メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

AWS CloudHSM を Amazon RDS と連動するようにセットアップする

TDE を使用して Oracle DB インスタンスで AWS CloudHSM を使用するには、まず AWS CloudHSM のセットアップに必要なタスクを完了する必要があります。タスクの詳細について、以降のセクションで説明します。

Amazon RDS では、Oracle DB インスタンスの AWS CloudHSM を次のリージョンでサポートしています。米国東部(バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (フランクフルト)、欧州 (アイルランド)

AWS CloudHSM 前提条件の確認

AWS CloudHSM ユーザーガイド』の「AWS CloudHSM のセットアップ」セクションに記載された手順に従って、AWS CloudHSM 環境をセットアップします。

AWS CloudHSM コマンドラインインターフェイスツールのインストール

AWS CloudHSM User Guide』の「AWS CloudHSM CLI ツールのセットアップ」セクションに記載された指示に従って、AWS CloudHSM コマンドラインインターフェイスツールを AWS CloudHSM コントロールインスタンスにインストールします。

HSM の構成

Amazon RDS での AWS CloudHSM の使用に推奨される構成は、3 つの AWS CloudHSM アプライアンスを高可用性 (HA) のパーティショングループに構成することです。高可用性の目的のため、最低 3 個の HSM を使用することをお勧めします。2 つの HSM が利用できなくなっても、Amazon RDS にキーを使用することができます。

 AWS CloudHSM 高可用性の構成

重要

HSM を初期化して、HSM セキュリティ責任者アカウント (別称「HSM 管理者」) のパスワードを設定します。忘れないように パスワードワークシートにセキュリティ責任者のパスワードを記録します。We recommend that you print out a copy of the パスワードワークシート, use it to record your AWS CloudHSM passwords, and store it in a secure place. We also recommended that you store at least one copy of this worksheet in secure off-site storage. AWS does not have the ability to recover your key material from an HSM for which you do not have the proper HSM security officer credentials.

AWS CloudHSM を使用して HSM をプロビジョニングおよび初期化するには、コントロールインスタンスから次のステップを実行します。

  1. Following the instructions in Creating Your HSMs with the CLI, provision the number of HSMs you need for your configuration. When you provision your HSMs, make note of the ARN of each HSM because you will need these to initialize your HSMs and create your high-availability partition group.

  2. Following the instructions in Initializing Your HSMs, initialize each of your HSMs.

高可用性のパーティショングループの作成

HSM を初期化した後、初期化された HSM を使用して高可用性のパーティショングループを作成します。高可用性のパーティショングループを作成するには、3 つのステップを実行します。高可用性のパーティショングループを作成し、HSM を HA パーティショングループに追加して、HA パーティショングループで使用するクライアントを登録します。

To create and initialize an HA partition group

  1. Following the instructions in the Create the HA Partition Group section in the AWS CloudHSM Command Line Interface Tools Reference, create your HA partition group. Save the HA partition group ARN returned from the create-hapg command for later use.

    Save the partition password on your パスワードワークシート.

  2. Following the instructions in Registering a Client with a High-Availability Partition Group, create, register, and assign the clients to use with your HA partition group.

必要に応じて、パーティションを追加するにはこのプロセスを繰り返します。1 つのパーティションで、複数の Oracle データベースをサポートできます。