翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS CloudHSM クライアント SDK 5 設定ツール
AWS CloudHSM クライアント SDK 5 設定ツールを使用して、クライアント側の設定ファイルを更新します。
クライアント SDK 5 の各コンポーネントには、構成ツールのファイル名にコンポーネントの指定子を含む構成ツールが含まれています。たとえば、クライアント SDK 5 の PKCS \$111 ライブラリには、Linux上 `configure-pkcs11` またはWindows上 `configure-pkcs11.exe` で名付けられた構成ツールが含まれています。
**Topics**
+ [構文](configure-tool-syntax5.md)
+ [パラメータ](configure-tool-params5.md)
+ [例](configure-tool-examples5.md)
+ [ブートストラップ OpenSSL プロバイダー](configure-openssl-provider.md)
+ [詳細設定](configure-sdk5-advanced-configs.md)
+ [関連トピック](configure-tool-seealso5.md)
# AWS CloudHSM クライアント SDK 5 設定構文
次の表は、クライアント SDK 5 AWS CloudHSM の設定ファイルの構文を示しています。パラメータの詳細については、「 」を参照してください[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md)
------
#### [ PKCS \$111 ]
```
Usage: configure-pkcs11[ .exe ] [OPTIONS]
Options:
--disable-certificate-storage
Disables Certificate Storage
--enable-certificate-storage
Enables Certificate Storage
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL ]
```
Usage: configure-dyn[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ KSP ]
```
Usage: configure-ksp.exe [OPTIONS]
Options:
-a ...
The address of the HSM instance
--server-client-cert-file
The client certificate used for TLS client-server mutual authentication
--server-client-key-file
The client private key used for TLS client-server mutual authentication
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
--enable-sdk3-compatibility-mode
Enables key file usage for KSP
--disable-sdk3-compatibility-mode
Disables key file usage for KSP
-h, --help
Print help
```
------
#### [ JCE ]
```
Usage: configure-jce[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ CloudHSM CLI ]
```
Usage: configure-cli[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL Provider ]
```
Usage: configure-openssl-provider[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
# AWS CloudHSM クライアント SDK 5 設定パラメータ
AWS CloudHSM クライアント SDK 5 を設定するためのパラメータのリストを次に示します。
**-a ****
指定した IP アドレスをクライアント SDK 5 設定ファイルに追加します。クラスター内の HSM の任意の ENI IP アドレスを入力します。このオプションの使用方法の詳細については、「[クライアント SDK 5でブートストラップ](cluster-connect.md#sdk8-connect)」 を参照してください。
必須: はい
**--hsm-ca-cert ****
EC2クライアントインスタンスをクラスターに接続するために使用する認証局(CA)証明書を格納するディレクトリへのパス。このファイルは、クラスターを初期化するときに作成します。デフォルトでは、システムはこのファイルを次の場所で検索します。
Linux
```
/opt/cloudhsm/etc/customerCA.crt
```
Server
```
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
```
クラスターの初期化または証明書の配置の詳細については、「[各 EC2 インスタンス上に発行証明書を配置する](cluster-connect.md#place-hsm-cert)」 および 「[でクラスターを初期化する AWS CloudHSM](initialize-cluster.md)」 を参照してください。
必須: いいえ
**--cluster-id ****
`DescribeClusters` を呼び出して、クラスターIDに関連付けられたクラスターのすべての HSM Elastic Network Interface(ENI)IPアドレスを検索します。システムは ENI IP アドレスを設定 AWS CloudHSM ファイルに追加します。
パブリックインターネットにアクセスできない VPC 内の EC2 インスタンスから `--cluster-id`パラメータを使用する場合は、接続するインターフェイス VPC エンドポイントを作成する必要があります AWS CloudHSM。VPCエンドポイントの詳細については、[AWS CloudHSM および VPC エンドポイント](cloudhsm-vpc-endpoint.md) を参照してください。
必須: いいえ
**--endpoint ****
`DescribeClusters` 呼び出しに使用する AWS CloudHSM API エンドポイントを指定します。このオプションは `--cluster-id` と組み合わせて設定する必要があります。
必須: いいえ
**--region ****
クラスターのリージョンを指定します。このオプションは `--cluster-id` と組み合わせて設定する必要があります。
この `--region` パラメータを指定しない場合、システムは `AWS_DEFAULT_REGION` または `AWS_REGION` の環境変数の読み取りを試みてリージョンを選択します。これらの変数が設定されていない場合、環境変数で別のファイルを指定しない限り、AWS Config (通常は `~/.aws/config`) のプロファイルに関連付けられたリージョンをチェックします`AWS_CONFIG_FILE`。いずれも設定されていない場合は、`us-east-1` デフォルトでリージョンが設定されます。
必須: いいえ
**--client-cert-hsm-tls-file *<クライアント証明書の hsm tls パス>***
TLS クライアントと HSM の相互認証に使用するクライアント証明書へのパス。
