CloudHSM CLI を使用したクォーラム認証の管理 (M of N のアクセスコントロール)

AWS CloudHSM クラスター内の HSMsクォーラム認証をサポートしています。クォーラム認証は M of N アクセスコントロールとも呼ばれます。クォーラム認証を使用すると、HSM の単一のユーザーは HSM でクォーラム管理されたオペレーションを行うことができません。代わりに、HSM ユーザーの最小数 (少なくとも 2 人) が、これらのオペレーションを協力して行う必要があります。クォーラム認証を使用すると、複数の HSM ユーザーからの承認を要求することで、さらに保護レイヤーを追加できます。

クォーラム認証は次のオペレーションを制御できます。

• 管理者による HSM ユーザーの管理 – HSM ユーザーの作成と削除、および、別の HSM ユーザーのパスワードの変更。詳細については、「管理者用クォーラム認証を使用する」を参照してください。

次のトピックでは、 AWS CloudHSMでのクォーラム認証についてさらに詳細な情報を提供します。

トピック

• トークン署名戦略によるクォーラム認証の概要
• クォーラム認証に関するその他の詳細
• クォーラム認証をサポートするサービス名とタイプ
• 管理者用クォーラム認証を使用する: 初回セットアップ
• 管理者用クォーラム認証を使用する
• 管理者のクォーラム最小値を変更する

トークン署名戦略によるクォーラム認証の概要

以下のステップは、クォーラム認証のプロセスの概要を示しています。特定のステップとツールについては、管理者用クォーラム認証を使用する を参照してください。

1. 各 HSM ユーザーは署名のための非対称キーを作成します。これは HSM の外部で行い、キーを適切に保護します。

2. 各 HSM ユーザーは HSM にログインし、署名キーの公開部分 (パブリックキー) を HSM に登録します。

3. HSM ユーザーがクォーラム管理されたオペレーションを実行する場合は、HSM にログインし、クォーラムトークンを取得します。

4. HSM ユーザーは、クォーラムトークンを 1 人または複数の他の HSM ユーザーに付与し、承認を求めます。

5. 他の HSM ユーザーは、キーを使用してクォーラムトークンに暗号で署名することにより承認します。これは HSM の外部で行われます。

6. HSM ユーザーが必要な数の承認を得たら、同じユーザーが HSM にログインし、必要な承認 (署名) をすべて含む署名付きクォーラムトークンファイルを提供して、--approval 引数を指定してクォーラム制御オペレーションを実行します。

7. HSM では、それぞれの署名した人の登録されたパブリックキーを使用して署名を確認します。署名が有効な場合、HSM はトークンを承認し、クォーラム制御されたオペレーションが実行されます。

クォーラム認証に関するその他の詳細

AWS CloudHSMでのクォーラム認証の使用に関する次の追加の情報に注意してください。

• HSM ユーザーは自分のクォーラムトークンに署名できます。つまり、リクエストするユーザーはクォーラム認証に必要な承認の 1 つを提供できます。

• クォーラム管理されたオペレーションに対して、最小数のクォーラム承認者を選択します。選択できる最小数は 2 で、選択できる最大数は 8 です。

• HSM はクォーラムトークンを最大 1024 保存できます。HSM にすでに 1024 トークンある場合、新しく作成しようとすると、HSM は期限切れのトークンの 1 つを消去します。デフォルトでは、トークンは作成後 10 分で有効期限が切れます。

• 多要素認証 (MFA) が有効になっている場合、クラスターは、クォーラム認証と MFA に同じキーを使用します。クォーラム認証と 2 要素認証の詳細については、「CloudHSM CLI を使用して MFA を管理する」を参照してください。

• 各 HSM には、サービスごとに一度に 1 つのトークンしか含めることができません。