティショングループを識別する ARN。どちらの HA パーティショングループにも、同じクローニングドメインとパーティションパスワードが必要です。
必須: はい
これは、--conf_file の src_hapg_arn 設定で指定できます。--dest-hapg-arn
コピー先の HA パーティショングループを識別する ARN。どちらの HA パーティショングループにも、同じクローニングドメインとパーティションパスワードが必要です。
必須: はい
これは、--conf_file の dest_hapg_arn 設定で指定できます。--hapg-password
HA パーティショングループにアクセスするために使用されるパスワード。このパスワードは、コピー元とコピー先の両方の HA パーティショングループで同じであることが必要です。
必須: はい
59
AWS CloudHSM Classic ユーザーガイドclone-hapg
これは、--conf_file の partition_password 設定で指定できます。--force
安全性チェックメッセージを表示しません。
必須: いいえ
これは、--conf_file の force 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.
60
AWS CloudHSM Classic ユーザーガイドclone-hsm
--help
Displays help for the command.
Required: No.
出力オペレーションのステータス。
cloudhsmcli.hapg_cloner: Backing up existing config filescloudhsmcli.hapg_cloner: Collecting information about the HA Partition groupscloudhsmcli.hapg_cloner: Setting up a cloning environmentcloudhsmcli.hapg_cloner: Cloning the HA partition groupscloudhsmcli.hapg_cloner: Cleaning up the cloning environmentcloudhsmcli.hapg_cloner: Restoring existing config files{ "Status": "Completed cloning the HA partition group <src-hapg-arn> to the HA partition group <dest-hapg-arn>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
clone-hsm説明高可用性 (HA) パーティショングループのメンバーシップとキーマテリアルを HSM 間でコピーします。
コピー元とコピー先の両方の HSM を同じクローニングドメインで初期化する必要があります。
このコマンドでは、ソース HSM のパーティションごとにパスワードとクローニングドメインを入力する必要があります。
このコマンドでは、コピー元の HSM が属する HA パーティショングループから、すべてのパーティションとキーマテリアルをコピー先の HSM にコピーし、コピー先の HSM を HA パーティショングループに追加します。
障害が発生した HSM は、remove-hsm-from-hapg (p. 97) コマンドを使用して HA パーティショングループから削除できます。
このコマンドでは、コピー元とコピー先の両方の HSM に SSH 経由で接続する必要があります。詳細については、「SSH 接続 (p. 19)」を参照してください。
Warning
このコマンドをクローン対象の HSM のクライアントで実行すると、クライアントで実行されている HSM-backed アプリケーションが一時的に中断される場合があります。
使用
cloudhsm clone-hsm --src-hsm-arn <value> --dest-hsm-arn <value> [--force] --so-password <value> --aws-region <value>
61
AWS CloudHSM Classic ユーザーガイドclone-hsm
--aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--src-hsm-arn
コピー元の HSM を識別する ARN。
必須: はい
これは、--conf_file の src_hsm_arn 設定で指定できます。--dest-hsm-arn
コピー先の HSM を識別する ARN。
必須: はい
これは、--conf_file の dest_hsm_arn 設定で指定できます。--force
安全性チェックメッセージを表示しません。
必須: いいえ
これは、--conf_file の force 設定で指定できます。--so-password
--dest-hsm-arn のセキュリティ責任者のパスワード。
必須: はい
これは、--conf_file の so_password 設定で指定できます。--ssh-username
--dest-hsm-arn での認証に使用される SSH ユーザー名。
必須: はい
これは、--conf_file の ssh_username 設定で指定できます。--ssh-password
--dest-hsm-arn での認証に使用される SSH パスワード。
必須: --ssh-key-filename または --ssh-password のいずれか
これは、--conf_file の ssh_password 設定で指定できます。--ssh-key-filename
--dest-hsm-arn での認証に使用されるプライベート SSH キーが含まれているファイル。パブリックキーはプロビジョニング時に HSM アプライアンスにインストールされています。
必須: --ssh-key-filename または --ssh-password のいずれか
62
AWS CloudHSM Classic ユーザーガイドclone-hsm
これは、--conf_file の ssh_key_filename 設定で指定できます。--ssh-key-passphrase
-ssh-key-filename プライベートキーファイルのロックを解除するためのパスフレーズ。
必須 :-ssh-key-filename が使用されている場合。
これは、--conf_file の ssh_key_passphrase 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.
63
AWS CloudHSM Classic ユーザーガイドcreate-client
--help
Displays help for the command.
Required: No.
出力オペレーションのステータス。
cloudhsmcli.hsm_cloner: Backing up existing config filescloudhsmcli.hsm_cloner: Collecting information about the HSMscloudhsmcli.hsm_cloner: Creating partitions on the destination HSMPlease provide the password for <partition1>:Please provide the cloning domain for <partition1>:cloudhsmcli.hsm_cloner: A partition was created: <partition1_label> (<dest_partition1_ID>)Please provide the password for <partition2>:Please provide the cloning domain for <partition2>:cloudhsmcli.hsm_cloner: A partition was created: <partition2_label> (<dest_partition2_ID>)Please provide the password for <partition3>:Please provide the cloning domain for <partition3>:cloudhsmcli.hsm_cloner: A partition was created: <partition3_label> (<dest_partition3_ID>)cloudhsmcli.hsm_cloner: Setting up a cloning environmentcloudhsmcli.hsm_cloner: Replicating keys from the source HSMcloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition1_ID> to <dest_partition1_ID> successfullycloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition2_ID> to <dest_partition2_ID> successfullycloudhsmcli.hsm_cloner: Replicated keys from the partition <src_partition3_ID> to <dest_partition3_ID> successfullycloudhsmcli.hsm_cloner: Cleaning up the cloning environmentcloudhsmcli.hsm_cloner: Restoring existing config filescloudhsmcli.hsm_cloner: Cloning the client/partition configuration on the HSM{ "Status": "Completed cloning the HSM <src-hsm-arn> to the HSM <dest-hsm-arn>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
関連トピック• 障害が発生した HSM を置き換えます。 (p. 53)
create-client説明HSM クライアントを作成します。
使用cloudhsm create-client --certificate-file <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>]
64
AWS CloudHSM Classic ユーザーガイドcreate-client
[--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--certificate-file
このクライアントで使用する HSM をインストール先とする base64 エンコードされた X.509 v3 PEM証明書が含まれているファイル。詳細については、「クライアント証明書 (p. 20)」を参照してください。
必須: はい
これは、--conf_file の certificate_file 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.
