Client SDK 5 設定ツール

クライアント SDK 5 設定ツールを使用して、クライアント側の構成ファイルを更新します。

クライアント SDK 5 の各コンポーネントには、構成ツールのファイル名にコンポーネントの指定子を含む構成ツールが含まれています。たとえば、クライアント SDK 5 の PKCS #11 ライブラリには、Linux上 configure-pkcs11 またはWindows上 configure-pkcs11.exe で名付けられた構成ツールが含まれています。

構文

PKCS #11

configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11

OpenSSL

configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]

JCE

configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]

CloudHSM CLI

configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

詳細設定

Client SDK 5 構成ツール固有の詳細設定のリストについては、「Advanced configurations for the Client SDK 5 configure tool」を参照してください。

重要

設定を変更した後、変更内容を反映させるためにアプリケーションを再起動する必要があります。

例

これらの例は、Client SDK 5 の構成ツールの使用方法を示しています。

クライアント SDK 5 のブートストラップ

この例では、Client SDK 5 の HSM データを更新するための-a パラメータを使用しています。-a パラメータの場合は、クラスターのいずれかの HSM の IP アドレスが必要です。

PKCS #11 library

クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
              

クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
              

OpenSSL Dynamic Engine

クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
              

JCE provider

クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
              

クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、クラスター内の HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
              

CloudHSM CLI

クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには

• 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
              

クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには

• 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
              

注記

–-cluster-id パラメータは -a <HSM_IP_ADDRESSES> の代わりに使用できます。–-cluster-id の使用要件については、「Client SDK 5 設定ツール」を参照してください。

-a パラメータの詳細については、「パラメータ」をご参照ください。

Client SDK 5 のクラスター、リージョン、エンドポイントの指定

この例では、cluster-id パラメータを使用して、DescribeClusters 呼び出しを行うことにより、Client SDK 5 をブートストラップします。

PKCS #11 library

Client SDK 5 の Linux EC2 インスタンスを cluster-id 呼び出しでブートストラップするには

• クラスター ID cluster-1234567を使用して、クラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
              

Client SDK 5 用の Windows EC2 インスタンスを cluster-id でブートストラップするには

• クラスター ID cluster-1234567を使用して、クラスター内の HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
              

OpenSSL Dynamic Engine

Client SDK 5 の Linux EC2 インスタンスを cluster-id 呼び出しでブートストラップするには

• クラスター ID cluster-1234567を使用して、クラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
              

JCE provider

Client SDK 5 の Linux EC2 インスタンスを cluster-id 呼び出しでブートストラップするには

• クラスター ID cluster-1234567を使用して、クラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
              

Client SDK 5 用の Windows EC2 インスタンスを cluster-id でブートストラップするには

• クラスター ID cluster-1234567を使用して、クラスター内の HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
              

CloudHSM CLI

Client SDK 5 の Linux EC2 インスタンスを cluster-id 呼び出しでブートストラップするには

• クラスター ID cluster-1234567を使用して、クラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
              

Client SDK 5 用の Windows EC2 インスタンスを cluster-id でブートストラップするには

• クラスター ID cluster-1234567を使用して、クラスター内の HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567
              

--region と --endpoint のパラメータと cluster-id のパラメータを組み合わせて、システムが DescribeClusters の呼び出しを行う方法を指定することができます。例えば、クラスターのリージョンが AWS CLI のデフォルトとして設定されているものと異なる場合、そのリージョンを使用するように --region パラメータを使用する必要があります。さらに、呼び出しに使用する AWS CloudHSM API エンドポイントを指定することもできます。これは、 のデフォルトの DNS ホスト名を使用しない VPC インターフェイスエンドポイントを使用するなど、さまざまなネットワーク設定で必要になる場合があります AWS CloudHSM。

PKCS #11 library

カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

カスタムエンドポイントとリージョンを使用して Windows EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。

  
  C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

OpenSSL Dynamic Engine

カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

JCE provider

カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

カスタムエンドポイントとリージョンを使用して Windows EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

