翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# とは AWS CloudHSM
AWS CloudHSM は、 AWS クラウドの利点とハードウェアセキュリティモジュール (HSMs。ハードウェアセキュリティモジュール (HSM) は、暗号化オペレーションを処理し、暗号化キーの安全なストレージを提供するコンピューティングデバイスです。を使用すると AWS CloudHSM、AWS クラウドにあり、低レイテンシーのアクセスと、HSMs 管理 (バックアップ、プロビジョニング、設定、メンテナンスを含む) を自動化する安全な信頼ルートを持つ高可用性 HSM を完全に制御できます。
AWS CloudHSM は、お客様にさまざまな利点を提供します。
**FIPS クラスターと非 FIPS クラスターへのアクセス**
AWS CloudHSM は、*FIPS* と*非 FIPS* の 2 つのモードでクラスターを提供します。FIPS モードでは、連邦情報処理標準 (FIPS) で検証されたキーとアルゴリズムのみを使用できます。非 FIPS モードは、FIPS の承認に関係なく AWS CloudHSM、 でサポートされているすべてのキーとアルゴリズムを提供します。詳細については、「[AWS CloudHSM クラスターモード](cluster-hsm-types.md)」を参照してください。
**HSM は汎用のシングル テナントであり、FIPS モードのクラスターに対して FIPS 140-2 レベル 3 または FIPS 140-3 レベル 3 のいずれかで検証されています。。**
AWS CloudHSM は、アプリケーション用に事前定義されたアルゴリズムとキー長を持つフルマネージド AWS サービスと比較して、より高い柔軟性を提供する汎用 HSMs を使用します。標準に準拠したシングルテナントで、FIPS モードのクラスターに対して FIPS 140-2 レベル 3 または FIPS 140-3 レベル 3 で検証された HSM を提供します。FIPS 140-2 または FIPS 140-3 レベル-3 検証の制限を超えるユースケースを持つお客様のために、 AWS CloudHSM は非 FIPS モードのクラスターも提供します。詳細については「[AWS CloudHSM クラスター](clusters.md)」を参照してください。
**E2E 暗号化は AWS には表示されません。**
データプレーンはエンドツーエンド (E2E) で暗号化されており、AWS には表示されないため、自身のユーザー管理 (IAM ロール外) を制御できます。このコントロールのトレードオフは、マネージド型の AWS サービスを使用した場合よりも責任が大きくなることです。
**キー、アルゴリズム、アプリケーション開発を完全に制御できます。**
AWS CloudHSM では、使用するアルゴリズムとキーを完全に制御できます。暗号化キー (セッションキー、トークンキー、対称キー、非対称キーペアを含む) の生成、保存、インポート、エクスポート、管理、使用ができます。さらに、 AWS CloudHSM SDKs を使用すると、アプリケーション開発、アプリケーション言語、スレッド、アプリケーションが物理的に存在する場所を完全に制御できます。
**暗号化ワークロードをクラウドに移行します。**
Public Key Cryptography Standards \$111 (PKCS \$111)、Java Cryptographic Extension (JCE)、Cryptography API: Next Generation (CNG)、または Key Storage Provider (KSP) を使用するパブリックキーインフラストラクチャを移行するお客様は、アプリケーションの変更を少なく AWS CloudHSM して に移行できます。
でできることの詳細については AWS CloudHSM、以下のトピックを参照してください。の使用を開始する準備ができたら AWS CloudHSM、「」を参照してください[開始方法](getting-started.md)。
**注記**
データの暗号化キーを作成および管理するマネージド型サービスは欲しいが、独自の HSM を運用したくないまたは不要である場合、[AWS Key Management Service](https://aws.amazon.com/kms/) の使用を検討してください。
クラウド内の支払い処理アプリケーションの支払い HSM とキーを管理する柔軟性の高いサービスをお探しの場合は、[AWS Payment Cryptography](https://aws.amazon.com/payment-cryptography/) の使用を検討してください。