65
AWS CloudHSM Classic ユーザーガイドcreate-hapg
--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力クライアントの ARN。
{ "ClientArn": "<client_arn>", "RequestId": "<request_id>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
create-hapg説明空の高可用性 (HA) パーティショングループを作成します。HA パーティショングループは、複数の物理的な HSM 間にわたるパーティションのグループです。
HSM とパーティションを HA パーティショングループに追加するには、add-hsm-to-hapg (p. 56) コマンドを使用します。
使用cloudhsm create-hapg --group-label <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--group-label
新しい HA パーティショングループのラベル。
66
AWS CloudHSM Classic ユーザーガイドcreate-hapg
必須: はい
これは、--conf_file の group_label 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
67
AWS CloudHSM Classic ユーザーガイドcreate-hsm
出力HA パーティショングループの ARN が含まれている JSON ブロック。
{ "HapgArn": "<hapg_arn>", "RequestId": "<request_id>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
関連トピック• HA パーティショングループの作成 (p. 39)
create-hsm説明初期化されていない HSM インスタンスを作成します。
create-hsm (p. 68) コマンドを使用して作成する HSM インスタンスごとに前払い料金が発生します。HSM を誤ってプロビジョニングしたために返金をリクエストする場合は、「delete-hsm (p. 74)」コマンドを使用してインスタンスを削除した上で、AWS Support Center にアクセスして新しいケースを作成し、[Account and Billing Support] を選択してください。
Important
HSM を作成してプロビジョニングするには最大 20 分かかる場合があります。HSM のステータスは、describe-hsm (p. 81) コマンドでモニタリングできます。ステータスが RUNNING に変わると、HSM を初期化する準備が完了します。
使用cloudhsm create-hsm --subnet-id <value> --ssh-public-key-file <value> --iam-role-arn <value> [--hsm-ip <value>] [--external-id <value>] [--syslog-ip <value>] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--subnet-id
HSM を配置する先の VPC 内のサブネットの識別子。
68
AWS CloudHSM Classic ユーザーガイドcreate-hsm
必須: はい
これは、--conf_file の subnet_id 設定で指定できます。--ssh-public-key-file
HSM にインストールする SSH パブリックキーが含まれているファイル。これは、HSM で管理者アカウントへのログインに使用されます。
必須: はい
これは、--conf_file の ssh_public_key_file 設定で指定できます。--iam-role-arn
AWS CloudHSM サービスが ENI の割り当てを代行することを許可する IAM ロールの ARN。
必須: はい
これは、--conf_file の iam_role_arn 設定で指定できます。--hsm-ip
HSM に必要な IP アドレス。この IP アドレスは、HSM にアタッチされている ENI に割り当てられます。
IP アドレスを指定しないと、サブネットの CIDR 範囲からランダムに IP アドレスが選択されます。
必須: いいえ
これは、--conf_file の hsm_ip 設定で指定できます。--external-id
--iam-role-arn の外部 ID (ある場合)。
必須: いいえ
これは、--conf_file の external_id 設定で指定できます。--syslog-ip
syslog モニタリングサーバーの新しい IP アドレス。AWS CloudHSM サービスでは syslog モニタリングサーバー 1 つのみがサポートされています。
Note
このオプションは、CLI バージョン 2.2015.01.22.17.26.52 以降でのみ使用できます。詳細については、「バージョン (p. 99)」を参照してください。
必須: いいえ
これは、--conf_file の syslog_ip 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
69
AWS CloudHSM Classic ユーザーガイドcreate-hsm
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力HSM の ARN。このコマンドを使用すると、アカウントに前払い料金が課金されるため、HSM の作成前に操作の確認を求めるプロンプトが表示されます。
{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
70
AWS CloudHSM Classic ユーザーガイドdelete-client
関連トピック• HSM のプロビジョニング (p. 24)
delete-client説明HSM クライアントを削除します。
使用cloudhsm delete-client --client-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--client-arn
削除対象のクライアントを識別する ARN。
必須: はい
これは、--conf_file の client_arn 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
71
AWS CloudHSM Classic ユーザーガイドdelete-hapg
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。
出力オペレーションのステータスが含まれている JSON ブロック。
{ "RequestId": <request_id>, "Status": <status>}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
delete-hapg説明高可用性 (HA) パーティショングループを削除します。HA パーティショングループを構成するパーティション、およびそれらに含まれるキーマテリアルは、このコマンドでは削除されません。
使用cloudhsm delete-hapg --hapg-arn <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--hapg-arn
削除対象の HA パーティショングループを識別する ARN。
必須: はい
これは、--conf_file の hapg_arn 設定で指定できます。--force
安全性チェックメッセージを表示しません。
72
AWS CloudHSM Classic ユーザーガイドdelete-hapg
必須: いいえ
これは、--conf_file の force 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
73
AWS CloudHSM Classic ユーザーガイドdelete-hsm
出力オペレーションのステータスが含まれている JSON ブロック。
{ "Status": <status>}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
delete-hsm説明HSM のプロビジョニングを解除します。
このコマンドを呼び出す前に HSM をゼロ化する必要があります。詳細については、「HSM をゼロ化する方法を教えてください。 (p. 53)」を参照してください。
使用
cloudhsm delete-hsm --hsm-arn <value> [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--hsm-arn
削除する HSM を識別する ARN。
必須: はい
これは、--conf_file の hsm_arn 設定で指定できます。--force
安全性チェックメッセージを表示しません。
必須: いいえ
これは、--conf_file の force 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
74
AWS CloudHSM Classic ユーザーガイドdelete-hsm
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力オペレーションのステータスが含まれている JSON ブロック。
{ "Status": "<status>"
75
AWS CloudHSM Classic ユーザーガイドderegister-client-from-hapg
}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
関連トピック• create-hsm (p. 68)
deregister-client-from-hapg説明高可用性 (HA) パーティショングループから HSM クライアントを削除します。
This command requires SSH connectivity with all HSMs in the high-availability partition group. For moreinformation, see SSH 接続 (p. 19).
使用
cloudhsm deregister-client-from-hapg --client-arn <value> --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--client-arn
クライアントを識別する ARN。
必須: はい
これは、--conf_file の client_arn 設定で指定できます。--hapg-arn
HA パーティショングループの ARN。
必須: はい
これは、--conf_file の hapg_arn 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。
76
AWS CloudHSM Classic ユーザーガイドderegister-client-from-hapg
--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力オペレーションのステータスが含まれている JSON ブロック。
{ "Status": <status>}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
77
AWS CloudHSM Classic ユーザーガイドdescribe-client
関連トピック• register-client-to-hapg (p. 95)
describe-client説明HSM クライアントに関する情報を取得します。
使用cloudhsm describe-client --client-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--client-arn
情報を取得するクライアントを識別する ARN。
必須: はい
これは、--conf_file の client_arn 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
78
AWS CloudHSM Classic ユーザーガイドdescribe-hapg
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力指定したクライアントに関する情報が含まれている JSON ブロック。
{ "Certificate": "<certificate>", "CertificateFingerprint": "<certificate_fingerprint>", "ClientArn": "<client_arn>", "Label": "<label>", "LastModifiedTimestamp": "<last_modified>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
describe-hapg説明高可用性 (HA) パーティショングループに関する情報を取得します。
使用
cloudhsm describe-hapg --hapg-arn <value>
79
AWS CloudHSM Classic ユーザーガイドdescribe-hapg
--aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--hapg-arn
情報を取得する対象の HA パーティショングループを識別する ARN。
必須: はい
これは、--conf_file の hapg_arn 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.
80
AWS CloudHSM Classic ユーザーガイドdescribe-hsm
--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力指定した HA パーティショングループに関する情報が含まれている JSON ブロック。
{ "HapgArn": "<hapg_arn>", "HapgSerial": "<hapg_serial>", "HsmsLastActionFailed": [], "HsmsPendingDeletion": [], "HsmsPendingRegistration": [], "Label": "<hapg_label>", "LastModifiedTimestamp": "<last_modified>", "PartitionSerialList": [ "<partition_serial_1>", "<partition_serial_2>" ], "State": "<state>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
describe-hsm説明HSM に関する情報を取得します。
使用
cloudhsm describe-hsm --hsm-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
81
AWS CloudHSM Classic ユーザーガイドdescribe-hsm
引数--hsm-arn
情報を取得する対象の HSM を識別する ARN。
必須: はい
これは、--conf_file の hsm_arn 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.
82
AWS CloudHSM Classic ユーザーガイドget-client-configuration
--help
Displays help for the command.
Required: No.
出力指定した HSM に関する情報が含まれている JSON ブロック。
{ "EniId": "<eni_id>", "EniIp": "<eni_ip>", "HsmArn": "<hsm_arn>", "IamRoleArn": "<iam_role_arn>", "SerialNumber": "<serial_number>", "SoftwareVersion": "<version>", "SshPublicKey": "<public_key_contents>", "Status": "<status>", "SubnetId": "<subnet_id>", "SubscriptionStartDate": "<start_date>", "SubscriptionType": "<subscription_type>", "VendorName": "<vendor>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
get-client-configuration説明クライアントの設定ファイルとサーバー証明書を取得します。このコマンドは、指定された高可用性 (HA)パーティショングループに割り当てられたすべてのクライアントで実行する必要があります。
HA パーティショングループで変更 (HSM の追加や削除など) を行った場合は、このコマンドを再発行する必要があります。
このコマンドは、ローカルシステムの特定のファイルやディレクトリに対する書き込みアクセス権を必要とします。詳細については、「必要なファイルとディレクトリの所有権の設定 (p. 18)」を参照してください。
このコマンドでは、HA パーティショングループに属するすべての HSM との SSH 接続を必要とします。詳細については、「SSH 接続 (p. 19)」を参照してください。
使用cloudhsm get-client-configuration --client-arn <value> --hapg-arns <value1 value2 ...> [--cert-directory <value>] [--config-directory <value>] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet]
83
AWS CloudHSM Classic ユーザーガイドget-client-configuration
[--verbose] [--help]
引数--client-arn
情報を取得するクライアントを識別する ARN。
必須: はい
これは、--conf_file の client_arn 設定で指定できます。--hapg-arns
クライアントに関連付けられている HA パーティショングループを識別するための ARN のリスト。リスト内の各 ARN はスペースで区切ります。
必須: はい
これは、--conf_file の hapg_arns 設定で指定できます。--cert-directory
サーバー証明書が書き込まれるローカルディレクトリ。このパラメータを指定しないと、サーバー証明書は現在の作業ディレクトリに書き込まれます。サーバー証明書は、サーバー証明書のディレクトリに置く必要があります。サーバー証明書ディレクトリの場所は、インストールされている LunaSAクライアントソフトウェアのバージョンによって異なります。クライアントソフトウェアバージョン 5.1
/usr/lunasa/cert/server
クライアントソフトウェアバージョン 5.4
/usr/safenet/lunaclient/cert/server
必須: いいえ
これは、--conf_file の cert_directory 設定で指定できます。--config-directory
Chrystoki.conf ファイルが書き込まれるローカルディレクトリ。このパラメータを指定しないと、設定は現在の作業ディレクトリに書き込まれます。Chrystoki.conf ファイルは、/etc/ ディレクトリに置く必要があります。
必須: いいえ
これは、--conf_file の config_directory 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。
84
AWS CloudHSM Classic ユーザーガイドinitialize-hsm
--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力設定ファイルと証明書が書き込まれた場所に関する情報。
The configuration file has been copied to <config-directory>The server certificate has been copied to <cert-directory>
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
initialize-hsm説明HSM の初期設定を実行します。HSM リソースが割り当て済みで、HSM を識別する Amazon リソースネーム (ARN) が生成されている必要があります。HSM インスタンスを作成するには、create-
85
AWS CloudHSM Classic ユーザーガイドinitialize-hsm
hsm (p. 68) コマンドを使用できます。HSM ARN のリストを取得するには、list-hsms (p. 91) コマンドを使用できます。
このコマンドを呼び出す前に HSM をゼロ化する必要があります。詳細については、「HSM をゼロ化する方法を教えてください。 (p. 53)」を参照してください。
This command requires SSH connectivity with the HSM. For more information, see SSH 接続 (p. 19).
