AWS CloudHSM でクラスターを作成する - AWS CloudHSM

AWS CloudHSM でクラスターを作成する

クラスターは、個々のハードウェアセキュリティモジュール (HSM) のコレクションです。AWS CloudHSM は、論理単位として機能するように各クラスター内の HSM を同期します。 AWS CloudHSM は、hsm1.mediumhsm2m.medium の 2 つのタイプの HSM を提供します。クラスターを作成するときに、2 つのうちのどちらをクラスターに含めるかを選択します。各 HSM タイプとクラスターモードの違いの詳細については、「AWS CloudHSM クラスターモード」を参照してください。

クラスターを作成すると、ユーザーに代わって、AWS CloudHSM がクラスターのセキュリティグループを作成します。このセキュリティグループは、クラスター内の HSM へのネットワークアクセスを制御します。これにより、セキュリティグループの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスからのみインバウンド接続ができます。デフォルトでは、セキュリティグループにインスタンスは一切含まれていません。後で、クライアントインスタンスを起動し、クラスターのセキュリティグループを設定して、HSM との接続および通信を可能にします。

重要

ユーザーがクラスターを作成すると、AWS CloudHSM は AWSServiceRoleForCloudHSM という名前のサービスにリンクされたロールを作成します。AWS CloudHSM がロールを作成できない場合、またはロールがまだ存在しない場合は、クラスターを作成できないことがあります。詳細については、「AWS CloudHSM クラスター作成エラーの解決」を参照してください。サービスにリンクされたロールの詳細については、「AWS CloudHSM のサービスにリンクされたロール」を参照してください。

重要

AWS CloudHSM デュアルスタックエンドポイント (cloudhsmv2.region .api.aws など) を使用している場合は、IAM ポリシーが更新されて IPv6 が処理されていることを確認します。詳細については、「Control API access with IAM policies」を参照してください。

AWS CloudHSM コンソールAWS Command Line Interface (AWS CLI)、AWS CloudHSM API からクラスターを作成できます。

注記

クラスター引数と API の詳細については、AWS CLI コマンド リファレンスの「create-cluster」を参照してください。

Console
クラスターを作成するには (コンソール)
  1. AWS CloudHSM コンソール (https://console.aws.amazon.com/cloudhsm/home) を開きます。

  2. ナビゲーションバーで、リージョンセレクタを使用して、AWS CloudHSM が現在サポートされている AWS リージョンのいずれかを選択します。

  3. [クラスターを作成] を選択します。

  4. [Cluster configuration] セクションで、以下の操作を実行します。

    1. VPC では、AWS CloudHSM のための仮想プライベートクラウド (VPC) の作成 で作成した VPC を選択します。

    2. Availability Zone(s) では、各アベイラビリティーゾーンの横にある、作成したプライベートサブネットを選択します。

      注記

      AWS CloudHSM がサポートされていない場合でも、AWS CloudHSM では、クラスター内のすべての HSM 間で自動的に負荷分散されるため、特定のアベイラビリティーゾーンにおけるパフォーマンスには影響はありません。 でサポートされているアベイラビリティーゾーンを確認するには、『AWS CloudHSM』の「AWS 全般のリファレンス のリージョンとエンドポイントAWS CloudHSM」を参照してください。

    3. H[SM タイプ] では、クラスター内に作成できる HSM タイプとクラスター使用するモードを選択します。各リージョンでサポートされている HSM タイプについては、AWS CloudHSM料金計算ツール をご覧ください。

      重要

      クラスターの作成後は、HSM タイプとクラスター モードを変更できません。どのタイプとモードがユースケースに適しているかについては、「AWS CloudHSM クラスターモード」を参照してください。

    4. [クラスターモード] では、新しいクラスターを作成するか、既存のバックアップから復元するかを指定します。

      • 非 FIPS モードのクラスターのバックアップは、非 FIPS モードのクラスターを復元するためにのみ使用できます。

      • FIPS モードのクラスターのバックアップは、FIPS モードのクラスターを復元するためにのみ使用できます。

  5. [Next] を選択します。

  6. サービスがバックアップを保持する期間を指定します。

    注記

    デフォルトの保存期間である 90 日を受け入れるか、7 ~ 379 日の間に新しい値を入力します。このサービスは、ここで指定した値よりも古いこのクラスター内のバックアップを自動的に削除します。これは後で変更できます。詳細については、「バックアップ保持の設定」を参照してください。

  7. [Next] を選択します。

  8. (オプション) タグキーとオプションのタグ値を入力します。クラスターに複数のタグを追加するには、タグの追加 を選択します。

  9. [Review] (レビュー) を選択します。

  10. クラスター設定を確認し、[Create cluster (クラスターの作成)] を選択します。

クラスターの作成に失敗した場合は、AWS CloudHSM のサービスにリンクされたロールの問題に関連している可能性があります。障害を解決するためのヘルプについては、「AWS CloudHSM クラスター作成エラーの解決」を参照してください。

AWS CLI
クラスターを作成するには (AWS CLI)
  • コマンドラインプロンプトで、create-cluster コマンドを実行します。HSM インスタンスタイプ、バックアップ保持期間、HSM を作成するサブネットのサブネット ID を指定します。作成したプライベートサブネットのサブネット ID を使用します。サブネットは、アベイラビリティーゾーンごとに 1 つだけ指定できます。

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \ --backup-retention-policy Type=DAYS,Value=<number of days> \ --subnet-ids <subnet ID> \ --mode FIPS { "Cluster": { "BackupPolicy": "DEFAULT", "BackupRetentionPolicy": { "Type": "DAYS", "Value": 90 }, "VpcId": "vpc-50ae0636", "SubnetMapping": { "us-west-2b": "subnet-49a1bc00", "us-west-2c": "subnet-6f950334", "us-west-2a": "subnet-fd54af9b" }, "SecurityGroup": "sg-6cb2c216", "HsmType": "hsm1.medium", "Certificates": {}, "State": "CREATE_IN_PROGRESS", "Hsms": [], "ClusterId": "cluster-igklspoyj5v", "ClusterMode": "FIPS", "CreateTimestamp": 1502423370.069 } }
    注記

    ClusterMode は、hsm1.medium を除くすべての hsm タイプに必要なパラメータです。--mode:

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \ --backup-retention-policy Type=DAYS,Value=<number of days> \ --subnet-ids <subnet ID> \ --mode NON_FIPS

クラスターの作成に失敗した場合は、AWS CloudHSM のサービスにリンクされたロールの問題に関連している可能性があります。障害を解決するためのヘルプについては、「AWS CloudHSM クラスター作成エラーの解決」を参照してください。

AWS CloudHSM API
クラスターを作成するには (AWS CloudHSM API)
  • CreateCluster リクエストを送信します。HSM インスタンスタイプ、バックアップ保持ポリシー、HSM を作成するサブネットのサブネット ID を指定します。作成したプライベートサブネットのサブネット ID を使用します。サブネットは、アベイラビリティーゾーンごとに 1 つだけ指定できます。

クラスターの作成に失敗した場合は、AWS CloudHSM のサービスにリンクされたロールの問題に関連している可能性があります。障害を解決するためのヘルプについては、「AWS CloudHSM クラスター作成エラーの解決」を参照してください。