AWS CloudHSM のクラスターにクライアント SDK を接続 - AWS CloudHSM
各 EC2 インスタンス上に発行証明書を配置する発行証明書の場所を指定するクライアント SDK をブートストラップする

AWS CloudHSM のクラスターにクライアント SDK を接続

クライアント SDK 5 またはクライアント SDK 3 のいずれかを用いてクラスターに接続するには、まず 2 つの操作を行う必要があります。

  • EC2 インスタンス上に発行証明書を配置する

  • クライアント SDK をクラスターにブートストラップする

各 EC2 インスタンス上に発行証明書を配置する

クラスターの初期化時には、発行証明書を作成します。クラスターに接続する各 EC2 インスタンス上のプラットフォームのために、デフォルトの場所への発行証明書をコピーします。

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

発行証明書の場所を指定する

クライアント SDK 5 を用いて、構成ツールを使用して発行証明書の場所を指定できます。

PKCS #11 library
Linux クライアント SDK 5 の発行証明書を配置する

  • 設定ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Windows クライアント SDK 5 の発行証明書を配置します。

  • 設定ツールを使用して、発行証明書の場所を指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Linux クライアント SDK 5 の発行証明書を配置する

  • 設定ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
Key Storage Provider (KSP)
Windows クライアント SDK 5 の発行証明書を配置します。

  • 設定ツールを使用して、発行証明書の場所を指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --hsm-ca-cert <customerCA certificate file>
JCE provider
Linux クライアント SDK 5 の発行証明書を配置する

  • 設定ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Windows クライアント SDK 5 の発行証明書を配置します。

  • 設定ツールを使用して、発行証明書の場所を指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Linux クライアント SDK 5 の発行証明書を配置する

  • 設定ツールを使用して、発行証明書の場所を指定します。

    $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Windows クライアント SDK 5 の発行証明書を配置します。

  • 設定ツールを使用して、発行証明書の場所を指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

さらなる詳細については、Configure Tool を参照してください。

クラスターの初期化、または証明書の作成と署名の詳細については、Initilize the Cluster を参照してください。

クライアント SDK をブートストラップする

ブートストラッププロセスは、使用しているクライアント SDK のバージョンによって異なりますが、クラスター内のいずれかのハードウェアセキュリティモジュール(HSM)の IP アドレスが必要です。クラスターに添付されている任意の HSM の IP アドレスを使用できます。クライアント SDK が接続すると、あらゆる追加の HSM の IP アドレスを取得し、ロードバランシングとクライアント側のキー同期操作を実行します。

HSM の IP アドレスを取得するには (コンソール)

  1. AWS CloudHSM コンソール (https://console.aws.amazon.com/cloudhsm/home) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. クラスターの詳細ページを開くには、クラスターテーブルでクラスター ID を選択します。

  4. IP アドレスを取得するには、HSM タブに移動します。IPv4 クラスターの場合は、ENI IPv4 アドレスにリストされているアドレスを選択します。デュアルスタッククラスターの場合は、ENI IPv4 アドレスまたは ENI IPv6 アドレスのいずれかを使用します。

HSM の IP アドレスを取得する (AWS CLI)

  • describe-clusters から AWS CLI コマンドを実行して、HSM の IP アドレスを取得します。コマンドの出力では、HSM の IP アドレスは EniIp および EniIpV6 の値です (デュアルスタッククラスターの場合)。

    $ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
                    "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
...

ブーストラップのさらなる詳細については、構成ツール を参照してください。

PKCS #11 library
クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
Key Storage Provider (KSP)
クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a <HSM IP addresses>
JCE provider
クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。

    $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IPv4 / IPv6 addresses of the HSMs>
クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには

  • 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IPv4 / IPv6 addresses of the HSMs>
注記

–-cluster-id パラメータは -a <HSM_IP_ADDRESSES> の代わりに使用できます。–-cluster-id の使用要件については、「AWS CloudHSM クライアント SDK 5 設定ツール」を参照してください。

クライアント SDK 3 用の Linux の EC2 インスタンスをブートストラップするには

  • configure でクラスター内の HSM の IP アドレスを指定します。

    sudo /opt/cloudhsm/bin/configure -a <IP address>
クライアント SDK 3 用の Windows EC2 インスタンスをブートストラップするには

  • configure でクラスター内の HSM の IP アドレスを指定します。

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" -a <HSM IP address>

さらなる設定の詳細については、AWS CloudHSM 設定ツール を参照してください。