Note
HSM を初期化すると、HSM セキュリティ責任者アカウント (管理者) が作成されます。このアカウントのパスワードを作成して割り当てる必要があります。パスワードを パスワードワークシート (p. 34) にメモして忘れないようにします。「パスワードワークシート (p. 34)」のコピーを印刷することをお勧めします。このコピーを使用して重要な AWS CloudHSM Classic のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。AWS では、適切な HSM セキュリティ責任者の認証情報がない場合、HSM のキーマテリアルを復旧できません。
使用
cloudhsm initialize-hsm --hsm-arn <value> --label <value> --so-password <value> --cloning-domain <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
オプション--hsm-arn
初期化する HSM を識別する ARN。
必須: はい.
これは、--conf_file の hsm_arn 設定で指定できます。--label
HSM のラベル。文字と数字のみを使用します。特殊文字は使用できません。
必須: はい.
これは、--conf_file の label 設定で指定できます。--so-password
The HSM security officer password. It can include upper and lowercase letters, numbers, and non-alphanumeric characters. It cannot include spaces.
Required: Yes.
This can be specified in the so_password setting in --conf_file.
86
AWS CloudHSM Classic ユーザーガイドinitialize-hsm
--cloning-domain
HSM のクローニングドメイン。
必須: はい.
これは、--conf_file の cloning_domain 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
87
AWS CloudHSM Classic ユーザーガイドlist-clients
Required: No.
出力オペレーションのステータスが含まれている JSON ブロック。
{ "Status": "Initialization of the HSM successful"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
関連トピック• HSM の設定 (p. 25)
list-clients説明現在のお客様に属するクライアントの識別子を取得します。
使用cloudhsm list-clients --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
88
AWS CloudHSM Classic ユーザーガイドlist-hapgs
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力クライアントを識別する ARN のリストが含まれている JSON ブロック。
{ "ClientList": [ "<client1_arn>", "<client2_arn>" ]}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
list-hapgs説明現在のお客様に属するすべての高可用性 (HA) パーティショングループの識別子を取得します。
89
AWS CloudHSM Classic ユーザーガイドlist-hapgs
使用cloudhsm list-hapgs --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
90
AWS CloudHSM Classic ユーザーガイドlist-hsms
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力高可用性パーティショングループを識別する ARN のリストが含まれている JSON ブロック。
{ "HapgList": [ "<hapg1_arn>", "<hapg2_arn>" ]}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
list-hsms説明現在のユーザーのためにプロビジョニングされたすべての HSM の識別子を取得します。
使用cloudhsm list-hsms --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
91
AWS CloudHSM Classic ユーザーガイドlist-hsms
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力HSM を識別する ARN のリストが含まれている JSON ブロック。
{ "HsmList": [ "<hsm1_arn>", "<hsm2_arn>" ]}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
92
AWS CloudHSM Classic ユーザーガイドmodify-hsm
modify-hsm説明既存の HSM インスタンスを変更します。
Important
このコマンドを使用すると、AWS CloudHSM サービスの再設定中に最大 15 分間 HSM がオフラインになる場合があります。本番稼働用の HSM を変更する場合は、AWS CloudHSM サービスが高可用性として設定されていることを確認し、このコマンドをメンテナンスウィンドウ中に実行することを検討してください。
使用
cloudhsm modify-hsm --hsm-arn <value> [--subnet-id <value>] [--iam-role-arn <value>] [--hsm-ip <value>] [--external-id <value>] [--syslog-ip <value>] [--force] --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--hsm-arn
変更する HSM を識別する ARN。
必須: はい
これは、--conf_file の hsm_arn 設定で指定できます。--subnet-id
HSM を配置する先の VPC 内の新しいサブネットの識別子。新しいサブネットは、現在のサブネットと同じアベイラビリティーゾーンに配置する必要があります。
必須: いいえ
これは、--conf_file の subnet_id 設定で指定できます。--iam-role-arn
AWS CloudHSM サービスが ENI の割り当てを代行することを許可する新しい IAM ロールの ARN。
必須: いいえ
これは、--conf_file の iam_role_arn 設定で指定できます。
93
AWS CloudHSM Classic ユーザーガイドmodify-hsm
--hsm-ip
HSM の新しい IP アドレス。この IP アドレスは、HSM にアタッチされている ENI に割り当てられます。新しい IP アドレスが属するサブネットは、前の IP アドレスのサブネットと同じアベイラビリティーゾーンにあることが必要です。
必須: いいえ
これは、--conf_file の hsm_ip 設定で指定できます。--external-id
--iam-role-arn の新しい外部 ID。
必須: いいえ
これは、--conf_file の external_id 設定で指定できます。--syslog-ip
syslog モニタリングサーバーの新しい IP アドレス。AWS CloudHSM サービスでは syslog モニタリングサーバー 1 つのみがサポートされています。
必須: いいえ
これは、--conf_file の syslog_ip 設定で指定できます。--force
安全性チェックメッセージを表示しません。
必須: いいえ
これは、--conf_file の force 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。
94
AWS CloudHSM Classic ユーザーガイドregister-client-to-hapg
--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力HSM の ARN。
{ "HsmArn": "<hsm_arn>", "RequestId": "<request_id>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
Versionこのコマンドは、CLI バージョン 2.2015.01.22.17.26.52 以降でのみ使用できます。詳細については、「バージョン (p. 99)」を参照してください。
関連トピック• create-hsm (p. 68)
register-client-to-hapg説明高可用性 (HA) パーティショングループに HSM クライアントを追加します。
HA パーティショングループで変更 (HSM の追加など) を行った場合は、このコマンドを再発行する必要があります。
95
AWS CloudHSM Classic ユーザーガイドregister-client-to-hapg
This command requires SSH connectivity with all HSMs in the high-availability partition group. For moreinformation, see SSH 接続 (p. 19).
使用
cloudhsm register-client-to-hapg --client-arn <value> --hapg-arn <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--client-arn
クライアントを識別する ARN。
必須: はい.
これは、--conf_file の client_arn 設定で指定できます。--hapg-arn
HA パーティショングループを識別する ARN。
必須: はい
これは、--conf_file の hapg_arn 設定で指定できます。--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
96
AWS CloudHSM Classic ユーザーガイドremove-hsm-from-hapg
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力オペレーションのステータスが含まれている JSON ブロック。
{ "Status": <status>}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
関連トピック• deregister-client-from-hapg (p. 76)
remove-hsm-from-hapg説明高可用性 (HA) パーティショングループから HSM を削除します。HA パーティショングループに対応するパーティションとキーマテリアルが HSM から削除されます。
このコマンドを使用して、障害が発生した HSM を HA パーティショングループから削除できます。
This command requires SSH connectivity with the HSM. For more information, see SSH 接続 (p. 19).
97
AWS CloudHSM Classic ユーザーガイドremove-hsm-from-hapg
使用cloudhsm remove-hsm-from-hapg --hsm-arn <value> --hapg-arn <value> --so-password <value> --aws-region <value> --aws-access-key-id <value> --aws-secret-access-key <value> [--aws-host <value>] [--aws-port <value>] [--conf_file <value>] [--quiet] [--verbose] [--help]
引数--hsm-arn
削除対象の HSM を識別する ARN。
必須: はい--hapg-arn
HSM の削除元の HA パーティショングループを識別する ARN。
必須: はい.
これは、--conf_file の hapg_arn 設定で指定できます。--so-password
The HSM security officer password. It can include upper and lowercase letters, numbers, and non-alphanumeric characters. It cannot include spaces.
Required: Yes.
This can be specified in the so_password setting in --conf_file.--aws-region
リージョン識別子 (us-east-2 など)。
必須: はい.
これは、--conf_file の aws_region 設定で指定できます。--aws-access-key-id
お客様のアクセスキー ID。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_access_key_id 設定で指定できます。--aws-secret-access-key
お客様のシークレットアクセスキー。詳細については、「認証 (p. 19)」を参照してください。
必須: はい.
これは、--conf_file の aws_secret_access_key 設定で指定できます。
98
AWS CloudHSM Classic ユーザーガイドバージョン
--aws-host
AWS CloudHSM Classic サービスホストをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_host 設定で指定できます。--aws-port
AWS CloudHSM Classic サービスポートをオーバーライドします。
必須: いいえ.
これは、--conf_file の aws_port 設定で指定できます。--conf_file
The path and file name of the configuration file to use. For more information, see 設定ファイル (p. 20).
Required: No.--quiet
Quiet output. Only errors are reported.
Required: No.--verbose
Verbose output.
Required: No.--help
Displays help for the command.
Required: No.
出力オペレーションのステータスが含まれている JSON ブロック。
{ "Status": "<status>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
関連トピック• add-hsm-to-hapg (p. 56)
バージョン説明AWS CloudHSM CLI ツールのバージョン情報を取得します。
99
AWS CloudHSM Classic ユーザーガイドトラブルシューティング
使用
cloudhsm version [--help]
引数--help
コマンドに関するヘルプを表示します。
必須: いいえ.
