でクラスターをアクティブ化する AWS CloudHSM - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でクラスターをアクティブ化する AWS CloudHSM

AWS CloudHSM クラスターをアクティブ化すると、クラスターの状態が初期化からアクティブに変わります。その後、ハードウェアセキュリティモジュール (HSM) のユーザーを管理 し、HSM を使用します

重要

クラスターをアクティブ化する前に、クラスターに接続する各 EC2 インスタンス上のプラットフォームのために、デフォルトの場所に発行証明書をコピーする必要があります (クラスターを初期化するときに、発行証明書を作成します)。クラスターの初期化時に選択したアプローチに基づいて、適切な証明書ファイルを使用します。

  • オプション A (単一の自己署名証明書): コピー customerRootCA.crt

  • オプション B (証明書チェーン): コピー chainCA.crt

Linux の場所:

/opt/cloudhsm/etc/<customerRootCA.crt OR chainCA.crt>

Windows の場所:

C:\ProgramData\Amazon\CloudHSM\<customerRootCA.crt OR chainCA.crt>

証明書ファイルをコピーしたら、/opt/cloudhsm/etc/cloudhsm-cli.cfgファイルを編集して、証明書ファイル名がコピーした CA 証明書の名前と一致することを確認します。

発行証明書を配置したら、CloudHSM CLI をインストールし、最初の HSM で cluster activate コマンドを実行します。クラスター内の最初の HSM の管理者アカウントに unactivated-admin ロールが割り当てられているはずです。これはクラスターがアクティブ化される前にのみ存在する一時的なロールです。クラスターをアクティブ化すると、非アクティブ化された管理者のロールは管理者に変わります。

クラスターをアクティブ化するには

  1. 以前に起動したクライアントインスタンスに接続します。詳細については、「AWS CloudHSMとやり取りするための Amazon EC2 クライアントインスタンスを起動する」を参照してください。Linux インスタンスまたは Windows Server を起動できます。

  2. CloudHSM CLI をインタラクティブモードで実行します。

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive

  3. (オプション) user list コマンドを使用して、既存のユーザーを表示します。

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "unactivated-admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  4. cluster activate コマンドを使用して初期管理者パスワードを設定します。

    aws-cloudhsm > cluster activate
Enter password:<NewPassword>
Confirm password:<NewPassword>
{
  "error_code": 0,
  "data": "Cluster activation successful"
}

    新しいパスワードをパスワードワークシートに書き留めておくことをお勧めします。ワークシートを紛失しないでください。パスワードワークシートのコピーを印刷することをお勧めします。このコピーに重要な HSM のパスワードをメモし、安全な場所に保存してください。また、このワークシートのコピーをオフサイトの安全なストレージに保存することをお勧めします。

  5. (オプション) user list コマンドを使用して、ユーザーのタイプが admin/CO に変更されていることを確認します。

    aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      },
       {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "cluster-coverage": "full"
      }
    ]
  }
}

  6. quit コマンドを使用して、CloudHSM CLI ツールを停止します。

    aws-cloudhsm > quit

CMU または CloudHSM CLI のオペレーションの詳細については、HSM ユーザーについてCMU での HSM ユーザー管理について を参照してください。