翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の AWS CloudHSM 仕組み
このトピックでは、データの安全な暗号化と HSMs での暗号化オペレーションの実行に使用する基本概念とアーキテクチャの概要について説明します。 は、独自の Amazon Virtual Private Cloud (VPC) で AWS CloudHSM 動作します。を使用する前に AWS CloudHSM、まずクラスターを作成し、そのクラスターに HSMs を追加し、ユーザーとキーを作成してから、クライアント SDKs を使用して HSMsをアプリケーションと統合します。これが完了したら、クライアント SDK ログ AWS CloudTrail、監査ログ、Amazon CloudWatch を使用して[モニタリング AWS CloudHSM](get-logs.md)します。
AWS CloudHSMの基本概念と、それらがどのように連携してデータを保護するかについて説明します。
**Topics**
+ [
# AWS CloudHSM クラスター
](clusters.md)
+ [
# のユーザー AWS CloudHSM
](hsm-users.md)
+ [
# のキー AWS CloudHSM
](whatis-hsm-keys.md)
+ [
# SDKs AWS CloudHSM
](client-tools-and-libraries.md)
+ [
# AWS CloudHSM クラスターのバックアップ
](backups.md)
+ [
# でサポートされているリージョン AWS CloudHSM
](regions.md)
# AWS CloudHSM クラスター
個々の HSMs を同期され、冗長で、可用性の高い方法で連携させることは難しい場合がありますが、*クラスター*にハードウェアセキュリティモジュール (HSMs) を提供することで AWS CloudHSM 手間がかかります。クラスターは、 が同期 AWS CloudHSM を維持する個々の HSMsのコレクションです。クラスター内にある HSM でタスクまたはオペレーションを行うと、そのクラスター内の他の HSM は、自動的に最新の状態に維持されます。
AWS CloudHSM は、*FIPS* と*非 FIPS* の 2 つのモードでクラスターを提供します。FIPS モードでは、連邦情報処理標準 (FIPS) で検証されたキーとアルゴリズムのみを使用できます。非 FIPS モードは、FIPS の承認に関係なく AWS CloudHSM、 でサポートされているすべてのキーとアルゴリズムを提供します。 は、*hsm1.medium *と *hsm2m.medium* の 2 種類の HSMs AWS CloudHSM も提供します。各 HSM タイプとクラスターモードの違いの詳細については、「[AWS CloudHSM クラスターモード](cluster-hsm-types.md)」を参照してください。*hsm1.medium* HSM タイプはサポートが終了しているため、このタイプでは新しいクラスターを作成できません。詳細については、「[非推奨通知](compliance-dep-notif.md#hsm-dep-1)」を参照してください。
可用性、耐久性、スケーラビリティの目標を達成するには、複数のアベイラビリティーゾーンにまたがるクラスター内の HSM の数を設定します。1~28 HSMs を持つクラスターを作成できます ([デフォルトの制限](limits.md)は[AWS 、リージョン](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)ごとに AWS アカウントごとに 6 個の HSMsです)。HSMs は、 AWS リージョンの異なる[アベイラビリティーゾーン](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html)に配置することができます。クラスターに HSM を追加すると、高いパフォーマンスを実現できます。複数のアベイラビリティーゾーンにクラスターを分散すると、冗長性と高可用性を実現します。
クラスターの詳細については、「[のクラスター AWS CloudHSM](manage-clusters.md)」を参照してください。
クラスターを作成するには、「[開始方法](getting-started.md)」を参照してください。
# のユーザー AWS CloudHSM
ほとんどの AWS サービスやリソースとは異なり、 AWS Identity and Access Management (IAM) ユーザーや IAM ポリシーを使用して AWS CloudHSM クラスター内のリソースにアクセスすることはできません。代わりに、 AWS CloudHSM クラスター内の *HSM で HSM ユーザー*を直接使用します。 HSMs
HSM ユーザーは IAM ユーザーとは異なります。正しい認証情報を持つ IAM ユーザーは、AWS API を介してリソースを操作することで HSM を作成できます。E2E 暗号化は AWS には表示されないため、認証情報は HSM 上で直接行われるため、HSM でのオペレーションを認証するには HSM ユーザー認証情報を使用する必要があります。HSMは、定義および管理する認証情報を使用して、各HSMユーザーを認証します。各 HSM ユーザーには、HSM でユーザーとして実行できるオペレーションを判断する *タイプ* があります。各HSMは、[CloudHSMCLI](cloudhsm_cli.md) を使用して定義する認証情報を使用して、各HSMユーザーを認証します。
[以前の SDK バージョンシリーズ](choose-client-sdk.md) を使用している場合は、[CloudHSM 管理ユーティリティ (CMU)](cloudhsm_mgmt_util.md) を使用します。
# のキー AWS CloudHSM
AWS CloudHSM を使用すると、 AWS CloudHSM クラスター内のシングルテナント HSMs、管理できます。キーは対称でも非対称でもよく、単一セッション用のセッションキー (エフェメラルキー)、長期使用用のトークンキー (永続キー) でもよく、 AWS CloudHSM キーからエクスポートしてキーにインポートすることもできます。また、一般的な暗号化タスクと関数を完了するためにも使用できます。
+ 対称暗号化アルゴリズムと非対称暗号化アルゴリズムの両方を使用して、暗号データ署名と署名検証を行います。
+ ハッシュ関数を使用して、メッセージダイジェストと Hash-based Message Authentication Code (HMAC) を計算します。
+ 他のキーをラップして保護します。
+ 暗号化された安全なランダムデータにアクセスします。