出力バージョン情報が含まれている JSON ブロック。
{ "Version": "<version>"}
AWS CloudHSM Classic コマンドラインツールは stderr のエラーを表示します。
トラブルシューティング以下のセクションでは、AWS CloudHSM CLI の使用時に発生する可能性がある一般的なエラーをいくつか示します。
トピック• RuntimeError: Luna is requesting a password. (p. 100)• The delete-hsm command appears to succeed, but the HSM is not deleted. (p. 100)
RuntimeError: Luna is requesting a password.特定のコマンドを使用すると、次のエラーメッセージが表示されます。
RuntimeError: Luna is requesting a password. This indicates that there isno persistent SSH connection to the HSM. Consult the CloudHSM CLI docs forinstructions on how to set up a persistent connection.
このエラーは、HSM との SSH 固定接続が必要なコマンド (initialize-hsm (p. 85) など) を使用すると発生します。SSH 固定接続については、「SSH 接続 (p. 19)」を参照してください。
The delete-hsm command appears to succeed, but theHSM is not deleted.このエラーは、delete-hsm (p. 74) コマンドを使用して、ゼロ化されていない HSM を削除すると発生します。そのような場合かどうかを判断するには、delete-hsm (p. 74) コマンドの発行後に、describe-hsm (p. 81) コマンドを使用して HSM に関する情報を取得します。StatusDetails フィールドに""The CloudHSM must be zeroized before it can be deleted."" のようなメッセージが含ま
100
AWS CloudHSM Classic ユーザーガイドThe delete-hsm command appears tosucceed, but the HSM is not deleted.
れる場合は、HSM をゼロ化する必要があります。HSM をゼロ化する方法の詳細については、「HSM をゼロ化する方法を教えてください。 (p. 53)」を参照してください。
101
AWS CloudHSM Classic ユーザーガイド
AWS CloudHSM の制限次のリストに AWS CloudHSM サービスの制限を示します。特に明記しない限り、これらの制限は AWSアカウントごとのリージョン別に適用されます。
• HSM アプライアンス: 3• 高可用性パーティショングループ: 20• クライアント: クライアント数に対する明示的な制限はありません。ただし、SafeNet では 1000 件を超
える同時クライアント接続はテストされていません。詳細については、SafeNet Luna SA のドキュメントで「Connections Appliance-Limits」を参照してください。
この制限の引き上げをリクエストするには、AWS サポートセンターの サービス上限緩和フォーム を使用します。
102
AWS CloudHSM Classic ユーザーガイド手動での開始方法
付録以下は、AWS CloudHSM User Guide の付録です。AWS CloudHSM の一部のオペレーションおよび使用に役立つ追加情報を提供します。
トピック• 手動での開始方法 (p. 103)• 1 つの証明書を使用した AWS CloudHSM への複数のクライアントインスタンスの接続 (p. 111)• サンプルアプリケーション (p. 112)• AWS CloudHSM アップグレードガイド (p. 114)
手動での開始方法以下のトピックでは、CLI を使用しない HSM のプロビジョニング、初期化、および開始の方法について説明します。
トピック• 手動での HSM のプロビジョニング (p. 103)• 手動での HSM の初期化 (p. 103)• 高可用性 (p. 105)
手動での HSM のプロビジョニングHSM をプロビジョニングするには、以下の情報が必要です。
• HSM のプロビジョニングを行うプライベートサブネットの識別子。• AWS CloudHSM IAM ロールの ARN。• SSH パブリックキー。詳細については、「SSH キーの生成 (p. 13)」を参照してください。
Important
プロビジョニングする HSM インスタンスごとに前払い料金が発生します。HSM を誤ってプロビジョニングしたために返金をリクエストする場合は、インスタンスを削除した上で、AWSSupport Center にアクセスし、新しいケースを作成して [アカウントおよび請求サポート] を選択してください。AWS CloudHSM サービスを無料で試す場合は、2 週間のトライアルをリクエストできます。無料トライアルの詳細については、「無料トライアル」を参照してください。
手動での HSM の初期化HSM を手動で初期化して設定するには
HSM を初期化するには、次の手順に従います。必要に応じて、HSM ごとに繰り返します。
1. 必要に応じて、SSH プライベートキーファイルをコントロールインスタンスにコピーします。これは、HSM のプロビジョニングに使用したキーのプライベート部分です。詳細については、「プライベートキーのコピー (p. 15)」を参照してください。
103
AWS CloudHSM Classic ユーザーガイド手動での HSM の初期化
2. コントロールインスタンスから、SSH 経由で HSM アプライアンスに接続します。<private_key_file> は、HSM のプロビジョニング時に指定した SSH キーのプライベート部分です。
$ ssh -i <private_key_file> manager@<hsm_ip_address>
3. (オプション) 次のコマンドを実行してマネージャーのパスワードを設定します。この手順は省略可能です。必要に応じて、SSH キーペアを引き続き使用して SSH 経由で HSM に接続できます。
lunash:> user password manager
新しいパスワードを 2 回入力するよう求められます。新しい管理者パスワードを パスワードワークシート (p. 34) にメモしておきます。
4. status date コマンドで HSM のタイムゾーン、日付、および時刻を確認します。
lunash:> status date
Fri Feb 7 20:09:20 UTC 2014
Command Result : 0 (Success)
タイムゾーンが正しくない場合は、sysconf timezone set コマンドでタイムゾーンを設定します。日付や時刻が正しくない場合は、sysconf time コマンドで設定します。詳細については、SafeNet Luna SAのドキュメントで「Set System Date and Time」を参照してください。
Note
AWS では、UTC タイムゾーンを使用して各 HSM の時刻を設定します。これは、AmazonLinuxAMI のデフォルト設定でもあります。HSM クライアントで UTC 以外のタイムゾーンを使用する場合にのみタイムゾーンを変更します。タイムゾーンを変更する場合は、システムの日付と時刻を設定する前に行う必要があります。そうしないと、タイムゾーンの変更により、設定した時刻が調整されます。
5. 次のコマンドを実行して HSM を初期化します。
lunash:> hsm init -label <hsm_label>
<hsm_label> の名前は、スペースや特殊文字を使用しない一意のものであることが必要です。
Note
AWS が推奨するように、複数の HSM アプライアンス間で高可用性とロードバランシングを使用する場合は、「高可用性とロードバランシング (p. 36)」で追加の手順を参照してください。
HSM を初期化すると、HSM のキーと暗号ドメイン全体が完全に削除されます。HSM の初期化後に、既存のキーはすべて破棄されます。
を初期化して、HSM セキュリティ責任者アカウント (別称「HSM 管理者」) のパスワードを設定します。忘れないように パスワードワークシート (p. 34)にセキュリティ責任者のパスワードを記録します。「パスワードワークシート (p. 34)」のコピーを印刷することをお勧めします。このコピーを使用して重要な AWS CloudHSM Classic のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。AWS では、適切な HSM セキュリティ責任者の認証情報がない場合、HSM のキーマテリアルを復旧できません。
6. HSM サーバーのキーペアを作成します。これにより、パブリックキーから証明書が生成されます。
104
AWS CloudHSM Classic ユーザーガイド高可用性
lunash:> sysconf regenCert
7. 次のコマンドを実行して、HSM アプライアンスと NTLS インターフェイスの間に関連付けを作成します。
lunash:> ntls bind eth0
8. 以下のコマンドで、HSM 管理者パスワードを使用して HSM にログインします。次に、パーティションを作成します。
lunash:> hsm login
lunash:> partition create -partition <partition_name>
<partition_name> の名前は、スペースや特殊文字を使用しない一意のものであることが必要です。
9. プロンプトが表示されたら、「proceed」と入力します。10. プロンプトが表示されたら、新しいパーティションのパスワードを指定します。パーティションの名
前とパスワードを パスワードワークシート (p. 34) に記録し、以下の場合に使用します。
• Luna シェル経由でパーティション管理タスクを実行する管理者を認証する。• HSM を使用するクライアントアプリケーションを認証する。
高可用性以下のトピックでは、CLI を使用しないで HSM の高可用性を実装する方法について説明します。
トピック• 高可用性の設定 (p. 105)• 高可用性フェイルオーバーと自動復旧 (p. 109)• HSM の復旧 (p. 110)
高可用性の設定HSM ごとに高可用性 (HA) とロードバランシングを個別に設定するには、次の手順を実行します。
HA の冗長性とロードバランシングの設定
1. HA グループで使用する HSM を含むネットワークを設定します。2. コントロールインスタンスから SSH 経由で HSM に接続します。<private_key_file> は、HSM
のプロビジョニング時に指定した SSH キーのプライベート部分です。
$ ssh -i <private_key_file> manager@<hsm_ip_address>
3. hsm showPolicies コマンドを発行して、HSM に必要なポリシー設定を表示します。
lunash:> hsm showPoliciesHSM Label: <hsm_label>
Serial #: <hsm_serial>
105
AWS CloudHSM Classic ユーザーガイド高可用性
Firmware: 6.2.1
The following capabilities describe this HSM, and cannot be altered except via firmware or capability updates.
Description Value=========== =====
Enable cloning Allowed ...Enable network replication Allowed ...
The following policies describe the current configuration of this HSM and may by changed by the HSM Administrator.
