AWS CloudHSM クラスター - AWS CloudHSM

AWS CloudHSM クラスター

AWS CloudHSM では、クラスターにハードウェアセキュリティモジュール (HSM) が搭載されています。クラスターは、AWS CloudHSM によって同期される各 HSM のコレクションです。クラスターは、1 つの論理 HSM とみなすことができます。クラスター内にある HSM でタスクまたはオペレーションを行うと、そのクラスター内の他の HSM は、自動的に最新の状態に維持されます。

1~28 の HSM を持つクラスターを作成できます (デフォルトの制限 は、AWS アカウントごと、AWS リージョンごとに 6 つの HSM です)。HSM は、AWS リージョン内の別のアベイラビリティーゾーンに配置できます。クラスターに HSM を追加すると、高いパフォーマンスを実現できます。複数のアベイラビリティーゾーンにクラスターを分散すると、冗長性と高可用性を実現します。

同期され、冗長で可用性の高いクラスターで個々の HSM を連携して動作させるのは困難な場合がありますが、AWS CloudHSM は差別化につながらない手間のかかるいくつかの作業を行います。クラスターの HSM は追加、削除でき、AWS CloudHSM により、HSM の接続と同期を自動的に保つことができます。

クラスターを作成するには、「ご利用開始にあたって」を参照してください。

クラスターの詳細については、次のトピックを参照してください。

クラスターアーキテクチャ

クラスターを作成したら、AWS アカウントの Amazon Virtual Private Cloud (VPC) と、その VPC の 1 つ以上のサブネットを指定します。選択した AWS リージョンのアベイラビリティーゾーン (AZ) ごとにサブネットを 1 つ作成することをお勧めします。この方法については、「プライベートサブネットを作成する」を参照してください。

HSM を作成する度に、HSM のクラスターとアベイラビリティーゾーンを指定します。HSM を別々のアベイラビリティーゾーンに指定すると、いずれかのアベイラビリティーゾーンが使用できなくなった場合でも冗長性と高可用性を維持します。

HSM を作成すると、AWS CloudHSM によって、AWS アカウントで指定されたサブネットに Elastic Network Interface (ENI) が作成されます。Elastic Network Interface は、HSM とやり取りするためのインターフェイスです。HSM は、AWS CloudHSM が所有している AWS アカウントの各 VPC に属しています。HSM と対応するネットワークインターフェイスは、同じアベイラビリティーゾーンに存在します。

クラスターで HSM を操作するには、AWS CloudHSM クライアントソフトウェアが必要です。通常、次の図に示すように、HSM ENI と同じ VPC にある Amazon EC2 インスタンス (クライアントインスタンス) でクライアントをインストールします。ただし、これは技術的には必要ありません。HSM ENI に接続できる限り、互換性のある任意のコンピュータでクライアントをインストールできます。クライアントは ENI を通じてクラスター内の個々の HSM と通信します。

以下の図は、3 つの HSM を含む AWS CloudHSM クラスターを表します。これらは、VPC 内の別々のアベイラビリティーゾーンに存在します。


        3 つの HSM を含む AWS CloudHSM クラスターのアーキテクチャ

クラスターの同期

AWS CloudHSM クラスターにおいて、各 HSM のキーは AWS CloudHSM によって同期されます。HSM 上でキーを同期するために必要な操作はありません。各 HSM のユーザーおよびポリシーを同期するには、HSM ユーザーを管理する前に AWS CloudHSM クライアント設定ファイルを更新します。詳細については、「HSM ユーザーを同期する」を参照してください。

クラスターに新しい HSM を追加すると、AWS CloudHSM は、すべてのキー、ユーザー、ポリシーのバックアップを既存の HSM に作成します。次に、そのバックアップが新しい HSM に復元されます。これにより、2 つの HSM の同期が保たれます。

クラスターの HSM の同期が切れた場合、AWS CloudHSM は自動的に再同期します。この設定を有効にするために、AWS CloudHSM ではアプライアンスユーザーの認証情報を使用します。このユーザーは、AWS CloudHSM のすべての HSM に存在し、アクセス許可は制限されています。HSM でオブジェクトのハッシュの取得と、マスク (暗号化) されたオブジェクトの抽出および挿入を行うことができます。AWS は、ユーザーあるいはキーの表示や変更、およびこのキーを使用した一切の暗号化オペレーションを実行することはできません。

クラスターの高可用性とロードバランシング

HSM を 2 つ以上含む AWS CloudHSM クラスターを作成すると、ロードバランシングが自動的に取得されます。ロードバランシングは、追加の処理に対する HSM の容量に基づき、AWS CloudHSM クライアントによって、クラスター内のすべての HSM に暗号化オペレーションが分散されることを意味します。

HSM を別の AWS アベイラビリティーゾーンに作成することで、必ず高可用性を実現できます。高可用性は、個々の HSM に単一障害点がないことにより、高い信頼性を取得できることを意味します。HSM は、各クラスターに 2 つ以上作成し、各 HSM は、AWS リージョン内のアベイラビリティーゾーンに別々にすることをお勧めします。

たとえば、次の図では、Oracle データベースアプリケーションが 2 つの異なるアベイラビリティーゾーンに分散されています。データベースインスタンスは、マスターキーを各アベイラビリティーゾーンの HSM が含まれるクラスター内に保存します。AWS CloudHSM はキーを両方の HSM に自動的に同期するため、キーはすぐアクセス可能で冗長なものになります。


        アプリケーションと AWS CloudHSM クラスターは、高可用性のため、2 つのアベイラビリティーゾーンに分散されます。