このオプションは、CloudHSM CLI で HSM に少なくとも 1 つのトラストアンカーを登録している場合にのみ使用します。このオプションは `--client-key-hsm-tls-file` と組み合わせて設定する必要があります。
必須: いいえ
**--client-key-hsm-tls-file *<クライアントキー hsm tls のパス>***
TLS クライアントと HSM の相互認証に使用されるクライアントキーへのパス。
このオプションは、CloudHSM CLI で HSM に少なくとも 1 つのトラストアンカーを登録している場合にのみ使用します。このオプションは `--client-cert-hsm-tls-file` と組み合わせて設定する必要があります。
必須: いいえ
**--log-level ****
システムがログファイルに書き込むべき最小のログレベルを指定します。各レベルは前のレベルを含み、最小レベルはエラー、最大レベルはトレースとなります。つまり、エラーを指定すると、システムはログにエラーのみを書き込みます。トレースを指定すると、システムはエラー、警告、情報 (info)、およびデバッグメッセージをログに書き込みます。詳細については、「[クライアント SDK 5 のログの記録](hsm-client-logs.md#sdk5-logging)」を参照してください。
必須: いいえ
**--log-rotation ****
システムがログをローテートする頻度を指定します。詳細については、「[クライアント SDK 5 のログの記録](hsm-client-logs.md#sdk5-logging)」を参照してください。
必須: いいえ
**--log-file ****
システムがログファイルを書き込む場所を指定します。詳細については、「[クライアント SDK 5 のログの記録](hsm-client-logs.md#sdk5-logging)」を参照してください。
必須: いいえ
**--log-type ****
システムがログをファイルまたはターミナルのどちらに書き込むかを指定します。詳細については、「[クライアント SDK 5 のログの記録](hsm-client-logs.md#sdk5-logging)」を参照してください。
必須: いいえ
**-h \$1 --help**
ヘルプを表示します。
必須: いいえ
**--disable-key-availability-check **
キーの可用性クォーラムを無効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを無効にし、クラスター内の 1 つの HSM にのみ存在するキーを使用できることを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「[クライアントキーの耐久性設定の管理](working-client-sync.md#setting-file-sdk8)」を参照してください。
必須: いいえ
**--enable-key-availability-check **
キーの可用性クォーラムを有効にするためのフラグ。このフラグを使用して、 AWS CloudHSM がキー可用性クォーラムを使用し、それらのキーがクラスター内の 2 つの HSMs に存在するまでキーを使用できないことを示します。このフラグを使用してキーの可用性クォーラムを設定する方法については、「[クライアントキーの耐久性設定の管理](working-client-sync.md#setting-file-sdk8)」を参照してください。
デフォルトでは有効になっています。
必須: いいえ
**--disable-validate-key-at-init **
このフラグを指定すると、その後の呼び出しでキーのパーミッションを確認するための初期化呼び出しをスキップできるため、パフォーマンスが向上します。注意して使用してください。
背景: PKCS \$111 ライブラリの一部のメカニズムでは、初期化コールで後続のコールでキーを使用できるかどうかを検証するマルチパートオペレーションをサポートしています。これには HSM への検証呼び出しが必要で、オペレーション全体にレイテンシーが追加されます。このオプションを使用すると、後続の呼び出しを無効にし、パフォーマンスを向上させる可能性があります。
必須: いいえ
**--enable-validate-key-at-init **
初期化呼び出しを使用して、後続の呼び出しでキーに対する許可を検証するように指定します。これはデフォルトのオプションです。`enable-validate-key-at-init` を使用して、これらの初期化呼び出しを再開するには `disable-validate-key-at-init` を一時停止します。
必須: いいえ
# AWS CloudHSM クライアント SDK 5 の設定例
これらの例は、 AWS CloudHSM クライアント SDK 5 の設定ツールを使用する方法を示しています。
## クライアント SDK 5 のブートストラップ
**Example**
この例では、クライアント SDK 5 の HSM データを更新するための`-a` パラメータを使用しています。`-a` パラメータの場合は、クラスターのいずれかの HSM の IP アドレスが必要です。
**クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a
```
**クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a
```
**クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-dyn -a
```
**クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a
```
**クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-jce -a
```
**クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスター内の HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a
```
**クライアント SDK 5 の Linux EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**クライアント SDK 5 の Windows EC2 インスタンスをブートストラップするには**
+ 構成ツールを使用して、クラスターの HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
`–-cluster-id` パラメータは `-a ` の代わりに使用できます。`–-cluster-id` の使用要件については、「[AWS CloudHSM クライアント SDK 5 設定ツール](configure-sdk-5.md)」を参照してください。
`-a` パラメータの詳細については、「[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md)」をご参照ください。
## クライアント SDK 5 のクラスター、リージョン、エンドポイントの指定
**Example**
この例では、`cluster-id` パラメータを使用して、`DescribeClusters` 呼び出しを行うことにより、クライアント SDK 5 をブートストラップします。
**クライアント SDK 5 の Linux EC2 インスタンスを `cluster-id` 呼び出しでブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id
```
**クライアント SDK 5 用の Windows EC2 インスタンスを `cluster-id` でブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id
```
