AWS CloudHSM でクラスターを作成する

クラスターを作成するには (コンソール)

1. AWS CloudHSM コンソール (https://console.aws.amazon.com/cloudhsm/home) を開きます。

2. ナビゲーションバーで、リージョンセレクタを使用して、AWS CloudHSM が現在サポートされている AWS リージョンのいずれかを選択します。

3. [クラスターを作成] を選択します。

4. [Cluster configuration] セクションで、以下の操作を実行します。

   1. VPC では、AWS CloudHSM のための仮想プライベートクラウド (VPC) の作成 で作成した VPC を選択します。

   2. Availability Zone(s) では、各アベイラビリティーゾーンの横にある、作成したプライベートサブネットを選択します。

      注記

      AWS CloudHSM がサポートされていない場合でも、AWS CloudHSM では、クラスター内のすべての HSM 間で自動的に負荷分散されるため、特定のアベイラビリティーゾーンにおけるパフォーマンスには影響はありません。 でサポートされているアベイラビリティーゾーンを確認するには、『AWS CloudHSM』の「AWS 全般のリファレンス のリージョンとエンドポイントAWS CloudHSM」を参照してください。

   3. H[SM タイプ] では、クラスター内に作成できる HSM タイプとクラスター使用するモードを選択します。各リージョンでサポートされている HSM タイプについては、AWS CloudHSM料金計算ツール をご覧ください。

      重要

      クラスターの作成後は、クラスターモードを変更できません。どのタイプとモードがユースケースに適しているかについては、AWS CloudHSM クラスターモード を参照してください。

   4. [ネットワークタイプ] では、HSM にアクセスするための IP アドレスプロトコルを選択します。IPv4 を選択すると、アプリケーションと HSM 間の通信は IPv4 のみに制限されます。これがデフォルトのオプションです。[デュアルスタック] を選択すると、IPv4 と IPv6 の両方の通信が有効になります。デュアルスタックを使用するには、VPC とサブネットの設定に IPv4 と IPv6 の CIDR の両方を追加します。ネットワークタイプは初期設定後に変更するのが難しいです。変更するには、既存クラスターのバックアップを作成し、目的のネットワークタイプを指定した新しいクラスターへ復元します。詳細については、バックアップから AWS CloudHSM クラスターを作成するを参照してください。

   5. [クラスターモード] では、新しいクラスターを作成するか、既存のバックアップから復元するかを指定します。

      • 非 FIPS モードのクラスターのバックアップは、非 FIPS モードのクラスターを復元するためにのみ使用できます。

      • FIPS モードのクラスターのバックアップは、FIPS モードのクラスターを復元するためにのみ使用できます。

5. [次へ] を選択します。

6. サービスがバックアップを保持する期間を指定します。

   1. デフォルトの保存期間である 90 日を受け入れるか、7 ～ 379 日の間に新しい値を入力します。このサービスは、ここで指定した値よりも古いこのクラスター内のバックアップを自動的に削除します。これは後で変更できます。詳細情報は、バックアップ保持の設定 を参照してください。

7. [次へ] を選択します。

8. (オプション) タグキーとオプションのタグ値を入力します。クラスターに複数のタグを追加するには、タグの追加 を選択します。

9. [Review] (レビュー) を選択します。

10. クラスター設定を確認し、[Create cluster (クラスターの作成)] を選択します。

クラスターを作成するには (AWS CLI)

• コマンドラインプロンプトで、create-cluster コマンドを実行します。HSM インスタンスタイプ、バックアップ保持期間、HSM を作成するサブネットのサブネット ID を指定します。作成したプライベートサブネットのサブネット ID を使用します。サブネットは、アベイラビリティーゾーンごとに 1 つだけ指定できます。

  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
                      --backup-retention-policy Type=DAYS,Value=<number of days> \
                      --subnet-ids <subnet ID> \
                      --mode <FIPS> \
                      --network-type <IPV4>
  
  {
      "Cluster": {
          "BackupPolicy": "DEFAULT",
          "BackupRetentionPolicy": {
              "Type": "DAYS",
              "Value": 90
           },
          "VpcId": "vpc-50ae0636",
          "SubnetMapping": {
              "us-west-2b": "subnet-49a1bc00",
              "us-west-2c": "subnet-6f950334",
              "us-west-2a": "subnet-fd54af9b"
          },
          "SecurityGroup": "sg-6cb2c216",
          "HsmType": "hsm2m.medium",
          "NetworkType": "IPV4",
          "Certificates": {},
          "State": "CREATE_IN_PROGRESS",
          "Hsms": [],
          "ClusterId": "cluster-igklspoyj5v",
          "ClusterMode": "FIPS",
          "CreateTimestamp": 1502423370.069
      }
  }
  

  注記

  ClusterMode は、hsm1.medium を除くすべての hsm タイプに必要なパラメータです。--mode:

  $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
    				--backup-retention-policy Type=DAYS,Value=<number of days> \
    				--subnet-ids <subnet ID> \
  				--mode NON_FIPS

クラスターを作成するには (AWS CloudHSM API)

• CreateCluster リクエストを送信します。HSM インスタンスタイプ、バックアップ保持ポリシー、HSM を作成するサブネットのサブネット ID を指定します。作成したプライベートサブネットのサブネット ID を使用します。サブネットは、アベイラビリティーゾーンごとに 1 つだけ指定できます。