メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Amazon RDS と連動するように AWS CloudHSM Classic をセットアップする

TDE を使用して Oracle DB インスタンスで AWS CloudHSM Classic を使用するには、まず AWS CloudHSM Classic のセットアップに必要なタスクを完了する必要があります。タスクの詳細について、以降のセクションで説明します。

Amazon RDS では、Oracle DB インスタンスの AWS CloudHSM Classic を次のリージョンでサポートしています。米国東部(バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (フランクフルト)、欧州 (アイルランド)

AWS CloudHSM Classic の前提条件の確認

AWS CloudHSM Classic ユーザーガイドの 「AWS CloudHSM のセットアップ」の手順に従って、AWS CloudHSM Classic 環境をセットアップします。

AWS CloudHSM Classic コマンドラインインターフェイスツールのインストール

AWS CloudHSM Classic ユーザーガイド』の「AWS CloudHSM CLI ツールの設定」セクションに記載された指示に従って、AWS CloudHSM Classic コマンドラインインターフェイスツールを AWS CloudHSM Classic コントロールインスタンスにインストールします。

HSM の構成

Amazon RDS で AWS CloudHSM Classic の使用に推奨される構成は、3 つの AWS CloudHSM Classic アプライアンスを高可用性 (HA) のパーティショングループに構成することです。高可用性の目的のため、最低 3 個の HSM を使用することをお勧めします。2 つの HSM が利用できなくなっても、Amazon RDS にキーを使用することができます。

 AWS CloudHSM Classic 高可用性の構成

重要

HSM を初期化して、HSM セキュリティ責任者アカウント (別称「HSM 管理者」) のパスワードを設定します。忘れないように パスワードワークシートにセキュリティ責任者のパスワードを記録します。パスワードワークシート のコピーを印刷することをお勧めします。このコピーを使用して重要な AWS CloudHSM Classic のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーを 1 部以上、オフサイトの安全なストレージに格納することをお勧めします。AWS では、適切な HSM セキュリティ責任者の認証情報がない場合、HSM のキーマテリアルを復旧できません。

AWS CloudHSM Classic CLI ツールを使用して HSM をプロビジョニングおよび初期化するには、コントロールインスタンスから次のステップを実行します。

  1. CLI を使用した HSM の作成」の指示に従って、構成に必要な数の HSM をプロビジョニングします。HSM をプロビジョニングするとき、各 HSM の ARN を書き留めます。これは、HSM を初期化し、高可用性のパーティショングループを作成する際に必要になるためです。

  2. HSM の初期化」の手順に従って、各 HSM を初期化します。

高可用性のパーティショングループの作成

HSM を初期化した後、初期化された HSM を使用して高可用性のパーティショングループを作成します。高可用性のパーティショングループを作成するには、3 つのステップを実行します。高可用性のパーティショングループを作成し、HSM を HA パーティショングループに追加して、HA パーティショングループで使用するクライアントを登録します。

HA パーティショングループを作成し、初期化するには

  1. AWS CloudHSM Classic ユーザーガイド』の「高可用性のパーティショングループの作成」セクションの指示に従って、HA パーティショングループを作成します。後で使用できるように、create-hapg コマンドから返された HA パーティショングループの ARN を保存します。

    パスワードワークシートにパーティションのパスワードを保存します。

  2. 高可用性のパーティショングループでのクライアントの登録」の指示に従って、HA パーティショングループに使用するクライアントを作成、登録、および割り当てます。

必要に応じて、パーティションを追加するにはこのプロセスを繰り返します。1 つのパーティションで、複数の Oracle データベースをサポートできます。