**Topics**
+ [ユースケース](use-cases.md)
+ [仕組み](whatis-concepts.md)
+ [の料金 AWS CloudHSM](pricing.md)
# AWS CloudHSM ユースケース
AWS CloudHSM は、さまざまな目標を達成するために使用できます。このトピックのコンテンツでは、 でできることの概要を説明します AWS CloudHSM。
**規制の確実な順守**
エンタープライズセキュリティ標準に準拠する必要がある企業は、 AWS CloudHSM を使用して、機密性の高いデータを保護するプライベートキーを管理できます。が提供する HSMs AWS CloudHSM は FIPS 140-2 レベル 3 認定を受けており、PCI DSS に準拠しています。さらに、 AWS CloudHSM は PCI PIN に準拠し、PCI-3DS に準拠しています。詳細については、「[のコンプライアンス検証 AWS CloudHSM](fips-validation.md)」を参照してください。
**データの暗号化と復号**
を使用して AWS CloudHSM 、機密性の高いデータ、転送中の暗号化、保管中の暗号化を保護するプライベートキーを管理します。さらに、 は、複数の暗号化 SDKs との標準準拠の統合 AWS CloudHSM を提供します。
**文書へのプライベートキーとパブリックキーを使用した署名と検証**
暗号化では、プライベートキーを使用して文書に**署名**すると、受信者はパブリックキーを使用して、他の誰でもないお客様が実際に文書を送信したことを**検証**できます。を使用して AWS CloudHSM 、この目的のために特別に設計された非対称パブリックキーとプライベートキーのペアを作成します。
**HMAC と CMAC を使用したメッセージの認証**
暗号化では、Cipher Message Authentication Codes (CMACs) と Hash-based Message Authentication Code (HMAC) を使用して、安全でないネットワークを介して送信されるメッセージを認証し、整合性を確保します。を使用すると AWS CloudHSM、HMACs と CMACs をサポートする対称キーを安全に作成および管理できます。
** AWS CloudHSM と の利点を活用する AWS Key Management Service**
お客様は AWS CloudHSM と を組み合わせて、キーマテリアル[AWS KMS](https://aws.amazon.com/kms/)をシングルテナント環境に保存すると同時に、キー管理、スケーリング、クラウド統合の利点を得ることができます AWS KMS。その方法について詳しくは、「*AWS Key Management Service 開発者ガイド*」の「[AWS CloudHSM キーストア](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html)」を参照してください。
**ウェブサーバーの SSL/TLS 処理のオフロード**
インターネット経由でデータを安全に送信するために、ウェブサーバーでは、パブリック/プライベートのキーペアと SSL/TLS パブリックキー証明書を使用して、HTTPS セッションを確立します。このプロセスにはウェブサーバーの多くの計算が含まれますが、その一部を AWS CloudHSM クラスターにオフロードすることで、追加のセキュリティを提供しながら、計算の負担を軽減できます。で SSL/TLS オフロードを設定する方法については AWS CloudHSM、「」を参照してください[SSL/TLS のオフロード](ssl-offload.md)。
**透過的なデータ暗号化 (TDE) の有効化**
透過的なデータ暗号化 (TDE) を使用して、データベースファイルを暗号化します。TDE を使用すると、データベースソフトウェアはデータをディスクに保存する前に暗号化します。TDE マスター暗号化キーを AWS CloudHSMの HSM に保存すると、セキュリティを強化するのに役立ちます。で Oracle TDE を設定する方法については AWS CloudHSM、「」を参照してください[Oracle Database 暗号化](oracle-tde.md)。
**発行認証機関 (CA) のプライベートキーの管理**
認証機関 (CA) は、パブリックキーを ID (個人または組織) にバインドするデジタル証明書を発行する信頼されたエンティティです。CA を操作するには、CA によって発行された証明書に署名するプライベートキーを保護して、信頼関係を維持する必要があります。このようなプライベートキーを AWS CloudHSM クラスターに保存し、HSMs を使用して暗号化署名オペレーションを実行できます。
