ヤマムギ

growing hard days.

*

AWS CloudHSMを起動してみました

      2021/07/30


なかなか触る機会のないサービス、CloudHSM。
起動してみました。

手順はユーザーガイドAWS CloudHSM の使用開始を参照しました。

CloudHSMクラスターの作成

[クラスターの作成]からスタートしました。


VPCとAZを指定しました。
本番では複数のAZを指定するべきですが、今回はお試しなので1つだけ。


バックアップは消すからなんでもいいのですが、一応最低の7日にしました。


作成中になりました。

クライアントEC2の起動


HSMクライアント用のEC2インスタンスを起動しました。
IAMロールにSSMManagedInstanceCoreを設定しているので、キーペアなし、セキュリティグループはVPCのデフォルトにしました。


CloudHSMによってセキュリティグループができましたので、それをEC2インスタンスに追加しました。
セキュリティグループはインバウンド、アウトバウンドともに自分自身がソースで、ポートは2223-2225が許可されていました。

AWS CloudHSM クライアントとコマンドラインツールのインストール

EC2にセッションマネージャで接続して実行しました。

HSM作成


CloudHSMクラスターがとりあえずできたみたいなので、選択して[アクション]-[初期化]を選択しました。


最初のHSMを作成するAZを指定しました。


指定したサブネットのENIが作成されました。

クラスターの初期化


4つの証明書ダウンロードリンクから全部ダウンロードしました。

ローカルのmacOSでプライベートキーを作成しました。

自己証明書の作成

クラスターのCSRに署名


指定どおりアップロードして、[アップロードと初期化]を実行しました。

クラスターの初期化とアクティブ化

customerCA.crtを/opt/cloudhsm/etc/customerCA.crtにコピーしなければ、なので、適切なS3バケットにアップロードしてEC2からダウンロード。

コピー終了後次のコマンドを実行しました。
172.31.14.232はHSMのIPアドレスです。

アクティブ化は次のコマンドを実行しました。

listUsersコマンドを実行してみました。

PRECO ユーザーとして HSM にログインしました。

パスワードを変更しました。

User TypeがPRECOからCOに変わりました。

初期設定はできたようです。

カスタムキーストアの作成をしてみる

せっかく環境があるので、KMSのカスタムキーストアを作ってみました。

CloudHsmClusterInvalidConfigurationException – CloudHSM cluster must contain active HSMs in at least two Availability Zones.

こんなメッセージで失敗しました。
AZが1つだとダメみたいです。
また今度機会があれば。

削除

HSMを削除しました。

クラスターを削除しました。

クライアント用のEC2も削除しました。

バックアップもと思ったら、7日間削除が保留されるそうです。
さすがHSM。守られてますね。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

 - AWS ,

ad

ad

  関連記事

Amazon Linux2のCloud9でPython CDKのモジュールインストール

AMIがCloud9AmazonLinux2-2021-02-02T16-48の …

Lambda関数で自分自身の環境変数を更新する

Twitterでツイート検索するAPIを試してみるでツイートの取得を重複させない …

S3バケットポリシーで特定のVPCエンドポイント以外からのリクエストを拒否しつつメンテナンスはしたい

特定のVPCで実行されているEC2のアプリケーションからのリクエストだけを許可し …

AWS Organizations SCPがリソースベースのポリシーには影響しないことを確認

AWS Organizations SCPで許可ポリシーの設定をし継承の関係を確 …

kintoneでEveryoneに権限が設定されているアプリをAWS Lambdaで一括チェックする

こないだ、kintone Cafeでユーザーが自由に作成している環境だと、どんな …

AWS Toolkit for EclipseからLambda関数を直接作成できずにMavenでパッケージ化して作成

AWS Toolkit for EclipseからLambda関数を直接作成 チ …

Amazon Connectから問い合わせ追跡レコード(CTR)をエクスポート

Amazon Connectから発信した電話に出たのか、出なかったのかを確認した …

別アカウントのVPCからAWS PrivateLinkを使う

やったことないのでやってみるシリーズです。 VPC エンドポイントサービス (A …

EC2 Amazon Linux 2 にAmazon LinuxからWordPressを移行

このブログを新しいインスタンスに移行することにしました。 2015年5月にAma …

AWS CodeStarのプロジェクトテンプレートLambda+Pythonによって生成されるもの

勉強会のデモで、AWS CodeStarのプロジェクトテンプレートLambda+ …