Changing policies marked "destructive" will zeroize (erase completely) the entire HSM.Description Value Code Destructive =========== ===== ==== ===========.Allow cloning On 7 Yes..Allow network replication On 16 No...
Command Result : 0 (Success)
以下のポリシーの値をメモしておきます。
• クローニングを有効にする• ネットワークのレプリケーションを有効にする• クローニングを許可する• ネットワークのレプリケーションを許可する
これらのポリシーのいずれかが [Allowed] に設定されていない場合は、hsm changePolicy コマンドで変更します。
lunash:> hsm changePolicy -policy <policy_code> -value <policy_value>
Note
ハードウェアトークンへのクローニングは、HSM に設定されているバックアップ方法です。HA グループ内のすべての HSM は同じバックアップ方法を使用する必要があります。
4. HSM を共通のクローニングドメイン内に初期化します。パスワードで認証するアプライアンスの場合は、同じクローニングドメインを共有する必要があります。
Warning
HSM を初期化すると、HSM のキーと暗号ドメイン全体が完全に削除されます。HSM の初期化後に、既存のキーはすべて破棄されます。
106
AWS CloudHSM Classic ユーザーガイド高可用性
Note
• HSM アプライアンスを HSM クライアントの設定 (p. 28) で設定済みである場合は、HA のHSM アプライアンスを以下のステップで再設定できます。
• 3 つの値は必須ですが、コマンドラインで入力する必要があるのは HSM のラベル (-label) のみです。パスワードとクローニングドメインをコマンドラインで入力した場合は、コンピュータ画面に表示されるだけでなく、後でコンソールや ssh セッションバッファでスクロールして戻った場合にも表示されるため、すべてのユーザーに見えます。パスワードとクローニングドメインを省略すると、これらを入力することを Luna シェルから求められ、入力した内容は ******** 文字で隠されます。セキュリティ上の観点から、こちらの方法をお勧めします。さらに、各文字列を再入力するよう求められるため、入力した文字列が意図したものであることを確認できます。
lunash:> hsm -init -label <hsm_label>> Please enter a password for the security officer> ********Please re-enter password to confirm:> ********Please enter the cloning domain to use for initializing thisHSM (press <enter> to use the default domain):> ********Please re-enter domain to confirm:> ********CAUTION: Are you sure you wish to re-initialize this HSM?All partitions and data will be erased.Type 'proceed' to initialize the HSM, or 'quit' to quit now.> proceed'hsm - init' successful.
5. HSM ごとに、次の手順を実行します。
a. HSM 管理者 (セキュリティ責任者) として HSM にログインします。
lunash:> hsm login
Please enter the HSM Administrators' password: > ***********
'hsm login' successful.
Command Result : 0 (Success)
b. パーティションを作成します. プロンプトが表示されたら、「proceed」入力して、パーティションのパスワードを入力します。パーティションのパスワードとクローニングドメインは、同じ HA グループに属するすべてのパーティションに共通であることが必要です。
lunash:> partition create -partition <partition_name> -domain <cloning_domain>
Please ensure that you have purchased licenses for at least this number of partitions: 3
If you are sure to continue then type 'proceed', otherwise type 'quit'
> proceedProceeding...
Please enter a password for the partition: > **********
107
AWS CloudHSM Classic ユーザーガイド高可用性
Please re-enter password to confirm: > **********
'partition create' successful.
Command Result : 0 (Success)
<partition_name> はスペースや特殊文字を使わない一意の名前であることが必要です。c. パーティションのシリアル番号とパスワードをメモし、安全な場所に保存します。
lunash:> partition show
Partition SN: <partition1_serial> Partition Name: <partition1_name> Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=102701, Used=0, Free=102701 Partition Object Count: 0
Partition SN: <partition2_serial> Partition Name: <partition2_name> Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=102701, Used=0, Free=102701 Partition Object Count: 0
Command Result : 0 (Success)
d. 「HSM クライアントの設定 (p. 28)」で説明しているように、通常のクライアントのセットアップに進みます。
e. HA グループに追加するパーティションごとにクライアントコンピュータを登録します。各 HSMで、パーティションを対応するクライアントに割り当てます。HA グループ内の HSM ごとに同じ操作を繰り返します。
lunash:> client assignPartition -client <client_name> -partition <partition1_name>lunash:> client assignPartition -client <client_name> -partition <partition2_name>
6. クライアントで、vtl haAdmin newGroup コマンドを使用して新しい HA グループを作成します。このグループではプライマリパーティションとして partition1 を使用します。
Important
Windows クライアントでは、次のコマンドを管理者として実行する必要があります。これを行うには、cmd.exe ウィンドウを右クリックし、[Run as Administrator] を選択します。
>vtl haAdmin newGroup -label <partition_group_label> -serialNum <partition1_serial> -password <partition1_password>
New group with label "<partition_group_label>" created at group number <partition_group_serial>.Group configuration is: HA Group Label: <partition_group_label> HA Group Number: <partition_group_serial>
108
AWS CloudHSM Classic ユーザーガイド高可用性
HA Group Slot #: <slot_number> Synchronization: enabled Group Members: <partition1_serial> Standby members: <none> In Sync: yes
新しい HA グループを作成すると、vtl ユーティリティでグループのシリアル番号が作成されます。7. Chrystoki.conf (Linux/UNIX)/crystoki.ini (Windows) ファイルに新しいセクションが追加されます。
VirtualToken = {VirtualToken00Members = <partition1_serial>;VirtualToken00SN = <partition_group_serial>;VirtualToken00Label = <partition_group_label>;}
Important
Chrystoki.conf/crystoki.ini ファイルを変更しないでください。8. vtl haAdmin addMember コマンドを使用して、HA グループに別のメンバー (2 番目のアプライアンス
の Partition2) を追加します。
Important
Windows クライアントでは、次のコマンドを管理者として実行する必要があります。これを行うには、cmd.exe ウィンドウを右クリックし、[Run as Administrator] を選択します。
>vtl haAdmin addMember -group <partition_group_serial> -serialNum <partition2_serial> -password <partition2_password>
Member <partition2_serial> successfully added to group <partition_group_serial>.New group configuration is: HA Group Label: <partition_group_label> HA Group Number: <partition_group_serial> HA Group Slot #: <slot_number> Synchronization: enabled Group Members: <partition1_serial>, <partition2_serial> Standby members: <none> In Sync: yes
Please use the command 'vtl haAdmin -synchronize' when you are ready to replicate data between all members of the HA group. (If you have additional members to add, you may wish to wait until you have added them before synchronizing to save time by avoiding multiple synchronizations.)