**乱数の生成**
暗号化キーを作成するための乱数の生成は、オンラインセキュリティの中核です。 は、ユーザーが制御する HSMs で乱数を安全に生成するために使用 AWS CloudHSM でき、ユーザーのみに表示されます。
# の AWS CloudHSM 仕組み
このトピックでは、データの安全な暗号化と HSMs での暗号化オペレーションの実行に使用する基本概念とアーキテクチャの概要について説明します。 は、独自の Amazon Virtual Private Cloud (VPC) で AWS CloudHSM 動作します。を使用する前に AWS CloudHSM、まずクラスターを作成し、そのクラスターに HSMs を追加し、ユーザーとキーを作成してから、クライアント SDKs を使用して HSMsをアプリケーションと統合します。これが完了したら、クライアント SDK ログ AWS CloudTrail、監査ログ、Amazon CloudWatch を使用して[モニタリング AWS CloudHSM](get-logs.md)します。
AWS CloudHSMの基本概念と、それらがどのように連携してデータを保護するかについて説明します。
**Topics**
+ [AWS CloudHSM クラスター](clusters.md)
+ [のユーザー AWS CloudHSM](hsm-users.md)
+ [のキー AWS CloudHSM](whatis-hsm-keys.md)
+ [SDKs AWS CloudHSM](client-tools-and-libraries.md)
+ [AWS CloudHSM クラスターのバックアップ](backups.md)
+ [でサポートされているリージョン AWS CloudHSM](regions.md)
# AWS CloudHSM クラスター
個々の HSMs を同期され、冗長で、可用性の高い方法で連携させることは難しい場合がありますが、*クラスター*にハードウェアセキュリティモジュール (HSMs) を提供することで AWS CloudHSM 手間がかかります。クラスターは、 が同期 AWS CloudHSM を維持する個々の HSMsのコレクションです。クラスター内にある HSM でタスクまたはオペレーションを行うと、そのクラスター内の他の HSM は、自動的に最新の状態に維持されます。
AWS CloudHSM は、*FIPS* と*非 FIPS* の 2 つのモードでクラスターを提供します。FIPS モードでは、連邦情報処理標準 (FIPS) で検証されたキーとアルゴリズムのみを使用できます。非 FIPS モードは、FIPS の承認に関係なく AWS CloudHSM、 でサポートされているすべてのキーとアルゴリズムを提供します。 は、*hsm1.medium *と *hsm2m.medium* の 2 種類の HSMs AWS CloudHSM も提供します。各 HSM タイプとクラスターモードの違いの詳細については、「[AWS CloudHSM クラスターモード](cluster-hsm-types.md)」を参照してください。*hsm1.medium* HSM タイプはサポートが終了しているため、このタイプでは新しいクラスターを作成できません。詳細については、「[非推奨通知](compliance-dep-notif.md#hsm-dep-1)」を参照してください。
可用性、耐久性、スケーラビリティの目標を達成するには、複数のアベイラビリティーゾーンにまたがるクラスター内の HSM の数を設定します。1~28 HSMs を持つクラスターを作成できます ([デフォルトの制限](limits.md)は[AWS 、リージョン](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)ごとに AWS アカウントごとに 6 個の HSMsです)。HSMs は、 AWS リージョンの異なる[アベイラビリティーゾーン](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html)に配置することができます。クラスターに HSM を追加すると、高いパフォーマンスを実現できます。複数のアベイラビリティーゾーンにクラスターを分散すると、冗長性と高可用性を実現します。
クラスターの詳細については、「[のクラスター AWS CloudHSM](manage-clusters.md)」を参照してください。
クラスターを作成するには、「[開始方法](getting-started.md)」を参照してください。
# のユーザー AWS CloudHSM
ほとんどの AWS サービスやリソースとは異なり、 AWS Identity and Access Management (IAM) ユーザーや IAM ポリシーを使用して AWS CloudHSM クラスター内のリソースにアクセスすることはできません。代わりに、 AWS CloudHSM クラスター内の *HSM で HSM ユーザー*を直接使用します。 HSMs
