メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

AWS CloudHSM を使用した Amazon RDS Oracle TDE キーの保存

AWS CloudHSM を Oracle Enterprise Edition を実行する Amazon RDS DB インスタンスで使用すると、Oracle Transparent Data Encryption (TDE) の使用時にキーを保存できます。AWS CloudHSM は、安全なキー保管と暗号化操作を実行するハードウェアセキュリティモジュール (HSM) というハードウェアアプライアンスを提供するサービスです。Amazon RDS DB インスタンスで AWS CloudHSM を使用できるようにします。このためには、HSM アプライアンスを設定し、サービス間アクセスの適切な権限を設定します。さらに、Amazon RDS と、AWS CloudHSM を使用する DB インスタンスを設定します。

重要

AWS CloudHSM セットアップする前に、次の可用性と料金に関する情報を確認してください。

  • Amazon RDS は、以下のリージョンの Oracle DB インスタンスの AWS CloudHSM をサポートしています。 米国東部(バージニア北部)、米国西部 (オレゴン)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (フランクフルト)、欧州 (アイルランド) のリージョン。

  • AWS CloudHSM の料金および無料トライアル版:

    CloudHSM 料金情報については、CloudHSM の料金表ページを参照してください。CloudHSM サービスを無料で試す場合、詳細については、無料トライアルのページを参照してください。

  • CloudHSM 前払い料金の返金 (API および CLI ツール):

    CreateHsm API オペレーションまたは create-hsm AWS CLI コマンドを使用して作成した新しい各 AWS CloudHSM インスタンスに対して前払い料金が請求されます。誤って不要な HSM インスタンスをプロビジョニングした場合は、最初に DeleteHsm API オペレーション、または AWS CLI の delete-hsm コマンドを使用して、HSM インスタンスを削除します。その後、AWS サポートセンターで新規ケースを作成し、[Account and Billing Support] を選択します。

1 つの CloudHSM パーティションでサポートできる Oracle データベースの数は、データ用に選択したローテーションスケジュールによって異なります。キーのローテーションは、データが必要になる頻度で行う必要があります。キーのローテーションの適切な頻度に関するガイダンスについては、PCI-DSS のドキュメントNational Institute of Standards and Technology (NIST) を参照してください。CloudHSM デバイスごとに約 10,000 個の対称マスターキーを維持できます。キーのローテーション後も、古いマスターキーはパーティションに残り、引き続きパーティションごとのキーの最大数にカウントされます。

Amazon Virtual Private Cloud (Amazon VPC) での AWS CloudHSM の使用アプライアンスは、ユーザーが指定したプライベート IP アドレスで VPC 内にプロビジョニングされます。これにより、Amazon RDS DB インスタンスに対して簡単でプライベートなネットワーク接続が可能になります。ユーザーの HSM アプライアンスはユーザー専用であり、AWS の他のお客様はアクセスできません。詳細については、「Amazon Virtual Private Cloud (VPCs) と Amazon RDS」および「VPC に DB インスタンスを作成する」を参照してください。

Amazon RDS Oracle DB インスタンスで AWS CloudHSM を使用する際に実行する必要があるタスクについて、以降のセクションで詳しく説明します。

全設定を完了すると、以下の AWS コンポーネントが準備されます。

  • ポート 22 を使用して HSM アプライアンスと、また AWS CloudHSM エンドポイントと通信する AWS CloudHSM コントロールインスタンス。AWS CloudHSM コントロールインスタンス。HSM と同じ VPC にある Amazon EC2 インスタンスで、これを使用して HSM を管理します。

  • Amazon RDS サービスエンドポイントと通信する、またポート 1792 を使用して HSM アプライアンスと通信する Amazon RDS Oracle DB インスタンス。

CloudHSM-RDS ネットワーク