9. 次のコマンドを使用してセットアップを確認します。次に、クライアントアプリケーションで HSMを指し、割り当てた HA グループラベルでその HSM を参照します。
>vtl haAdmin show
高可用性フェイルオーバーと自動復旧次の手順では、Luna SA クライアントツールの一部である configurator および vtl アプリケーションを使用します。これらのアプリケーションの場所は、クライアントのオペレーティングシステムによって異なります。次のパスをコマンドに含めるか、PATH 環境変数に追加する必要があります。
109
AWS CloudHSM Classic ユーザーガイド高可用性
Linux
/usr/safenet/lunaclient/bin/
Windows
%ProgramFiles%\SafeNet\LunaClient\bin\
高可用性フェイルオーバーの設定
AWS および SafeNet では、デフォルトの 20 秒のフェイルオーバータイムアウトを使用することをお勧めします。これは、次のコマンドを実行して設定できます。
>configurator setValue -s "LunaSA Client" -e ReceiveTimeout -v <milliseconds>
自動復旧の有効化
自動復旧 (autoRecovery) はデフォルトでは無効になっています。
autoRecovery を有効にするには
• autoRecovery を有効にするには、次のコマンドを実行します。
>vtl haAdmin -autoRecovery -retry <count>
再試行間隔の設定
再試行間隔を設定するには
• 再試行間隔を設定するには、次のコマンドを実行します。
>vtl haAdmin -autoRecovery -interval <seconds>
HSM の復旧このセクションでは、クライアントが HA グループ内の HSM の 1 つから切断された場合に、HSM を復旧する方法について説明します。ネットワーク接続が失われた場合、再試行期間が過ぎると、HSM クライアントは HSM に再接続する試行を完全に停止します。再試行期間は number-of-retries * retry-intervalであり、デフォルト/推奨の設定は合計 10 分で、60 秒ごとに再試行を 10 回繰り返します。再試行期間を超えると、HSM クライアントで切断された HSM が HA グループから削除されます。復旧は手動で行う必要があります。HSM を復旧するには、次の手順に従います。
HSM を復旧するには、HSM と切断されたクライアントから vtl haAdmin recover コマンドを実行します。
vtl haAdmin recover –group <group_label> -serialNum <partition_serial>
Important
HA グループのメンバー間では、手動で再同期しないでください。詳細については、「損失と復旧のベストプラクティス (p. 37)」を参照してください。
110
AWS CloudHSM Classic ユーザーガイド1 つの証明書を使用した AWS CloudHSM への複数のクライアントインスタンスの接続
1 つの証明書を使用した AWS CloudHSM への複数のクライアントインスタンスの接続
AWS CloudHSM で複数のサーバーを使用する場合、通常、各サーバーはそのインスタンスの IP アドレスを使用して一意の証明書を生成し、この証明書を AWS CloudHSM に登録します。このインスタンスが HSM アプライアンスにアクセスできるようにするには、追加の手順を実行する必要があります。ただし、HSM クライアント設定を含む AMI を作成するか、Amazon S3 バケットを作成することで、サーバーごとに固有の証明書を作成せずに済みます。これらの方法のいずれかを Auto Scaling グループと共に使用して、クライアントインスタンスをスケールアップ/ダウンできます。これにより、AWS CloudHSM と統合されたスケーラブルなサービスレイヤーを用意できます。
トピック• HSM クライアント設定を含む AMI を作成する (p. 111)• Amazon S3 バケットとロールを作成する (p. 112)
HSM クライアント設定を含む AMI を作成するクライアント設定を含む AMI を作成した後、その AMI から複数のインスタンスを作成します。HSM クライアントで証明書を作成するときは、IP アドレスではなく名前を使用できます。また、証明書を再作成または変更することなく、同じ AMI から複数のインスタンスを作成できます。
Note
HSM クライアントで証明書を作成するときに IP アドレスの代わりに名前を使用する場合は、HSM アプライアンスに登録したクライアント名と正確に一致することを確認してください。
クライアント設定を含む AMI を作成し、HSM クライアントを準備するには
1. HSM クライアントで次のコマンドを実行します。ここで、ClientCertName は HSM クライアントで証明書に選択した名前です。
C:\Program Files\LunaSA>vtl createCert -n ClientCertNamePrivate Key created and written to: C:\Program Files\LunaSA\cert\client\ClientCertNameKey.pemCertificate created and written to: C:\Program Files\LunaSA\cert\client\ClientCertName.pem C:\Program Files\LunaSA>pscp "%programfiles%\LunaSA\cert\client\ClientCertName.pem" [email protected]:[email protected]'s password: ClientCertName.pem | 1 kB | 1.1 kB/s | ETA: 00:00:00 | 100%
2. HSM で次のコマンドを実行します。ここで、ClientName は HSM クライアントの名前で、ClientCertName は証明書の名前です。
[hsm6105.iad6] lunash:>c reg -c ClientName -h ClientCertName 'client register' successful. Command Result : 0 (Success)[hsm6105.iad6] lunash:>c l registered client 1: ClientName
111
AWS CloudHSM Classic ユーザーガイドAmazon S3 バケットとロールを作成する
3. 上記の手順を完了したら、クライアント設定を含む AMI を作成し、その AMI から 1 つ以上のAmazon EC2 インスタンスを作成します。各 Amazon EC2 インスタンスは同じ証明書を使用して HSM アプライアンスに接続でき、Auto Scaling グループから起動されたインスタンスは AWSCloudHSM への安全な接続を確立できます。
AMI の作成の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「独自の AMIの作成」を参照してください。
AMI からのインスタンスの作成の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「インスタンスの作成」を参照してください。
Amazon S3 バケットとロールを作成するAMI を作成しない場合は、証明書とキーを含む Amazon S3 バケットを作成できます。このバケットへの読み取り専用アクセスを許可するポリシーをアタッチしたロールを作成し、そのロールを使用してアプリケーション (Auto Scaling を含む) のインスタンスを起動します。次に、このインスタンスで Amazon S3からファイルにアクセスするスクリプトを記述します。
Amazon S3 バケットとロールを作成するには
1. Amazon S3 バケットを作成します。詳細については、Amazon Simple Storage Service 入門ガイド の「バケットの作成」を参照してください。
2. Amazon S3 バケットに対するアクセス権限を変更して、必要最小限のユーザーに付与されるようにします。
3. 証明書を Amazon S3 バケットにアップロードします。4. アプリケーションのロールを作成します。詳細については、IAM ユーザーガイド の「IAM ロールの作
成」を参照してください。5. ロールの作成中に、Amazon S3 バケットへの読み取り専用アクセスを許可するようにロールのポリ
シーを変更します。たとえば、"Resource": ["arn:aws:S3:::bucket/*"] にします。6. アプリケーションの起動時にそのロールを使用します。7. アプリケーションインスタンスで、Amazon S3 バケットから証明書ファイルをダウンロードするスク
リプトを記述します。
これにより、証明書を随時更新できます。また、AMI を保護して認証情報の漏洩を防ぐ方法に頭を悩ます必要もありません。
Amazon S3 バケットでの IAM ロールの使用の詳細については、AWS セキュリティブログの「IAM ロールを使用した EC2 インスタンスへの AWS 以外の認証情報の配布」または AWS SDK for Java DeveloperGuide の「Amazon EC2 での IAM ロールを使用した AWS リソースへのアクセス権限の付与」を参照してください。
サンプルアプリケーションSafeNet Luna 製品に含まれている API を使用すると、アプリケーションで HSM を使用できます。HSMを使用するアプリケーションを C および Java でそれぞれ記述した例を以下に示します。
トピック• C を使用したサンプルアプリケーション (p. 113)• Java を使用したサンプルアプリケーション (p. 113)
112
AWS CloudHSM Classic ユーザーガイドC を使用したサンプルアプリケーション
C を使用したサンプルアプリケーション次の手順では、SafeNet PKCS#11 ライブラリを使用して文字列の暗号化と復号を行い、HSM を使用して暗号化オペレーションを行うサンプルプログラムを構築する方法を示します。サンプルのソースコードは、C プログラミング言語で記述されています。
サンプル C アプリケーションを構築するには
1. これまでのセクションの説明に従って、VPC 内のインスタンスに SafeNet クライアントおよび証明書をインストールします。
2. サンプルのソースコードをダウンロードします。3. UNIX/Linux で、以下のことを行います。
a.$ mkdir Sample
b.$ mv P11Sample.zip Sample
c.$ cd Sample/
d.$ unzip P11Sample.zip
e.$ more README.txt
4. README.txt ファイルの手順に従って、make と gcc のインストール、SfntLibPath 環境変数の設定、サンプルアプリケーションの構築と実行を行います。
Java を使用したサンプルアプリケーション次の手順では、単一の JCA/JCE サービスプロバイダーで設定される Luna JSP を使用して、Java ベースのサンプルアプリケーションを構築する方法を示します。このアプリケーションでは、SafeNet Luna 製品を使用して安全な暗号化オペレーションを行います。
Luna JSP には、Luna プロバイダーの使い方を示す複数のサンプルアプリケーションが付属しています。これらのサンプルアプリケーションを SafeNet クライアントソフトウェアと一緒にインストールします。
サンプルアプリケーションには詳細なコメントが含まれています。詳細については、SafeNet Luna SA のドキュメントで「Luna JSP」を参照してください。
まだインストールしていない場合は、Java 開発環境をクライアントインスタンスにインストールする必要があります。Amazon Linux インスタンスで、次のコマンドを実行します。
$ sudo yum install java-devel
Java アプリケーションをコンパイルして実行するには
1. workspaces ディレクトリを作成し、そのフォルダに移動します。
$ mkdir ~/workspaces
$ cd ~/workspaces
2. Java サンプルコードを workspaces フォルダにコピーします。
113
AWS CloudHSM Classic ユーザーガイドAWS CloudHSM アップグレードガイド
$ cp -r /usr/safenet/lunaclient/jsp/ luna
サンプルファイルのツリーが ~/workspaces/luna フォルダにコピーされます。3. ディレクトリを luna サンプルフォルダに変更します。
$ cd luna/samples