HSM ユーザーは IAM ユーザーとは異なります。正しい認証情報を持つ IAM ユーザーは、AWS API を介してリソースを操作することで HSM を作成できます。E2E 暗号化は AWS には表示されないため、認証情報は HSM 上で直接行われるため、HSM でのオペレーションを認証するには HSM ユーザー認証情報を使用する必要があります。HSMは、定義および管理する認証情報を使用して、各HSMユーザーを認証します。各 HSM ユーザーには、HSM でユーザーとして実行できるオペレーションを判断する *タイプ* があります。各HSMは、[CloudHSMCLI](cloudhsm_cli.md) を使用して定義する認証情報を使用して、各HSMユーザーを認証します。
[以前の SDK バージョンシリーズ](choose-client-sdk.md) を使用している場合は、[CloudHSM 管理ユーティリティ (CMU)](cloudhsm_mgmt_util.md) を使用します。
# のキー AWS CloudHSM
AWS CloudHSM を使用すると、 AWS CloudHSM クラスター内のシングルテナント HSMs、管理できます。キーは対称でも非対称でもよく、単一セッション用のセッションキー (エフェメラルキー)、長期使用用のトークンキー (永続キー) でもよく、 AWS CloudHSM キーからエクスポートしてキーにインポートすることもできます。また、一般的な暗号化タスクと関数を完了するためにも使用できます。
+ 対称暗号化アルゴリズムと非対称暗号化アルゴリズムの両方を使用して、暗号データ署名と署名検証を行います。
+ ハッシュ関数を使用して、メッセージダイジェストと Hash-based Message Authentication Code (HMAC) を計算します。
+ 他のキーをラップして保護します。
+ 暗号化された安全なランダムデータにアクセスします。
クラスターが持つことができる最大キーは、クラスター内の HSM のタイプによって異なります。例えば、hsm2m.medium には hsm1,medium よりも多くのキーが保存されます。これらの比較については、「[AWS CloudHSM クォータ](limits.md)」を参照してください。
さらに、 には、主要な使用と管理に関するいくつかの基本原則 AWS CloudHSM があります。
**多くのキータイプとアルゴリズムから選択可能**
独自のソリューションをカスタマイズできるように、 はアルゴリズムから選択する多くのキータイプとアルゴリズム AWS CloudHSM を提供し、さまざまなキーサイズをサポートします。詳細については、それぞれ [AWS CloudHSM クライアント SDKsオフロード](use-hsm.md) の属性とメカニズムのページを参照してください。
**キーの管理方法**
AWS CloudHSM キーは SDKsとコマンドラインツールを使用して管理されます。これらのツールを使用してキーを管理する方法については、「[のキー AWS CloudHSM](manage-keys.md)」と「[のベストプラクティス AWS CloudHSM](best-practices.md)」を参照してください。
**キーの所有者は誰か**
では AWS CloudHSM、キーを作成する Crypto User (CU) がキーを所有します。所有者は **key share** と **key unshare** コマンドを使用してキーを他の CU と共有または共有解除することができます。詳細については、「[CloudHSM CLI を使用してキーを共有または共有解除する](manage-keys-cloudhsm-cli-share.md)」を参照してください。
**属性ベースの暗号化によりアクセスと使用を制御可能**
AWS CloudHSM では、属性ベースの暗号化を使用できます。これは、キー属性を使用して、ポリシーに基づいてデータを復号できるユーザーを制御できる暗号化の一形式です。
# SDKs AWS CloudHSM
を使用する場合は AWS CloudHSM、[AWS CloudHSM クライアントソフトウェア開発キット (SDKs) ](use-hsm.md)で暗号化オペレーションを実行します。 AWS CloudHSM クライアント SDKsには以下が含まれます。
+ 公開鍵暗号規格 \$111 (PKCS \$111)
+ JCE プロバイダー
+ OpenSSL Dynamic Engine
+ Microsoft Windows のキーストレージプロバイダー (KSP)
