メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

AWS CloudHSM を Amazon RDS と連動するようにセットアップする

TDE を使用して Oracle DB インスタンスで AWS CloudHSM を使用するには、まず AWS CloudHSM のセットアップに必要なタスクを完了する必要があります。タスクの詳細について、以降のセクションで説明します。

Amazon RDS では、Oracle DB インスタンスの AWS CloudHSM を次のリージョンでサポートしています。米国東部(バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (フランクフルト)、欧州 (アイルランド)

AWS CloudHSM 前提条件の確認

AWS CloudHSM ユーザーガイド』の「AWS CloudHSM のセットアップ」セクションに記載された手順に従って、AWS CloudHSM 環境をセットアップします。

AWS CloudHSM コマンドラインインターフェイスツールのインストール

AWS CloudHSM User Guide』の「AWS CloudHSM CLI ツールのセットアップ」セクションに記載された指示に従って、AWS CloudHSM コマンドラインインターフェイスツールを AWS CloudHSM コントロールインスタンスにインストールします。

HSM の構成

Amazon RDS での AWS CloudHSM の使用に推奨される構成は、3 つの AWS CloudHSM アプライアンスを高可用性 (HA) のパーティショングループに構成することです。高可用性の目的のため、最低 3 個の HSM を使用することをお勧めします。2 つの HSM が利用できなくなっても、Amazon RDS にキーを使用することができます。

 AWS CloudHSM 高可用性の構成

重要

HSM を初期化して、HSM セキュリティ責任者アカウント (別称「HSM 管理者」) のパスワードを設定します。忘れないように パスワードワークシートにセキュリティ責任者のパスワードを記録します。We recommend that you print out a copy of the パスワードワークシート, use it to record your AWS CloudHSM passwords, and store it in a secure place. We also recommended that you store at least one copy of this worksheet in secure off-site storage. AWS does not have the ability to recover your key material from an HSM for which you do not have the proper HSM security officer credentials.

AWS CloudHSM を使用して HSM をプロビジョニングおよび初期化するには、コントロールインスタンスから次のステップを実行します。

  1. CLI を使用した HSM の作成」の指示に従って、構成に必要な数の HSM をプロビジョニングします。HSM をプロビジョニングするとき、各 HSM の ARN を書き留めます。これは、HSM を初期化し、高可用性のパーティショングループを作成する際に必要になるためです。

  2. HSM の初期化」の手順に従って、各 HSM を初期化します。

高可用性のパーティショングループの作成

HSM を初期化した後、初期化された HSM を使用して高可用性のパーティショングループを作成します。高可用性のパーティショングループを作成するには、3 つのステップを実行します。高可用性のパーティショングループを作成し、HSM を HA パーティショングループに追加して、HA パーティショングループで使用するクライアントを登録します。

HA パーティショングループを作成し、初期化するには

  1. AWS CloudHSM Command Line Interface Tools Reference』の「高可用性のパーティショングループの作成」セクションの指示に従って、HA パーティショングループを作成します。後で使用できるように、create-hapg コマンドから返された HA パーティショングループの ARN を保存します。

    パスワードワークシートにパーティションのパスワードを保存します。

  2. 高可用性のパーティショングループでのクライアントの登録」の指示に従って、HA パーティショングループに使用するクライアントを作成、登録、および割り当てます。

必要に応じて、パーティションを追加するにはこのプロセスを繰り返します。1 つのパーティションで、複数の Oracle データベースをサポートできます。