4. Java サンプルコードで HSM パーティションのパスワードを更新します。すべてのサンプルで、パーティションのパスワードとして userpin が使用されています。サンプルコードで使用されているすべての userpin を見つけ、実際のパーティションのパスワードに置き換える必要があります。
5. サンプルコードをコンパイルします。
$ javac -classpath .:../lib/LunaProvider.jar ./com/safenetinc/luna/sample/*.java
6. LunaProvider を java.security ファイルに追加します。
a. テキストエディタで ファイルを開きます。
$ sudo vi $JAVA_HOME/lib/security/java.security
b. 最後の security.provider エントリに続けて次の行を追加します。<priority_order> を必要な優先度に置き換えます。
security.provider.<priority_order>=com.safenetinc.luna.provider.LunaProvider
7. 目的の例を実行します。次のコマンドでは KeyStoreLunaDemo 例が実行されます。
$ java -Djava.library.path=../lib/ -classpath .:../lib/LunaProvider.jar:../lib/libLunaAPI.so com.safenetinc.luna.sample.KeyStoreLunaDemo
詳細については、SafeNet Luna SA ドキュメントの以下のトピックを参照してください。
• Luna Java セキュリティプロバイダー (Luna JSP)• Linux のインストール• Java
AWS CloudHSM アップグレードガイドこのガイドの情報を使用して、AWS CloudHSM Luna SA HSM (アプライアンス) およびクライアントソフトウェアと、HSM ファームウェアをアップグレードします。
Note
このガイドに示しているアップグレードパスは、AWS CloudHSM がサポートしているアップグレードのみです。このガイドに記載されていないソフトウェアまたはファームウェアのバージョンは、サポートされていません。別のファームウェアまたはソフトウェアバージョンが必要な場合は、AWS Support Center でサポートケースを開いてください。
トピック• HSM ソフトウェアのアップグレード (p. 115)• HSM ファームウェアのアップグレード (p. 119)
114
AWS CloudHSM Classic ユーザーガイドHSM ソフトウェアのアップグレード
HSM ソフトウェアのアップグレード次の手順に従って、AWS CloudHSM Luna SA HSM (アプライアンス) ソフトウェアを最新バージョン5.3.13 にアップグレードします。アップグレードが完了したら、http://cloudhsm-safenet-docs-5.3.s3-website-us-east-1.amazonaws.com/ にある Luna SA バージョン 5.3 の SafeNet 製品ドキュメントを使用してください。
続行する前に、発生する可能性がある次の問題に注意してください。
• NTLS 接続に使用されるクライアントの名前で、その 8 文字目に大文字の T ("T") がある場合、クライアントはアップグレード後に動作しません。この問題を回避するには、アップグレードの実行前にクライアントの名前を変更してください。
• HSM アプライアンスの syslog 設定が失われます。アップグレードを完了したら、[email protected] 宛てに E メールを送信して AWS CloudHSM チームにお知らせください。チームが syslog の設定を更新します。
Luna SA HSM (アプライアンス) ソフトウェアバージョン 5.3.13 にアップグレードするには
1. Luna SA クライアントソフトウェアをバージョン 5.4 にアップグレードします (p. 115)。2. HSM 上のすべてのキーマテリアルを別の HSM またはバックアップ HSM にバックアップしま
す (p. 44)。3. Luna SA アプライアンスソフトウェアをバージョン 5.1.X から 5.1.5 にアップグレードしま
す (p. 116)。4. Luna SA アプライアンスソフトウェアをバージョン 5.1.5 または 5.3.X から 5.3.10 にアップグレード
します (p. 117)。5. Luna SA アプライアンスソフトウェアをバージョン 5.3.10 から 5.3.13 にアップグレードしま
す (p. 118)。
クライアントソフトウェアを 5.4 にアップグレードするLuna SA クライアントソフトウェアをバージョン 5.4 にアップグレードするには、オペレーティングシステムに応じた適切な手順に従います。HSM を使用するすべてのクライアントに対してこれらの手順を実行します。
Linux でクライアントソフトウェアをアップグレードするには
1. HSM を使用しているすべてのアプリケーションとサービスを停止します。2. root として /usr/lunasa/bin/uninstall.sh を実行して、クライアントソフトウェアの既存のバージョンを
アンインストールします。
設定ファイルは /etc/Christoki.conf.rpmsave、証明書は /usr/lunasa/cert ディレクトリに保持されています。これらのファイルを削除しないでください。
3. https://s3.amazonaws.com/cloudhsm-safenet-client/SafeNet-Luna-Client-5-4-9.zip からクライアントソフトウェアパッケージをダウンロードし、アーカイブからファイルを抽出します。
4. root として SafeNet-Luna-Client-5-4-9/linux/64/install.sh を実行し、[Luna SA] オプションを選択します。デフォルトでは、クライアントソフトウェアは元のバージョンとは異なるディレクトリにインストールされます。
5. /usr/lunasa/cert から /usr/safenet/lunaclient/cert ディレクトリに元の証明書を移動します。
6. /etc/Christoki.conf ファイルで、以下のエントリを編集します。新しいインストール場所に合わせてパスを変更します。たとえば、ClientCertFile の元の値が /usr/lunasa/cert/client/linux_client.pem の場合は、この値を /usr/safenet/lunaclient/cert/client/linux_client.pem を変更します。
115
AWS CloudHSM Classic ユーザーガイドHSM ソフトウェアのアップグレード
ClientCertFile
前の手順で移動したクライアント証明書ファイルのパスに設定します。ClientPrivKeyFile
前の手順で移動したクライアントプライベートキーファイルのパスに設定します。ServerCAFile
前の手順で移動したサーバー CA ファイルのパスに設定します。SSLConfigFile
/usr/safenet/lunaclient/bin ディレクトリの openssl.cnf ファイルのパスに設定します。
7. /usr/safenet/lunaclient/bin ディレクトリを指し示すように、必要に応じて PATH 環境変数を更新します。
Windows でクライアントソフトウェアをアップグレードするには
1. HSM を使用しているすべてのアプリケーションとサービスを停止します。2. 既存のクライアントソフトウェアがバージョン 5.4.1 または 5.4.2 の場合は、次の手順に進みます。
既存のクライアントソフトウェアが 5.4.1 より低いバージョンの場合は、Windows の [Control Panel]から [Programs and Features] ユーティリティを使用して、クライアントソフトウェアとパッチをアンインストールします。設定ファイル (chrystoki.ini) と証明書は Program Files\LunaSA ディレクトリに保持されます。これらのファイルを削除しないでください。
3. https://s3.amazonaws.com/cloudhsm-safenet-client/SafeNet-Luna-Client-5-4-9.zip からクライアントソフトウェアパッケージをダウンロードし、アーカイブからファイルを抽出します。
4. [SafeNet-Luna-Client-5-4-9\win\64\LunaClient.msi] を実行して、[Luna SA] オプションを選択します。デフォルトでは、クライアントソフトウェアは元のバージョンとは異なるディレクトリにインストールされます。既存の設定ファイルと証明書は元のディレクトリに保持されます。
5. C:\Program Files\LunaSA\cert から C:\Program Files\SafeNet\LunaClient\cert ディレクトリに元の証明書を移動します。
6. 元のファイル (chrystoki.ini) から新しいファイル (C:\Program Files\SafeNet\LunaClient\chrystoki.ini) に次のエントリをコピーします。新しいインストール場所に合わせてパスを変更します。たとえば、ClientCertFile の元の値が C:\Program Files\LunaSA\cert\client\windows_client.pem の場合は、この値を C:\Program Files\SafeNet\LunaClient\cert\client\windows_client.pem を変更します。
ClientCertFile
前の手順で移動したクライアント証明書ファイルのパスに設定します。ClientPrivKeyFile
前の手順で移動したクライアントプライベートキーファイルのパスに設定します。すべての ServerName* エントリすべての ServerPort* エントリ
7. C:\Program Files\SafeNet\LunaClient\ ディレクトリを指し示すように、必要に応じて PATH環境変数を更新します。
アプライアンスソフトウェアを 5.1.5 にアップグレードするLuna SA アプライアンスソフトウェアをバージョン 5.1.X からバージョン 5.1.5 にアップグレードするには、HSM アプライアンスに IP 接続できるクライアントインスタンスで、次の手順を実行します。
116
AWS CloudHSM Classic ユーザーガイドHSM ソフトウェアのアップグレード
Luna SA アプライアンスソフトウェアをアップグレードするには
1. HSM を使用しているすべてのアプリケーションとサービスを停止します。2. https://s3.amazonaws.com/cloudhsm-software/630-010165-018_REVA.tar から Luna SA アプライア
ンスソフトウェアアップグレードパッケージをダウンロードし、アーカイブからファイルを抽出します。
3. 次のコマンドを使用して、lunasa_update-5.1.5-2.spkg ファイルを HSM アプライアンスにコピーします。<private_key_file> は、HSM のプロビジョニング時に提供した SSH キーのプライベート部分です。
$ scp -i <private_key_file> lunasa_update-5.1.5-2.spkg manager@<hsm_ip_address>:
4. 次のコマンドを使用して、HSM アプライアンスに接続し、ログインします。
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
5. 次のコマンドを使用して、Luna SA アプライアンスのソフトウェア更新を検証し、インストールします。<auth_code> に使用する値は、アーカイブ (630-010165-018_REVA.tar) に含まれるファイル (lunasa_update-5.1.5-2.auth) にあります。
lunash:> package verify lunasa_update-5.1.5-2.spkg -authcode <auth_code>
lunash:> package update lunasa_update-5.1.5-2.spkg -authcode <auth_code>
6. 次のコマンドを使用して、HSM アプライアンスを再起動します。
lunash:> sysconf appliance reboot
アプライアンスソフトウェアを 5.3.10 にアップグレードするLuna SA アプライアンスソフトウェアをバージョン 5.1.5 または 5.3.X からバージョン 5.3.10 にアップグレードするには、HSM アプライアンスに IP 接続できるクライアントインスタンスで、次の手順を実行します。
Luna SA アプライアンスソフトウェアをアップグレードするには