クラスターが持つことができる最大キーは、クラスター内の HSM のタイプによって異なります。例えば、hsm2m.medium には hsm1,medium よりも多くのキーが保存されます。これらの比較については、「[AWS CloudHSM クォータ](limits.md)」を参照してください。
さらに、 には、主要な使用と管理に関するいくつかの基本原則 AWS CloudHSM があります。
**多くのキータイプとアルゴリズムから選択可能**
独自のソリューションをカスタマイズできるように、 はアルゴリズムから選択する多くのキータイプとアルゴリズム AWS CloudHSM を提供し、さまざまなキーサイズをサポートします。詳細については、それぞれ [AWS CloudHSM クライアント SDKsオフロード](use-hsm.md) の属性とメカニズムのページを参照してください。
**キーの管理方法**
AWS CloudHSM キーは SDKsとコマンドラインツールを使用して管理されます。これらのツールを使用してキーを管理する方法については、「[のキー AWS CloudHSM](manage-keys.md)」と「[のベストプラクティス AWS CloudHSM](best-practices.md)」を参照してください。
**キーの所有者は誰か**
では AWS CloudHSM、キーを作成する Crypto User (CU) がキーを所有します。所有者は **key share** と **key unshare** コマンドを使用してキーを他の CU と共有または共有解除することができます。詳細については、「[CloudHSM CLI を使用してキーを共有または共有解除する](manage-keys-cloudhsm-cli-share.md)」を参照してください。
**属性ベースの暗号化によりアクセスと使用を制御可能**
AWS CloudHSM では、属性ベースの暗号化を使用できます。これは、キー属性を使用して、ポリシーに基づいてデータを復号できるユーザーを制御できる暗号化の一形式です。
# SDKs AWS CloudHSM
を使用する場合は AWS CloudHSM、[AWS CloudHSM クライアントソフトウェア開発キット (SDKs) ](use-hsm.md)で暗号化オペレーションを実行します。 AWS CloudHSM クライアント SDKsには以下が含まれます。
+ 公開鍵暗号規格 \$111 (PKCS \$111)
+ JCE プロバイダー
+ OpenSSL Dynamic Engine
+ Microsoft Windows のキーストレージプロバイダー (KSP)
これらの SDK の一部またはすべてを AWS CloudHSM クラスターで使用できます。これらの SDK を使用して HSM で暗号化操作を実行するアプリケーションコードを書き込みます。各 SDK をサポートするプラットフォームと HSM タイプを確認するには、「[AWS CloudHSM クライアント SDK 5 でサポートされているプラットフォーム](client-supported-platforms.md)」を参照してください。
ユーティリティツールとコマンドラインツールは SDK を使用するだけでなく、アプリケーションの認証情報、ポリシー、設定を構成するためにも必要です。詳細については、[AWS CloudHSM コマンドラインツール](command-line-tools.md) を参照してください。
クライアント SDK のインストールと使用、あるいはクライアント接続のセキュリティのさらなる詳細については、[クライアント SDK](use-hsm.md) と [エンドツーエンドの暗号化](client-end-to-end-encryption.md) を参照してください。
# AWS CloudHSM クラスターのバックアップ
AWS CloudHSM は、クラスター内のユーザー、キー、ポリシーを定期的にバックアップします。バックアップは安全で、耐久性が高くて、予測可能なスケジュールで更新されます。下の図は、バックアップとクラスターの関係を示しています。
![\[AWS CloudHSM サービス制御の Amazon S3 バケットで暗号化されたクラスターバックアップ。\]](http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/images/cluster-backup.png)
ユーザーデータのさらなる操作方法の詳細については、[クラスターのバックアップ](manage-backups.md) を参照してください。
**セキュリティ**
が HSM からバックアップ AWS CloudHSM を作成すると、HSM は送信前にすべてのデータを暗号化します AWS CloudHSM。データがプレーンテキスト形式で HSM から外部に出ることはありません。さらに、 はバックアップの復号に使用されるキーにアクセス AWS できない AWS ため、 によるバックアップの復号化はできません。詳細については、[クラスターバックアップのセキュリティ](data-protection-backup-security.md)を参照してください。
**耐久性**
AWS CloudHSM は、クラスターと同じリージョンのサービス制御の Amazon Simple Storage Service (Amazon S3) バケットにバックアップを保存します。バックアップの耐久レベルは 99.999999999% で、Amazon S3 に保存されているオブジェクトと同じです。
# でサポートされているリージョン AWS CloudHSM
でサポートされているリージョンの詳細については AWS CloudHSM、[AWS CloudHSM 『』の「リージョンとエンドポイント」、または「リージョンテーブル](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)」を参照してください。 *AWS 全般のリファレンス* [https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
AWS CloudHSM は、特定のリージョンのすべてのアベイラビリティーゾーンで使用できない場合があります。ただし、クラスター内のすべての HSMs 間で AWS CloudHSM 自動的に負荷分散されるため、パフォーマンスには影響しません。
ほとんどの AWS リソースと同様に、クラスターと HSMsはリージョンリソースです。クラスターをリージョン間で再利用したり、拡張したりすることはできません。「[の開始方法 AWS CloudHSM](getting-started.md)」に一覧表示されている必要なステップをすべて実行し、新しいリージョンにクラスターを作成する必要があります。
ディザスタリカバリの目的で、 AWS CloudHSM AWS CloudHSM では、あるリージョンから別のリージョンにクラスターのバックアップをコピーできます。詳細については、「[AWS CloudHSM クラスターのバックアップ](backups.md)」を参照してください。