CloudHSM CLI を使用したクォーラム認証の管理 (M of N アクセスコントロール)
AWS CloudHSM クラスターは、クォーラム認証 (M of N アクセスコントロールとしても知られる) をサポートしています。この機能では、特定のオペレーションを実行するために HSM ユーザーが協力する必要があり、追加の保護層が提供されます。
クォーラム認証を使用すると、HSM 上の単一のユーザーがクォーラム管理対象のオペレーションを実行することはできません。代わりに、HSM ユーザーの最小数 (少なくとも 2 人) が、これらのオペレーションを協力して行う必要があります。
クォーラム認証は次のオペレーションを制御できます。
-
管理者による HSM ユーザーの管理: HSM ユーザーの作成と削除または別の HSM ユーザーのパスワードの変更。詳細情報は、CloudHSM CLI を使用した AWS CloudHSM のクォーラム認証を有効にしたユーザー管理 を参照してください。
AWS CloudHSM におけるクォーラム認証の主なポイントは次のとおりです。
-
HSM ユーザーは自身のクォーラムトークンに署名できます。つまり、クォーラム認証に必要な承認の 1 つを自分で提供できます。
-
クォーラム承認者の最小数は、2 〜 8 の範囲で選択します。
-
HSM はクォーラムトークンを最大 1,024 保存できます。この上限に達すると、有効期限切れのトークンが削除され、新しいトークンが作成されます。
トークンは、デフォルトでは作成後 10 分で有効期限が切れます。
-
MFA が有効になっているクラスターでは、クォーラム認証と多要素認証 (MFA) に同じキーが使用されます。詳細については、CloudHSM CLI を使用して MFA を管理するを参照してください。
-
各 HSM には、Admin サービスにつき 1 つのトークンしか保持できませんが、Crypto User サービスについては複数のトークンを保持できます。
次のトピックでは、AWS CloudHSM でのクォーラム認証についてさらに詳細な情報を提供します。
トピック
