翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudHSM CLI を使用した複数のクラスターへの接続
Client SDK 5 では、単一の CLI インスタンスから複数の CloudHSM クラスターへの接続を許可するように CloudHSM CLI を設定できます。
このトピックの手順を使用して、CloudHSM CLI でマルチクラスター機能を使用して複数のクラスターに接続します。
トピック
マルチクラスターの前提条件
接続先の 2 つ以上の AWS CloudHSM クラスターとそのクラスター証明書。
セキュリティグループが上記のすべてのクラスターに接続するように正しく設定された EC2 インスタンス。クラスターとクライアントインスタンスのセットアップ方法の詳細については、「 の開始方法 AWS CloudHSM」を参照してください。
-
マルチクラスター機能を設定するには、CloudHSM CLI を既にダウンロードしてインストールしておく必要があります。これをまだ確認していない場合は、「CloudHSM Command Line Interface の開始方法 (CLI)」の手順を参照してください。
-
で設定されたクラスターには、 に関連付けられ
./configure-cli[.exe] -a
ないためアクセスできませんcluster-id
。このガイドで説明config-cli add-cluster
されているように、 に従って再設定できます。
マルチクラスター機能用に CloudHSM CLI を設定する
マルチクラスター機能用に CloudHSM CLI を設定するには、次の手順に従います。
接続するクラスターを特定します。
以下で説明
add-cluster
するように、configure-cli サブコマンドを使用して、これらのクラスターを CloudHSM CLI 設定に追加します。新しい設定を有効にするには、CloudHSM CLI プロセスを再起動します。
configure-cli クラスターの追加
複数のクラスターに接続する場合は、 configure-cli add-cluster
コマンドを使用してクラスターを設定に追加します。
構文
configure-cli add-cluster
[OPTIONS]
--cluster-id<CLUSTER ID>
[--region<REGION>
] [--endpoint<ENDPOINT>
] [--hsm-ca-cert<HSM CA CERTIFICATE FILE>
] [--server-client-cert-file<CLIENT CERTIFICATE FILE>
] [--server-client-key-file<CLIENT KEY FILE>
] [-h, --help]
例
configure-cli add-cluster
とともに cluster-id
パラメータを使用して、クラスター (cluster-1234567
の ID) を設定に追加します。
ヒント
configure-cli add-cluster
を cluster-id
パラメータと一緒に使用してもクラスターが追加されない場合は、以下の例を参照して、追加するクラスターを識別するための --region
と --endpoint
パラメータも必要な、より長いバージョンのこのコマンドを参照してください。例えば、クラスターのリージョンが AWS CLI のデフォルトとして設定されているものと異なる場合、適切なリージョンを使用するように --region
パラメータを使用する必要があります。さらに、呼び出しに使用する AWS CloudHSM API エンドポイントを指定することもできます。これは、 のデフォルトの DNS ホスト名を使用しない VPC インターフェイスエンドポイントを使用するなど、さまざまなネットワーク設定で必要になる場合があります AWS CloudHSM。
configure-cli add-cluster
とともに cluster-id
、endpoint
、region
のパラメータを使用して、クラスター (cluster-1234567
の ID) を設定に追加します。
--cluster-id
、--region
、--endpoint
パラメータの詳細については、パラメータを参照してください。
パラメータ
- --cluster-id
<Cluster ID>
-
DescribeClusters
を呼び出して、クラスターIDに関連付けられたクラスターのすべての HSM Elastic Network Interface(ENI)IPアドレスを検索します。システムは ENI IP アドレスを設定 AWS CloudHSM ファイルに追加します。注記
パブリックインターネットにアクセスできない VPC 内の EC2 インスタンスから
--cluster-id
パラメータを使用する場合は、インターフェイス VPC エンドポイントを作成して に接続する必要があります AWS CloudHSM。VPC エンドポイントの詳細については、「AWS CloudHSM および VPC エンドポイント」を参照してください。必須:はい
- --endpoint
<Endpoint>
-
DescribeClusters
呼び出しに使用する AWS CloudHSM API エンドポイントを指定します。このオプションは--cluster-id
と組み合わせて設定する必要があります。必須:いいえ
- --hsm-ca-cert
<HsmCA 証明書ファイルパス>
-
HSM CA 証明書へのファイルパスを指定します。
必須:いいえ
- --region
<Region>
-
クラスターのリージョンを指定します。このオプションは
--cluster-id
と組み合わせて設定する必要があります。この
--region
パラメータを指定しない場合、システムはAWS_DEFAULT_REGION
またはAWS_REGION
の環境変数の読み取りを試みてリージョンを選択します。これらの変数が設定されていない場合、環境変数で別のファイルを指定しない限り、AWS Config (通常は~/.aws/config
) のプロファイルに関連付けられたリージョンをチェックしますAWS_CONFIG_FILE
。いずれも設定されていない場合は、us-east-1
デフォルトでリージョンが設定されます。必須:いいえ
- --server-client-cert-file
<クライアント証明書ファイルパス>
-
TLS クライアント・サーバー相互認証に使用するクライアント証明書へのパス。
クライアント SDK 5 に含まれるデフォルトのキーと SSL/TLS 証明書を使用しない場合のみ、このオプションを使用します。このオプションは
--server-client-key-file
と組み合わせて設定する必要があります。必須:いいえ
- --server-client-key-file
<クライアントキーファイルパス>
-
TLS クライアントとサーバーの相互認証に使用されるクライアントキーへのパス。
クライアント SDK 5 に含まれるデフォルトのキーと SSL/TLS 証明書を使用しない場合のみ、このオプションを使用します。このオプションは
--server-client-cert-file
と組み合わせて設定する必要があります。必須:いいえ
configure-cli 削除クラスター
CloudHSM CLI を使用して複数のクラスターに接続する場合は、 configure-cli remove-cluster
コマンドを使用して設定からクラスターを削除します。
構文
configure-cli remove-cluster
[OPTIONS]
--cluster-id<CLUSTER ID>
[-h, --help]
例
configure-cli remove-cluster
とともに cluster-id
パラメータを使用して、クラスター (cluster-1234567
の ID) を設定から削除します。
--cluster-id
パラメータの詳細については、「パラメータ」をご参照ください。
パラメータ
- --cluster-id
<Cluster ID>
-
設定から削除するクラスターの ID。
必須:はい
複数のクラスターの使用
CloudHSM CLI で複数のクラスターを設定したら、 cloudhsm-cli
コマンドを使用してクラスターを操作します。
例
cluster-id
パラメータインタラクティブモードとともに を使用して、設定からデフォルトクラスター (ID が cluster-1234567
) を設定します。
cluster-id
パラメータを使用して、クラスター (ID が cluster-1234567
) の取得cluster hsm-info元を設定します。