Client SDK 3 設定ツール - AWS CloudHSM
構文パラメータ 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Client SDK 3 設定ツール

クライアント SDK 3 設定ツールを使用して、クライアントデーモンをブートストラップし、CloudHSM 管理ユーティリティを構成します。

構文

configure -h | --help
          -a <ENI IP address>
          -m [-i <daemon_id>]
          --ssl --pkey <private key file> --cert <certificate file>
          --cmu <ENI IP address>

以下の例では、configure ツールの使用方法を示します。

例 : AWS CloudHSM クライアントと key_mgmt_util の HSM データを更新する

この例では、 の -aパラメータを使用してconfigure、 AWS CloudHSM クライアントと key_mgmt_util の HSM データを更新します。-a パラメータの場合は、クラスターのいずれかの HSM の IP アドレスが必要です。IP アドレスを取得するには、コンソールまたは AWS CLI を使用します。

HSM の IP アドレスを取得するには (コンソール)

  1. https://console.aws.amazon.com/cloudhsm/home で AWS CloudHSM コンソールを開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. クラスターの詳細ページを開くには、クラスターテーブルでクラスター ID を選択します。

  4. IP アドレスを取得するには、[HSM] タブで、[ENI IP アドレス] にリストされている IP アドレスのいずれかを選択します。

HSM の IP アドレスを取得するには (AWS CLI)

  • describe-clusters から AWS CLIコマンドを実行して、HSM の IP アドレスを取得します。コマンドの出力では、HSM の IP アドレスは EniIp の値です。

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...
: HSM のデータを更新するには

  1. -a パラメータを更新する前に、 AWS CloudHSM クライアントを停止します。これにより、configure がクライアントの設定ファイルを編集する間に発生する可能性がある競合を防ぎます。クライアントがすでに停止している場合は、このコマンドによる影響はないので、スクリプトで使用できます。

    Amazon Linux
    $ sudo stop cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client stop
    CentOS 7
    $ sudo service cloudhsm-client stop
    CentOS 8
    $ sudo service cloudhsm-client stop
    RHEL 7
    $ sudo service cloudhsm-client stop
    RHEL 8
    $ sudo service cloudhsm-client stop
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client stop
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client stop
    Windows

    • Windows クライアント 1.1.2+ の場合:

      C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient

    • Windows クライアント 1.1.1 以前の場合。

      AWS CloudHSM クライアントを起動したコマンドウィンドウで Ctrl +C を使用します。

  2. このステップでは、configure -aconfigure-a パラメータを使用して 10.0.0.9 ENI IP アドレスを設定ファイルに追加します。

    Amazon Linux
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Amazon Linux 2
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 16.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 18.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -a 10.0.0.9

  3. 次に、 AWS CloudHSM クライアントを再起動します。起動した クライアントでは、設定ファイルの ENI IP アドレスを使用してクラスターにクエリを実行します。次に、クラスター内のすべての HSM の ENI IP アドレスを、cluster.info ファイルに書き込みます。

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • Windows クライアント 1.1.2+ の場合:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • Windows クライアント 1.1.1 以前の場合。

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

    コマンドが完了すると、 AWS CloudHSM クライアントと key_mgmt_util が使用する HSM データは完全かつ正確になります。

例 : Client SDK 3.2.1 以前から CMU の HSM データを更新

この例では、-mconfigure コマンドを使用して、更新された HSM データを cluster.info ファイルから cloudhsm_mgmt_util が使用する cloudhsm_mgmt_util.cfg ファイルにコピーしています。クライアント SDK 3.2.1 以前と同梱されている CMU でこれを使用します。

  • を実行する前に-m、前の例 に示すように、 AWS CloudHSM クライアントを停止し、 -a コマンドを実行してから AWS CloudHSM クライアントを再起動します。これにより、cluster.info ファイルから cloudhsm_mgmt_util.cfg ファイルにコピーされたデータが完全で正確であることを確認できます。

    Linux
    $ sudo /opt/cloudhsm/bin/configure -m
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -m
例 : Client SDK 3.3.0 以降に同梱されている CMU の HSM データを更新

