クライアントの Amazon EC2 インスタンスのセキュリティグループを設定する

Amazon EC2 インスタンスを起動した際、デフォルトの Amazon VPC セキュリティグループに関連付けました。このトピックでは、クラスターセキュリティグループを EC2 インスタンスに関連付ける方法について説明します。この関連付けにより、EC2 インスタンスで実行されている AWS CloudHSM クライアントが HSMsと通信できるようになります。EC2 インスタンスを AWS CloudHSM クラスターに接続するには、VPC のデフォルトのセキュリティグループを適切に設定し、クラスターのセキュリティグループをインスタンスに関連付ける必要があります。

デフォルトのセキュリティグループの変更

クライアントソフトウェアをダウンロードしてインストールし、HSM と通信できるように、SSH 接続または RDP 接続が許可されるようにデフォルトのセキュリティグループを変更する必要があります。

デフォルトのセキュリティグループを変更するには

1. https://console.aws.amazon.com/ec2/ で EC2 ダッシュボード を開きます。

2. インスタンス (実行中) を選択し、 AWS CloudHSM クライアントをインストールする EC2 インスタンスの横にあるチェックボックスをオンにします。

3. [セキュリティ] タブで、[デフォルト] という名前のセキュリティグループを選択します。

4. ページの一番上で、[アクション]、[インバウンドのルールの編集] の順に選択します。

5. [Add rule (ルールの追加)] を選択します。

6. [タイプ] で、以下のいずれかを実行します。

   • Windows Server の Amazon EC2 インスタンスで、RDP を選択します。ポート 3389 は自動的に追加されています。

   • Linux Amazon EC2 インスタンスの場合は、SSH を選択します。ポート範囲 22 は自動的に追加されています。

7. いずれのオプションでも、[ソース] を [My IP] に設定すると、Amazon EC2 インスタンスと通信できるようになります。

   重要

   誰もがインスタンスにアクセスできないようにするには、CIDR 範囲として 0.0.0.0/0 を指定しないでください。

8. [保存] を選択します。

Amazon EC2 インスタンスを AWS CloudHSM クラスターに接続する

EC2 インスタンスがクラスター内の HSM と通信できるように、クラスターのセキュリティグループを EC2 インスタンスに接続する必要があります。クラスターのセキュリティグループには、ポート 2223〜2225 経由のインバウンド通信を許可する事前に設定されたルールが含まれます。

EC2 インスタンスを AWS CloudHSM クラスターに接続するには

1. https://console.aws.amazon.com/ec2/ で EC2 ダッシュボード を開きます。

2. インスタンス (実行中) を選択し、 AWS CloudHSM クライアントをインストールする EC2 インスタンスのチェックボックスをオンにします。

3. ページの一番上で、アクション、セキュリティ、セキュリティグループの変更 を選択します。

4. クラスターの ID と一致するグループ名のセキュリティグループ (例: cloudhsm-cluster-clusterID-sg) を選択します。

5. [セキュリティグループを追加] を選択します。

6. [Save] を選択します。

注記

最大 5 つのセキュリティグループを 1 つの Amazon EC2 インスタンスに割り当てることができます。上限に達した場合は、Amazon EC2 のインスタンスのデフォルトのセキュリティグループとクラスターのセキュリティグループを変更する必要があります。

デフォルトのセキュリティグループで、以下の操作を行います。

• クラスターセキュリティグループからポート 2223-2225 経由で TCP プロトコルを使用したトラフィックを許可するアウトバウンドルールを追加します。

クラスターのセキュリティグループで、以下の操作を行います。

• デフォルトのセキュリティグループからポート 2223-2225 経由で TCP プロトコルを使用したトラフィックを許可するインバウンドルールを追加します。