AWS CloudHSM バックアップの管理

AWS CloudHSM クラスターのバックアップを少なくとも 24 時間に 1 回は定期的に行います。各バックアップは、次のデータの暗号化されたコピーを含んでいます。

• ユーザー (CO、CU、および AU)

• キーマテリアルと証明書

• ハードウェアセキュリティモジュール (HSM) の設定とポリシー

バックアップを作成するようサービスに指示することはできませんが、特定の操作を行うことで強制的にバックアップを作成させることは可能です。以下のいずれかのアクションを実行すると、サービスがバックアップを作成します。

• クラスターをアクティベートするには

• HSM をアクティブクラスターに追加します。

• アクティブクラスターから HSM を削除

AWS CloudHSM クラスターの作成時に設定したバックアップ保持ポリシーに基づいてバックアップを削除します。バックアップ保持ポリシーの管理については、バックアップの保持を設定 を参照してください。

トピック

• バックアップの使用
• バックアップの削除と復元
• バックアップの保持を設定
• リージョン間のバックアップのコピー

バックアップの使用

1 つ、または複数のアクティブな HSM が含まれていたクラスターに HSM を追加すると、サービスは最新のバックアップを新しい HSM に復元します。バックアップを使用して、使用頻度が少ない HSM を管理します。HSM が不要な場合は、それを削除してバックアップをトリガーします。後に、その HSM が必要になったときに、同じクラスター内に新しい HSM を作成します。この操作により、以前に HSM の削除操作で作成したバックアップが復元されます。

有効期限切れのキー、または非アクティブなユーザーの削除

有効期限切れのキー、または非アクティブなユーザーなど、特定の暗号化マテリアルを環境から削除できます。これは 2 ステッププロセスです。まず、HSM からこれらのマテリアルを削除します。次に、既存のバックアップをすべて削除します。このプロセスに従うと、バックアップから新しいクラスターを初期化するときに、削除された情報が復元されないようになります。詳細については、「バックアップの削除と復元」を参照してください。

ディザスタリカバリの検討

バックアップからクラスターを作成することができます。これは、クラスターのリカバリ・ポイントを設定するために行う場合があります。リカバリ・ポイントに必要なすべてのユーザー、キー・マテリアル、証明書を含むバックアップを指定し、そのバックアップを使用して新しいクラスターを作成します。バックアップからクラスタを作成する方法の詳細については、バックアップからクラスターを作成する を参照してください。

また、クラスターのバックアップを別のリージョンにコピーして、そこで元のクラスターのクローンとして新しいクラスターを作成することもできます。このプロセスは、さまざまな理由 (例: 災害対策プロセスの簡素化) で使用できます。バックアップをリージョンにコピーする方法の詳細については、リージョン間のバックアップのコピー を参照してください。