この例では、--cmu パラメータの configure コマンドにして CMU の HSM データを更新しています。クライアント SDK 3.3.0 以降と同梱されている CMU で使用します。CMU の使用方法の詳細については、「CloudHSM 管理ユーティリティ (CMU) を使用したユーザーの管理」そして「Client SDK 3.2.1 以前での CMU の使用」を参照してください。

  • --cmu パラメータを使用して、クラスター内の HSM の IP アドレスを渡します。

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

パラメータ

-h | --help

コマンド構文を表示します。

必須:はい

-a <ENI IP address>

指定した HSM の Elastic Network Interface (ENI) IP アドレスを AWS CloudHSM 設定ファイルに追加します。クラスターのいずれかの HSM の ENI IP アドレスを入力します。どれを選択してもかまいません。

クラスター内の HSMs の ENI IP アドレスを取得するには、 DescribeClustersオペレーション、describe-clusters AWS CLI コマンド、または Get-HSM2Cluster PowerShell コマンドレットを使用します。

注記

-a configure コマンドを実行する前に、 AWS CloudHSM クライアントを停止します。その後、-aコマンドが完了したら、 AWS CloudHSM クライアントを再起動します。詳細については、例を参照してください。

このパラメータは、次の設定ファイルを編集します。

  • /opt/cloudhsm/etc/cloudhsm_client.cfg: client AWS CloudHSM および key_mgmt_util によって使用されます。

  • /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg: 使用者 cloudhsm_mgmt_util

AWS CloudHSM クライアントは起動時に、設定ファイル内の ENI IP アドレスを使用してクラスターをクエリし、クラスター内のすべての HSMs の正しい ENI IP アドレスでcluster.infoファイル (/opt/cloudhsm/daemon/1/cluster.info) を更新します。

必須:はい

-m

CMU が使用する構成ファイルで HSM ENI IP アドレスを更新します。

注記

-m パラメータは、Client SDK 3.2.1 以前の CMU で使用するためのものです。クライアント SDK 3.3.0 以降の CMU については、CMU の HSM データ更新プロセスを簡略化する「--cmuパラメータ」を参照してください。

-aパラメータを更新configureして AWS CloudHSM クライアントを起動すると、クライアントデーモンはクラスターをクエリし、クラスター内のすべての HSM の正しい HSMs IP アドレスでcluster.infoファイルを更新します。-mconfigure コマンドを実行すると、Cloudhsm_mgmt_util が使用する cluster.info 構成ファイルから cloudhsm_mgmt_util.cfg 構成ファイルに HSM IP アドレスがコピーされ、更新が完了します。

-a configure コマンドを実行する前に、必ず -m コマンドを実行し、 AWS CloudHSM クライアントを再起動してください。これにより、cluster.info から cloudhsm_mgmt_util.cfg にコピーされたデータが完全で正確であることを確認できます。

必須:はい

-i

代替クライアントデーモンを指定します。デフォルト値は AWS CloudHSM クライアントを表します。

デフォルト: 1

必須:いいえ

--ssl

クラスターの SSL キーおよび証明書を指定するプライベートキーおよび証明書に置き換えます。このパラメータを使用する場合には、--pkey および --cert パラメータが必要となります。

必須:いいえ

--pkey

新しいプライベートキーを指定します。プライベートキーが含まれているファイルのファイル名を入力します。

必須: はい (--ssl が指定されている場合) それ以外の場合は、使用しないでください。

--cert

新しい証明書を指定します。証明書が含まれているファイルのファイル名を入力します。証明書は、クラスターを初期化するために使用される自己署名証明書である customerCA.crt 証明書に連鎖する必要があります。詳細については、「クラスターの初期化」を参照してください。

必須: はい (--ssl が指定されている場合) それ以外の場合は、使用しないでください。

--cmu <ENI IP address>

-a-m のパラメータを 1 つのパラメータにまとめます。指定された HSM Elastic Network Interface (ENI) IP アドレスを設定 AWS CloudHSM ファイルに追加し、CMU 設定ファイルを更新します。クラスター内の任意の HSM から IP アドレスを入力します。クライアント SDK 3.2.1 以前については、「クライアント SDK 3.2.1 以前での CMU の使用」 を参照してください。

必須: はい

関連トピック