**クライアント SDK 5 の Linux EC2 インスタンスを `cluster-id` 呼び出しでブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id
```
**クライアント SDK 5 用の Windows EC2 インスタンスを `cluster-id` でブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id
```
**クライアント SDK 5 の Linux EC2 インスタンスを `cluster-id` 呼び出しでブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id
```
**クライアント SDK 5 用の Windows EC2 インスタンスを `cluster-id` でブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id
```
**クライアント SDK 5 の Linux EC2 インスタンスを `cluster-id` 呼び出しでブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id
```
**クライアント SDK 5 用の Windows EC2 インスタンスを `cluster-id` でブートストラップするには**
+ クラスター ID `cluster-1234567` を使用して、クラスター内の HSMの IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id
```
`--region` と `--endpoint` のパラメータと `cluster-id` のパラメータを組み合わせて、システムが `DescribeClusters` の呼び出しを行う方法を指定することができます。例えば、クラスターのリージョンが AWS CLI のデフォルトとして設定されているものと異なる場合、そのリージョンを使用するように `--region` パラメータを使用する必要があります。さらに、呼び出しに使用する AWS CloudHSM API エンドポイントを指定することもできます。これは、デフォルトの DNS ホスト名を使用しない VPC インターフェイスエンドポイントを使用するなど、さまざまなネットワーク設定に必要な場合があります AWS CloudHSM。
**カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id --region --endpoint
```
**カスタムエンドポイントとリージョンを使用して Windows EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id --region --endpoint
```
**カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id --region --endpoint
```
**カスタムエンドポイントとリージョンを使用して Windows EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id --region --endpoint
```
**カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id --region --endpoint
```
**カスタムエンドポイントとリージョンを使用して Windows EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id --region --endpoint
```
**カスタムエンドポイントとリージョンを使用して Linux EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id --region --endpoint
```
**カスタムエンドポイントとリージョンを使用して Windows EC2 インスタンスをブートストラップするには**
+ 設定ツールを使用して、カスタムリージョンとエンドポイントを持つクラスター内の HSM の IP アドレスを指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id --region --endpoint
```
`--cluster-id`、`--region`、`--endpoint` パラメータの詳細については、[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md)を参照してください。
## TLS クライアントと HSM の相互認証のためのクライアント証明書とキーの更新する
**Example**
この例では、 パラメータ`--client-cert-hsm-tls-file`と `--client-key-hsm-tls-file`パラメータを使用して、 のカスタムキーと SSL 証明書を指定して SSL を再設定する方法を示します。 AWS CloudHSM
**Linux のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. 構成ツールで `ssl-client.pem`、`ssl-client.key` を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell インタプリタでは、構成ツールを使用して `ssl-client.pem` と `ssl-client.key` を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 構成ツールで `ssl-client.pem`、`ssl-client.key` を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell インタプリタでは、構成ツールを使用して `ssl-client.pem` と `ssl-client.key` を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 構成ツールで `ssl-client.pem`、`ssl-client.key` を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell インタプリタでは、構成ツールを使用して `ssl-client.pem` と `ssl-client.key` を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 構成ツールで `ssl-client.pem`、`ssl-client.key` を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows のクライアント SDK 5 で TLS クライアントと HSM の相互認証にカスタム証明書とキーを使用するには**
1. キーと証明書を適切なディレクトリにコピーします。
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell インタプリタでは、構成ツールを使用して `ssl-client.pem` と `ssl-client.key` を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
`--client-cert-hsm-tls-file`、および `--client-key-hsm-tls-file`、パラメータの詳細については、[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md) を参照してください。