1. HSM を使用しているすべてのアプリケーションとサービスを停止します。2. https://s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-SA-5-3-10.zip から Luna SA アプ
ライアンスソフトウェアアップグレードパッケージをダウンロードし、アーカイブからファイルを抽出します。
3. 次のコマンドを使用して、lunasa_update-5.3.10-7.spkg ファイルを HSM アプライアンスにコピーします。<private_key_file> は、HSM のプロビジョニング時に提供した SSH キーのプライベート部分です。
$ scp -i <private_key_file> lunasa_update-5.3.10-7.spkg manager@<hsm_ip_address>:
4. 次のコマンドを使用して、HSM アプライアンスに接続し、ログインします。
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
117
AWS CloudHSM Classic ユーザーガイドHSM ソフトウェアのアップグレード
5. 次のコマンドを使用して、Luna SA アプライアンスのソフトウェア更新を検証し、インストールします。<auth_code> に使用する値は、アーカイブ (SafeNet-Luna-SA-5-3-10.zip) に含まれるファイル (lunasa_update-5.3.10-7.auth) にあります。
lunash:> package verify lunasa_update-5.3.10-7.spkg -authcode <auth_code>
lunash:> package update lunasa_update-5.3.10-7.spkg -authcode <auth_code>
6. 次のコマンドを使用して、HSM アプライアンスを再起動します。
lunash:> sysconf appliance reboot
アプライアンスソフトウェアを 5.3.13 にアップグレードするLuna SA アプライアンスソフトウェアをバージョン 5.3.10 からバージョン 5.3.13 にアップグレードするには、HSM アプライアンスに IP 接続できるクライアントインスタンスで、次の手順を実行します。
Luna SA アプライアンスソフトウェアをアップグレードするには
1. HSM を使用しているすべてのアプリケーションとサービスを停止します。2. https://s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-SA-5-3-13.zip から Luna SA アプ
ライアンスソフトウェアアップグレードパッケージをダウンロードし、アーカイブからファイルを抽出します。
3. 次のコマンドを使用して、lunasa_update-5.3.13-1.spkg ファイルを HSM アプライアンスにコピーします。<private_key_file> は、HSM のプロビジョニング時に提供した SSH キーのプライベート部分です。
$ scp -i <private_key_file> lunasa_update-5.3.13-1.spkg manager@<hsm_ip_address>:
4. 次のコマンドを使用して、HSM アプライアンスに接続し、ログインします。
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
5. 次のコマンドを使用して、Luna SA アプライアンスのソフトウェア更新を検証し、インストールします。<auth_code> に使用する値は、アーカイブ (SafeNet-Luna-SA-5-3-13.zip) に含まれるファイル (lunasa_update-5.3.13-1.auth) にあります。
lunash:> package verify lunasa_update-5.3.13-1.spkg -authcode <auth_code>
lunash:> package update lunasa_update-5.3.13-1.spkg -authcode <auth_code>
6. FIPS の検証が不要な場合は、ファームウェアのバージョン 6.20.2 へのアップグレードを受け入れます。
FIPS の検証が必要な場合は、ファームウェアのバージョン 6.20.2 へのアップグレードを受け入れないでください。アプライアンスのソフトウェアアップグレードを完了したら、「HSM ファームウェアのアップグレード (p. 119)」を参照してください。
7. 次のコマンドを使用して、HSM アプライアンスを再起動します。
lunash:> sysconf appliance reboot
NTLS IP チェックを無効にする
118
AWS CloudHSM Classic ユーザーガイドHSM ファームウェアのアップグレード
HSM のアップグレード後、NTLS IP チェックを無効にして、HSM が VPC 内で動作できるようにする必要があります。そのためには、HSM アプライアンスシェルから次のコマンドを実行します。
lunash:> ntls ipcheck disable
HSM ファームウェアのアップグレードHSM で以下のリストのファームウェアより以前のものを実行している場合は、次の手順に従って最新のサポートされているバージョンにアップグレードします。その前に、インストールする HSM ファームウェアのバージョンを選択します。以下のオプションが利用できます。
• 6.10.9 (FIPS 検証済み)• 6.20.2 (最新バージョン、FIPS 未検証)
FIPS 検証を必要としない場合は、ファームウェアバージョン 6.20.2 をインストールすることをお勧めします。手順に従って アプライアンスソフトウェアをバージョン 5.3.13 にアップグレード (p. 118)し、ファームウェアのアップグレードが提供されたら適用します。
FIPS 検証を必要とする場合は、次の手順に従ってファームウェアバージョン 6.10.9 にアップグレードします。
HSM ファームウェアをバージョン 6.10.9 にアップグレードするには
1. Luna SA ファームウェアのアップグレードパッケージを https://s3.amazonaws.com/cloudhsm-safenet-lunasw/SafeNet-Luna-FW-6-10-9.zip からダウンロードし、アーカイブからファイルを抽出します。
2. 次のコマンドを使用して、630-010430-010_SPKG_LunaFW_6.10.9.spkg ファイルを HSM アプライアンスにコピーします。<private_key_file> は、HSM のプロビジョニング時に提供したSSH キーのプライベート部分です。
$ scp -i <private_key_file> 630-010430-010_SPKG_LunaFW_6.10.9.spkg manager@<hsm_ip_address>:
3. 以下のコマンドを使用して HSM アプライアンスに接続し、HSM にログインします。
$ ssh -i <private_key_file> manager@<hsm_ip_address>
lunash:> hsm login
4. 次のコマンドを使用してファームウェアパッケージをインストールします。<auth_code>に使用する値は、アーカイブ (SafeNet-Luna-FW-6-10-9.zip) に含まれるファイル(630-010430-010_SPKG_LunaFW_6.10.9.auth) にあります。
lunash:> package update 630-010430-010_SPKG_LunaFW_6.10.9.spkg -authcode <auth_code>
5. 次のコマンドを使用して HSM アプライアンスファームウェアを更新します。
lunash:> hsm update firmware
6. 次のコマンドを使用して、HSM アプライアンスを再起動します。
lunash:> sysconf appliance reboot
119
AWS CloudHSM Classic ユーザーガイド
ドキュメント履歴以下の表に、AWS CloudHSM Classic の今回のリリースで行われたドキュメントへの重要な変更を示します。
• 前回のドキュメント更新日: 2017 年 14 月 8 日
変更 説明 変更日
更新 このガイドの名前を AWSCloudHSM Classic ユーザーガイドに変更しました。新しい AWSCloudHSM ユーザーガイドを公開しました。
2017 年 8 月 14 日
更新 AWS CloudHSM アップグレードガイド (p. 114) で、手順とサポートされているファームウェアバージョンを更新しました。
2017 年 1 月 27 日
更新 AWS CloudHSM アップグレードガイド (p. 114) で、手順とサポートされている Luna SA アプライアンスソフトウェアのバージョンを更新しました。
2017 年 1 月 20 日
更新 カナダ (中部) リージョンのサポートを追加しました。
2016年12月8日
更新 米国東部 (オハイオ) リージョンのサポートを追加しました。
2016 年 10 月 17 日
更新 米国西部 (北カリフォルニア)リージョンのサポートを追加しました。
2016 年 9 月 20 日
更新 「AWS CloudFormation を使用した AWS CloudHSM 用の環境の自動設定 (p. 6)」の手順を更新しました。
「AWS CloudHSM 環境の手動セットアップ (p. 9)」の手順を更新しました。
「Linux HSM クライアントの設定 (p. 28)」の手順を更新しました。
「Windows HSM クライアントの設定 (p. 30)」の手順を更新しました。
「クライアントソフトウェアを 5.4 にアップグレードす
2016 年 9 月 15 日
120
AWS CloudHSM Classic ユーザーガイド
変更 説明 変更日る (p. 115)」の方法について説明する手順を更新しました。
更新 「CLI ツールのインストール (p. 16)」の手順を変更しました。
2015 年 11 月 18 日
更新 AWS CloudHSM に「PaymentCard Industry (PCI) Data SecurityStandard (DSS) への準拠 (p. 1)」に関する情報を追加しました。
2015 年 10 月 28 日
更新 AWS CloudFormation を使用して AWS CloudHSM 環境を自動的にセットアップする手順を簡素化しました。詳細については、「AWS CloudFormation を使用した AWS CloudHSM 用の環境の設定 (p. 8)」を参照してください。
2015 年 7 月 23 日
更新 Amazon Linux で AWSCloudHSM CLI ツールをインストールする新しい手順を追加しました。詳細については、「AWS CloudHSM CLI ツールのインストール (p. 17)」を参照してください。
HSM アプライアンスに接続するための推奨の SSH 設定を更新しました。詳細については、「SSH 接続 (p. 19)」を参照してください。
HSM アプライアンスの新しい制限を追加し、その他の制限を修正しました。詳細については、「AWS CloudHSM の制限 (p. 102)」を参照してください。
2015 年 10 月 7 日
更新 サポートされている新しい HSMファームウェアバージョンを追加し、HSM ファームウェアをアップグレードするための推奨事項と手順を更新しました。詳細については、「HSMファームウェアのアップグレード (p. 119)」を参照してください。
2015 年 9 月 7 日
更新 アジアパシフィック (シンガポール) および アジアパシフィック(東京) リージョンのサポートを追加しました。
2015 年 6 月 8 日
121
AWS CloudHSM Classic ユーザーガイド
変更 説明 変更日
新しいガイド名
AWS CloudHSM CLI が追加されました
AWS CloudHSM 入門ガイドが、AWS CloudHSM User Guideになりました。これには、ガイドの大幅な書き換えと再構成が含まれます。
コマンドラインインターフェイスのドキュメントを「AWS CloudHSMCommand Line Interface ToolsReference (p. 55)」で参照してください。
2015 年 1 月 8 日
更新 米国西部 (オレゴン) および アジアパシフィック (シドニー) リージョンのサポート、高可用性とロードバランシングに関する新しいセクション、デプロイしてサードパーティーアプリケーションと統合するリソースに関する新しいセクション、および新しい AWS CloudFormationテンプレートを使用して AWSCloudHSM 環境をセットアップする方法に関する手順を追加しました。
2013 年 11 月 5 日
初回リリース AWS CloudHSM 入門ガイドの初回リリース。
2013 年 3 月 26 日
122