AWS CloudHSM クライアントツールとソフトウェアライブラリ - AWS CloudHSM

AWS CloudHSM クライアントツールとソフトウェアライブラリ

クラスターの HSM を管理して使用するには、AWS CloudHSM クライアントソフトウェアを使用します。クライアントソフトウェアには、次のトピックで説明するように、複数のコンポーネントが含まれています。

AWS CloudHSM クライアント

AWS CloudHSM クライアントは、アプリケーションホストにインストールして実行するデーモンです。クライアントは安全で、エンドツーエンドで暗号化された AWS CloudHSM クラスターの HSM との接続を確立および維持します。クライアントは、アプリケーションホストと HSM 間の基本的な接続を提供します。他の AWS CloudHSM クライアントソフトウェアコンポーネントの多くは、HSM との通信をクライアントに依存しています。Linux を使用している場合に AWS CloudHSM クライアントの使用を開始するには、「クライアント (Linux) のインストール」を参照してください。Windows を使用している場合は、「クライアントのインストール (Windows)」を参照してください。

AWS CloudHSM クライアントエンドツーエンドの暗号化

AWS CloudHSM クライアントとクラスターの HSM の間の通信はエンドツーエンドで暗号化されます。クライアントと HSM のみが、通信を復号できます。

次のプロセスでは、クライアントが HSM とのエンドツーエンドの暗号化通信を確立する方法を説明します。

  1. クライアントは、HSM ハードウェアをホストするサーバーと Transport Layer Security (TLS) 接続を確立します。クラスターのセキュリティグループによって、セキュリティグループのクライアントインスタンスからのみ、サーバーへのインバウンドトラフィックが許可されます。また、クライアントはサーバーの証明書をチェックして、それが信頼されたサーバーであることを確認します。

    
              クライアントとサーバー間の TLS 接続。
  2. 次に、クライアントは HSM ハードウェアと暗号化された接続を確立します。HSM には、独自の証明機関 (CA) で署名されたクラスター証明書があり、クライアントには CA のルート証明書があります。クライアントと HSM の暗号化された接続が確立される前に、クライアントはルート証明書に対して HSM のクラスター証明書を確認します。接続が確立されるのは、HSM が信頼済みであることをクライアントが正しく確認した場合のみです。クライアントと HSM の暗号化された接続は、以前に作成されたクライアントとサーバーの接続を経由します。

    
              クライアントと HSM 間の、安全ででエンドツーエンドの暗号化された接続。

AWS CloudHSM コマンドラインツール

AWS CloudHSM クライアントソフトウェアには 2 つのコマンドラインツールが含まれています。コマンドラインツールを使用してユーザーや HSM キーを管理します。たとえば、HSM ユーザーの作成、ユーザーパスワードの変更、キーの作成などを行うことができます。これらのツールの詳細については、「コマンドラインツール」を参照してください。

AWS CloudHSM ソフトウェアライブラリ

AWS CloudHSM ソフトウェアライブラリを使用して、アプリケーションをクラスターの HSM と統合し、暗号化処理に使用できます。さまざまなライブラリのインストールと使用方法の詳細については、「ソフトウェアライブラリの使用」を参照してください。