## クライアントキーの耐久性設定を無効にする
**Example**
この例では `--disable-key-availability-check` パラメータを使用して、クライアントキーの耐久性設定を無効にします。単一の HSM でクラスターを実行するには、クライアントキーの耐久性設定を無効にする必要があります。
**Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**Windows でクライアント SDK 5 のクライアントキー耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
**Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
**Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
**Windows でクライアント SDK 5 のクライアントキー耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
**Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**Windows でクライアント SDK 5 のクライアントキー耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
**Linux でクライアント SDK 5 のクライアントキーの耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**Windows でクライアント SDK 5 のクライアントキー耐久性を無効にするには**
+ 構成ツールを使用して、クライアントキーの耐久性設定を無効にします。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
`--disable-key-availability-check` パラメータの詳細については、「[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md)」をご参照ください。
## ログ記録オプションの管理
**Example**
クライアント SDK 5 では、`log-file`、`log-level`、`log-rotation`、および `log-type` パラメータを使用して、ログを管理します。
AWS Fargate や AWS Lambda などのサーバーレス環境用に SDK を設定するには、 AWS CloudHSM ログタイプを に設定することをお勧めします`term`。クライアントログは `stderr` に出力され、その環境に設定された CloudWatch Logs のロググループにキャプチャされます。
**デフォルトのログ記録の場所**
+ ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
```
/opt/cloudhsm/run/cloudhsm-pkcs11.log
```
Server
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
```
**ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
```
**ファイルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file --log-rotation daily --log-level info
```
**ターミナルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
```
**デフォルトのログ記録の場所**
+ ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
```
stderr
```
**ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
```
**ファイルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type file --log-file --log-rotation daily --log-level info
```
**ターミナルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
```
**デフォルトのログ記録の場所**
+ ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
```
stderr
```
**ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-level info
```
**ファイルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type file --log-file --log-rotation daily --log-level info
```
**ターミナルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type term --log-level info
```
**デフォルトのログ記録の場所**
+ ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Server
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-ksp.log
```
**ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-level info
```
**ファイルのログ記録オプションを設定するには**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type file --log-file --log-rotation daily --log-level info
```
**ターミナルのログ記録オプションを設定するには**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type term --log-level info
```
**デフォルトのログ記録の場所**
+ ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
```
/opt/cloudhsm/run/cloudhsm-jce.log
```
Server
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
```
**ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-level info
```
**ファイルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file --log-rotation daily --log-level info
```
**ターミナルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
```
**デフォルトのログ記録の場所**
+ ファイルの場所を指定しない場合、システムはログを以下のデフォルトの場所に書き込みます。
Linux
```
/opt/cloudhsm/run/cloudhsm-cli.log
```
Server
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
```
**ログ記録レベルを設定し、他のログ記録オプションはデフォルトのままにしておくには**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-level info
```
**ファイルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file --log-rotation daily --log-level info
```
**ターミナルのログ記録オプションを設定するには**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info
```
`log-file`、`log-level`、`log-rotation`、`log-type` のパラメータの詳細については、「[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md)」を参照してください。
## クライアント SDK 5 の発行証明書を配置する
**Example**
この例では `--hsm-ca-cert` パラメータを使用して、クライアント SDK 5 の発行証明書の場所を更新します。
**Linux クライアント SDK 5 の発行証明書を配置します。**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert
```
**Windows クライアント SDK 5 の発行証明書を配置します。**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --hsm-ca-cert
```
**Linux クライアント SDK 5 の発行証明書を配置する**
+ 構成ツールを使用して、発行証明書の場所を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert
```
**Linux クライアント SDK 5 の発行証明書を配置する**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --hsm-ca-cert
```
**Windows クライアント SDK 5 の発行証明書を配置します。**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --hsm-ca-cert
```
**Linux クライアント SDK 5 の発行証明書を配置する**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert
```
**Windows クライアント SDK 5 の発行証明書を配置します。**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --hsm-ca-cert
```
**Linux クライアント SDK 5 の発行証明書を配置する**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert
```
**Windows クライアント SDK 5 の発行証明書を配置します。**
+ 設定ツールを使用して、発行証明書の場所を指定します。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --hsm-ca-cert
```
`--hsm-ca-cert` パラメータの詳細については、「[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md)」をご参照ください。
# ブートストラップ OpenSSL プロバイダー
configure-openssl-provider ツールを使用して OpenSSL プロバイダーのインストールをブートストラップし、 AWS CloudHSM クラスターに接続します。
**OpenSSL プロバイダーをブートストラップするには**
1. クラスター内の HSM の IP アドレスを使用して configure-openssl-provider コマンドを実行します。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
** をクラスター内の任意の HSM の IP アドレスに置き換えます。
1. OpenSSL プロバイダーがクラスターに接続できることを確認し、設定を確認します。
```
$ openssl list -providers -provider-path /opt/cloudhsm/lib -provider cloudhsm
```
設定パラメータの詳細については、「」を参照してください[AWS CloudHSM クライアント SDK 5 設定パラメータ](configure-tool-params5.md)。
# クライアント SDK 5 設定ツールの詳細設定
AWS CloudHSM クライアント SDK 5 設定ツールには、ほとんどのお客様が使用する一般的な機能の一部ではない高度な設定が含まれています。詳細設定には追加機能があります。
**重要**
設定を変更した後、変更内容を反映させるためにアプリケーションを再起動する必要があります。
+ PKCS \$111 の詳細設定
+ [用の PKCS \$111 ライブラリを使用した複数のスロット設定 AWS CloudHSM](pkcs11-library-configs-multi-slot.md)
+ [の PKCS \$111 ライブラリのコマンドを再試行する AWS CloudHSM](pkcs11-library-configs-retry.md)
+ OpenSSL の詳細設定
+ [の OpenSSL の再試行コマンド AWS CloudHSM](openssl-library-configs-retry.md)
+ KSP の詳細設定
+ [のキーストレージプロバイダー (KSP) の SDK3 互換性モード AWS CloudHSM](ksp-library-configs-sdk3-compatibility-mode.md)
+ JCE の詳細設定
+ [JCE プロバイダーを使用した複数の AWS CloudHSM クラスターへの接続](java-lib-configs-multi.md)
+ [の JCE の再試行コマンド AWS CloudHSM](java-lib-configs-retry.md)
+ [の JCE を使用したキー抽出 AWS CloudHSM](java-lib-configs-getencoded.md)
+ コマンドラインインターフェイス (CLI) AWS CloudHSM の詳細設定
+ [CloudHSM CLI を使用した複数のクラスターへの接続](cloudhsm_cli-configs-multi-cluster.md)
# AWS CloudHSM クライアント SDK 5 の関連トピック
AWS CloudHSM クライアント SDK 5 の詳細については、以下の関連トピックを参照してください。
+ [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) API operation
+ [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI
+ [Get-HSM2Cluster](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-HSM2Cluster.html) PowerShell cmdlet
+ [クライアント SDK 5 のブートストラップ](cluster-connect.md#sdk8-connect)
+ [OpenSSL プロバイダーのブートストラップ](configure-openssl-provider.md)
+ [AWS CloudHSM VPC エンドポイント](cloudhsm-vpc-endpoint.md)
+ [クライアント SDK 5 キーの耐久性設定の管理](working-client-sync.md#setting-file-sdk8)
+ [クライアント SDK 5 ログ記録](hsm-client-logs.md#sdk5-logging)
+ [mTLS の設定 (推奨)](getting-started-setup-mtls.md)