CloudHSM CLI

カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

カスタムエンドポイントとリージョンを使用して Windows EC2 インスタンスをブートストラップするには

• 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

--cluster-id、--region、--endpoint パラメータの詳細については、パラメータを参照してください。

TLS クライアントサーバー相互認証のためのクライアント証明書とキーの更新

この例では、 のカスタムキーserver-client-cert-fileと SSL 証明書を指定して、 および --server-client-key-fileパラメータを使用して SSL を再設定する方法を示します。 AWS CloudHSM

PKCS #11 library

Linux のクライアント SDK 5 で TLS クライアントサーバーの相互認証にカスタム証明書とキーを使用するには

1. キーと証明書を適切なディレクトリにコピーします。

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. 構成ツールで ssl-client.crt、ssl-client.key を指定します。

   $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Windows のクライアント SDK 5 で TLS クライアントサーバーの相互認証にカスタム証明書とキーを使用するには

1. キーと証明書を適切なディレクトリにコピーします。

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.crtと を指定しますssl-client.key。

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

OpenSSL Dynamic Engine

Linux のクライアント SDK 5 で TLS クライアントサーバーの相互認証にカスタム証明書とキーを使用するには

1. キーと証明書を適切なディレクトリにコピーします。

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. 構成ツールで ssl-client.crt、ssl-client.key を指定します。

   $ sudo /opt/cloudhsm/bin/configure-dyn \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

JCE provider

Linux のクライアント SDK 5 で TLS クライアントサーバーの相互認証にカスタム証明書とキーを使用するには

1. キーと証明書を適切なディレクトリにコピーします。

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. 構成ツールで ssl-client.crt、ssl-client.key を指定します。

   $ sudo /opt/cloudhsm/bin/configure-jce \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Windows のクライアント SDK 5 で TLS クライアントサーバーの相互認証にカスタム証明書とキーを使用するには

1. キーと証明書を適切なディレクトリにコピーします。

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.crtと を指定しますssl-client.key。

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

CloudHSM CLI

Linux のクライアント SDK 5 で TLS クライアントサーバーの相互認証にカスタム証明書とキーを使用するには

1. キーと証明書を適切なディレクトリにコピーします。

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. 構成ツールで ssl-client.crt、ssl-client.key を指定します。

   $ sudo /opt/cloudhsm/bin/configure-cli \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Windows のクライアント SDK 5 で TLS クライアントサーバーの相互認証にカスタム証明書とキーを使用するには

1. キーと証明書を適切なディレクトリにコピーします。

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. PowerShell インタープリタでは、設定ツールを使用して ssl-client.crtと を指定しますssl-client.key。

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

server-client-cert-file、および --server-client-key-file、パラメータの詳細については、パラメータ を参照してください。

クライアントキーの耐久性設定を無効にする

この例では --disable-key-availability-check パラメータを使用して、クライアントキーの耐久性設定を無効にします。単一の HSM でクラスターを実行するには、クライアントキーの耐久性設定を無効にする必要があります。

PKCS #11 library

Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには

• 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
              

Windows でクライアント SDK 5 のクライアントキー耐久性を無効にするには

• 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
              

OpenSSL Dynamic Engine

Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには

• 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
              

JCE provider

Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには

• 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

  
  $ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
              

Windows でクライアント SDK 5 のクライアントキー耐久性を無効にするには

• 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
              

CloudHSM CLI

Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには

• 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

  
  $ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
              

Windows でクライアント SDK 5 のクライアントキー耐久性を無効にするには

• 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
              

--disable-key-availability-check パラメータの詳細については、「パラメータ」をご参照ください。

ログ記録オプションの管理

Client SDK 5 では、log-file、log-level、log-rotation、および log-type パラメータを使用して、ログを管理します。

注記

AWS Fargate や AWS Lambda などのサーバーレス環境に SDK を設定するには、 AWS CloudHSM ログタイプを に設定することをお勧めしますterm。クライアントログは に出力stderrされ、その環境に設定された CloudWatch ロググループにキャプチャされます。

PKCS #11 library

デフォルトのログ記録の場所

• ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

  Linux

  /opt/cloudhsm/run/cloudhsm-pkcs11.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log

ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info

ファイルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info

ターミナルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info

OpenSSL Dynamic Engine

デフォルトのログ記録の場所

• ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

  Linux

  stderr

ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info

ファイルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info

ターミナルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info

JCE provider

デフォルトのログ記録の場所

• ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

  Linux

  /opt/cloudhsm/run/cloudhsm-jce.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log

ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには

• $ sudo /opt/cloudhsm/bin/configure-jce --log-level info

ファイルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info

ターミナルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info

CloudHSM CLI

デフォルトのログ記録の場所

• ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。

  Linux

  /opt/cloudhsm/run/cloudhsm-cli.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log

ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには

• $ sudo /opt/cloudhsm/bin/configure-cli --log-level info

ファイルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info

ターミナルのログ記録オプションを設定するには

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

log-file、log-level、log-rotation、log-type のパラメータの詳細については、「パラメータ」を参照してください。

Client SDK 5 の発行証明書を配置する

この例では --hsm-ca-cert パラメータを使用して、クライアント SDK 5 の発行証明書の場所を更新します。

PKCS #11 library

Linux クライアント SDK 5 の発行証明書を配置します。

• 設定ツールを使用して、発行証明書の場所を指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
              

Windows クライアント SDK 5 の発行証明書を配置します。

• 設定ツールを使用して、発行証明書の場所を指定します。

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
              

OpenSSL Dynamic Engine

Linux クライアント SDK 5 の発行証明書を配置する

• 構成ツールを使用して、発行証明書の場所を指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
              

JCE provider

Linux クライアント SDK 5 の発行証明書を配置する

• 設定ツールを使用して、発行証明書の場所を指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
              

Windows クライアント SDK 5 の発行証明書を配置します。

• 設定ツールを使用して、発行証明書の場所を指定します。

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
              

CloudHSM CLI

Linux クライアント SDK 5 の発行証明書を配置する

• 設定ツールを使用して、発行証明書の場所を指定します。

  
  $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
              

Windows クライアント SDK 5 の発行証明書を配置します。

• 設定ツールを使用して、発行証明書の場所を指定します。

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>
              

--hsm-ca-cert パラメータの詳細については、「パラメータ」をご参照ください。

パラメータ

-a <ENI IP address>

指定した IP アドレスをクライアント SDK 5 設定ファイルに追加します。クラスターから HSM の ENI IP アドレスを入力します。このオプションの使用方法の詳細については、「クライアント SDK 5でブートストラップ」 を参照してください。

必須：はい

--hsm-ca-cert <customerCA 証明書ファイルパス＞

EC2クライアントインスタンスをクラスターに接続するために使用する認証局（CA）証明書を格納するディレクトリへのパス。このファイルは、クラスターを初期化するときに作成します。デフォルトでは、システムはこのファイルを次の場所で検索します。

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

クラスターの初期化または証明書の配置の詳細については、「各 EC2 インスタンス上に発行証明書を配置する」 および 「クラスターの初期化」 を参照してください。

必須：いいえ

--cluster-id <cluster ID>

DescribeClusters を呼び出して、クラスターIDに関連付けられたクラスターのすべての HSM Elastic Network Interface（ENI）IPアドレスを検索します。システムは ENI IP アドレスを設定 AWS CloudHSM ファイルに追加します。

注記

パブリックインターネットにアクセスできない VPC 内の EC2 インスタンスから --cluster-idパラメータを使用する場合は、インターフェイス VPC エンドポイントを作成して に接続する必要があります AWS CloudHSM。VPCエンドポイントの詳細については、AWS CloudHSM および VPC エンドポイント を参照してください。

必須：いいえ

--endpoint <endpoint>

DescribeClusters 呼び出しに使用する AWS CloudHSM API エンドポイントを指定します。このオプションは --cluster-id と組み合わせて設定する必要があります。