これらの SDK の一部またはすべてを AWS CloudHSM クラスターで使用できます。これらの SDK を使用して HSM で暗号化操作を実行するアプリケーションコードを書き込みます。各 SDK をサポートするプラットフォームと HSM タイプを確認するには、「[AWS CloudHSM クライアント SDK 5 でサポートされているプラットフォーム](client-supported-platforms.md)」を参照してください。
ユーティリティツールとコマンドラインツールは SDK を使用するだけでなく、アプリケーションの認証情報、ポリシー、設定を構成するためにも必要です。詳細については、[AWS CloudHSM コマンドラインツール](command-line-tools.md) を参照してください。
クライアント SDK のインストールと使用、あるいはクライアント接続のセキュリティのさらなる詳細については、[クライアント SDK](use-hsm.md) と [エンドツーエンドの暗号化](client-end-to-end-encryption.md) を参照してください。
# AWS CloudHSM クラスターのバックアップ
AWS CloudHSM は、クラスター内のユーザー、キー、ポリシーを定期的にバックアップします。バックアップは安全で、耐久性が高くて、予測可能なスケジュールで更新されます。下の図は、バックアップとクラスターの関係を示しています。
![\[AWS CloudHSM サービス制御の Amazon S3 バケットで暗号化されたクラスターバックアップ。\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/images/cluster-backup.png)
ユーザーデータのさらなる操作方法の詳細については、[クラスターのバックアップ](manage-backups.md) を参照してください。
**セキュリティ**
が HSM からバックアップ AWS CloudHSM を作成すると、HSM は送信前にすべてのデータを暗号化します AWS CloudHSM。データがプレーンテキスト形式で HSM から外部に出ることはありません。さらに、 はバックアップの復号に使用されるキーにアクセス AWS できない AWS ため、 によるバックアップの復号化はできません。詳細については、[クラスターバックアップのセキュリティ](data-protection-backup-security.md)を参照してください。
**耐久性**
AWS CloudHSM は、クラスターと同じリージョンのサービス制御の Amazon Simple Storage Service (Amazon S3) バケットにバックアップを保存します。バックアップの耐久レベルは 99.999999999% で、Amazon S3 に保存されているオブジェクトと同じです。
# でサポートされているリージョン AWS CloudHSM
でサポートされているリージョンの詳細については AWS CloudHSM、[AWS CloudHSM 『』の「リージョンとエンドポイント」、または「リージョンテーブル](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)」を参照してください。 *AWS 全般のリファレンス* [https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
AWS CloudHSM は、特定のリージョンのすべてのアベイラビリティーゾーンで使用できない場合があります。ただし、クラスター内のすべての HSMs 間で AWS CloudHSM 自動的に負荷分散されるため、パフォーマンスには影響しません。
ほとんどの AWS リソースと同様に、クラスターと HSMsはリージョンリソースです。クラスターをリージョン間で再利用したり、拡張したりすることはできません。「[の開始方法 AWS CloudHSM](getting-started.md)」に一覧表示されている必要なステップをすべて実行し、新しいリージョンにクラスターを作成する必要があります。
ディザスタリカバリの目的で、 AWS CloudHSM AWS CloudHSM では、あるリージョンから別のリージョンにクラスターのバックアップをコピーできます。詳細については、「[AWS CloudHSM クラスターのバックアップ](backups.md)」を参照してください。
# の料金 AWS CloudHSM
では AWS CloudHSM、長期契約や前払いなしで時間単位で支払います。詳細については、 AWS ウェブサイトの[AWS CloudHSM 「 ](https://aws.amazon.com/cloudhsm/pricing/)料金表」を参照してください。