AWS CloudHSM のマルチスロット機能を持つクラスターを追加する - AWS CloudHSM
構文パラメータ

AWS CloudHSM のマルチスロット機能を持つクラスターを追加する

PKCS#11 で AWS CloudHSM の複数のスロットに接続する場合は、configure-pkcs11 add-cluster コマンドを使用してクラスターを設定に追加します。

構文

configure-pkcs11 add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--client-cert-hsm-tls-file <CLIENT CERTIFICATE FILE>]
        [--client-key-hsm-tls-file <CLIENT KEY FILE>]
        [-h, --help]

configure-pkcs11 add-cluster とともに cluster-id パラメータを使用して、クラスター (cluster-1234567 の ID) を設定に追加します。

Linux
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id <cluster-1234567>
Windows
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" add-cluster --cluster-id <cluster-1234567>
ヒント

configure-pkcs11 add-clustercluster-id パラメータと一緒に使用してもクラスターが追加されない場合は、以下の例を参照して、追加するクラスターを識別するための --region--endpoint パラメータも必要な、より長いバージョンのこのコマンドを参照してください。例えば、クラスターのリージョンが AWS CLI のデフォルトとして設定されているものと異なる場合、適切なリージョンを使用するように --region パラメータを使用する必要があります。さらに、呼び出しに使用する AWS CloudHSM API エンドポイントを指定する機能があります。これは、AWS CloudHSM のデフォルト DNS ホスト名を使用しない VPC インターフェイスエンドポイントを使用するなど、さまざまなネットワーク設定に必要な場合があります。

configure-pkcs11 add-cluster とともに cluster-idendpointregion のパラメータを使用して、クラスター (cluster-1234567 の ID) を設定に追加します。

Linux

$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id <cluster-1234567> --region <us-east-1> --endpoint <https://cloudhsmv2.us-east-1.amazonaws.com>
Windows

PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" add-cluster --cluster-id <cluster-1234567>--region <us-east-1> --endpoint <https://cloudhsmv2.us-east-1.amazonaws.com>

--cluster-id--region--endpoint パラメータの詳細については、AWS CloudHSM クライアント SDK 5 設定パラメータを参照してください。

パラメータ

--cluster-id <Cluster ID>

DescribeClusters を呼び出して、クラスターIDに関連付けられたクラスターのすべての HSM Elastic Network Interface(ENI)IPアドレスを検索します。システムは、ENI IP アドレスを AWS CloudHSM 構成ファイルに追加します。

注記

パブリックインターネットにアクセスできない VPC 内の EC2 インスタンスから --cluster-id パラメータを使用する場合、AWS CloudHSM との接続のためにインターフェイスVPC エンドポイントを作成する必要があります。VPCエンドポイントの詳細については、AWS CloudHSM および VPC エンドポイント を参照してください。

必須: はい

--endpoint <Endpoint>

作成に使用する AWS CloudHSM API エンドポイントを指定し DescribeClusters を呼び出します。このオプションは --cluster-id と組み合わせて設定する必要があります。

必須: いいえ

--hsm-ca-cert <HsmCA Certificate Filepath>

HSM CA 証明書ファイルへのファイルパスを指定します。

必須: いいえ

--region <Region>

クラスターのリージョンを指定します。このオプションは --cluster-id と組み合わせて設定する必要があります。

この --region パラメータを指定しない場合、システムは AWS_DEFAULT_REGION または AWS_REGION の環境変数の読み取りを試みてリージョンを選択します。これらの変数が設定されていない場合、環境変数で別のファイルを指定しない限り、AWS Config (通常は ~/.aws/config) のプロファイルに関連付けられたリージョンをチェックしますAWS_CONFIG_FILE。いずれも設定されていない場合は、us-east-1 デフォルトでリージョンが設定されます。

必須: いいえ

--client-cert-hsm-tls-file <クライアント証明書の hsm tls パス>

TLS クライアントと HSM の相互認証に使用するクライアント証明書へのパス。

このオプションは、CloudHSM CLI で HSM に少なくとも 1 つのトラストアンカーを登録している場合にのみ使用します。このオプションは --client-key-hsm-tls-file と組み合わせて設定する必要があります。

必須: いいえ

--client-key-hsm-tls-file <クライアントキー hsm tls のパス>

TLS クライアントと HSM の相互認証に使用されるクライアントキーへのパス。

このオプションは、CloudHSM CLI で HSM に少なくとも 1 つのトラストアンカーを登録している場合にのみ使用します。このオプションは --client-cert-hsm-tls-file と組み合わせて設定する必要があります。

必須: いいえ