必須：いいえ

--region <region>

クラスターのリージョンを指定します。このオプションは --cluster-id と組み合わせて設定する必要があります。

この --region パラメータを指定しない場合、システムは AWS_DEFAULT_REGION または AWS_REGION の環境変数の読み取りを試みてリージョンを選択します。これらの変数が設定されていない場合、環境変数で別のファイルを指定しない限り、AWS Config (通常は ~/.aws/config) のプロファイルに関連付けられたリージョンをチェックしますAWS_CONFIG_FILE。いずれも設定されていない場合は、us-east-1 デフォルトでリージョンが設定されます。

必須：いいえ

--server-client-cert-file ＜クライアント証明書ファイルパス＞

TLS クライアント・サーバー相互認証に使用するクライアント証明書へのパス。

クライアント SDK 5 に含まれるデフォルトのキーと SSL/TLS 証明書を使用しない場合のみ、このオプションを使用します。このオプションは --server-client-key-file と組み合わせて設定する必要があります。

必須：いいえ

--server-client-key-file ＜クライアントキーファイルパス＞

TLS クライアントとサーバーの相互認証に使用されるクライアントキーへのパス。

クライアント SDK 5 に含まれるデフォルトのキーと SSL/TLS 証明書を使用しない場合のみ、このオプションを使用します。このオプションは --server-client-cert-file と組み合わせて設定する必要があります。

必須：いいえ

--log-level <error | warn | info | debug | trace>

システムがログファイルに書き込むべき最小のログレベルを指定します。各レベルは前のレベルを含み、最小レベルはエラー、最大レベルはトレースとなります。つまり、エラーを指定すると、システムはログにエラーのみを書き込みます。トレースを指定すると、システムはエラー、警告、情報 (info)、およびデバッグメッセージをログに書き込みます。詳細については、「クライアント SDK 5 のログの記録」を参照してください。

必須：いいえ

--log-rotation <daily | weekly>

システムがログをローテートする頻度を指定します。詳細については、「クライアント SDK 5 のログの記録」を参照してください。

必須：いいえ

--log-file <file name with path>

システムがログファイルを書き込む場所を指定します。詳細については、「クライアント SDK 5 のログの記録」を参照してください。

必須：いいえ

--log-type <term | file>

システムがログをファイルまたはターミナルのどちらに書き込むかを指定します。詳細については、「クライアント SDK 5 のログの記録」を参照してください。

必須：いいえ

-h | --help

ヘルプを表示します。

必須：いいえ

-v | --version

バージョンを表示します。

必須：いいえ

--disable-key-availability-check

キーの可用性クォーラムを無効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを無効にし、クラスター内の 1 つの HSM にのみ存在するキーを使用できることを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。

必須：いいえ

--enable-key-availability-check

キーの可用性クォーラムを有効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを使用し、それらのキーがクラスター内の 2 つの HSMs に存在するまでキーを使用できないことを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「クライアントキーの耐久性設定の管理」を参照してください。

デフォルトでは有効になっています。

必須：いいえ

-disable-validate-key-at--init

このフラグを指定すると、その後の呼び出しでキーのパーミッションを確認するための初期化呼び出しをスキップできるため、パフォーマンスが向上します。注意して使用してください。

背景: PKCS #11 ライブラリの一部のメカニズムでは、初期化コールで後続のコールでキーを使用できるかどうかを検証するマルチパートオペレーションをサポートしています。これには HSM への検証呼び出しが必要で、オペレーション全体にレイテンシーが追加されます。このオプションを使用すると、後続の呼び出しを無効にし、パフォーマンスを向上させる可能性があります。

必須：いいえ

-enable-validate-key-at--init

初期化呼び出しを使用して、後続の呼び出しでキーに対する許可を検証するように指定します。これがデフォルトのオプションです。enable-validate-key-at-init を使用して、これらの初期化呼び出しを再開するには disable-validate-key-at-init を一時停止します。

必須：いいえ

関連トピック

• DescribeClusters API オペレーション

• describe-clusters AWS CLI

• Get-HSM2Cluster PowerShell コマンドレット

• クライアント SDK 5 のブートストラップ

• AWS CloudHSM VPC エンドポイント

• クライアント SDK 5 キーの耐久性設定の管理

• クライアント SDK 5 ログ記録