ヤマムギ

growing hard days.

*

AWS CloudHSMを起動してみました

      2021/07/30

なかなか触る機会のないサービス、CloudHSM。
起動してみました。

手順はユーザーガイドAWS CloudHSM の使用開始を参照しました。

CloudHSMクラスターの作成

[クラスターの作成]からスタートしました。


VPCとAZを指定しました。
本番では複数のAZを指定するべきですが、今回はお試しなので1つだけ。


バックアップは消すからなんでもいいのですが、一応最低の7日にしました。


作成中になりました。

クライアントEC2の起動


HSMクライアント用のEC2インスタンスを起動しました。
IAMロールにSSMManagedInstanceCoreを設定しているので、キーペアなし、セキュリティグループはVPCのデフォルトにしました。


CloudHSMによってセキュリティグループができましたので、それをEC2インスタンスに追加しました。
セキュリティグループはインバウンド、アウトバウンドともに自分自身がソースで、ポートは2223-2225が許可されていました。

AWS CloudHSM クライアントとコマンドラインツールのインストール

EC2にセッションマネージャで接続して実行しました。

HSM作成


CloudHSMクラスターがとりあえずできたみたいなので、選択して[アクション]-[初期化]を選択しました。


最初のHSMを作成するAZを指定しました。


指定したサブネットのENIが作成されました。

クラスターの初期化


4つの証明書ダウンロードリンクから全部ダウンロードしました。

ローカルのmacOSでプライベートキーを作成しました。

自己証明書の作成

クラスターのCSRに署名


指定どおりアップロードして、[アップロードと初期化]を実行しました。

クラスターの初期化とアクティブ化

customerCA.crtを/opt/cloudhsm/etc/customerCA.crtにコピーしなければ、なので、適切なS3バケットにアップロードしてEC2からダウンロード。

コピー終了後次のコマンドを実行しました。
172.31.14.232はHSMのIPアドレスです。

アクティブ化は次のコマンドを実行しました。

listUsersコマンドを実行してみました。

PRECO ユーザーとして HSM にログインしました。

パスワードを変更しました。

User TypeがPRECOからCOに変わりました。

初期設定はできたようです。

カスタムキーストアの作成をしてみる

せっかく環境があるので、KMSのカスタムキーストアを作ってみました。

CloudHsmClusterInvalidConfigurationException – CloudHSM cluster must contain active HSMs in at least two Availability Zones.

こんなメッセージで失敗しました。
AZが1つだとダメみたいです。
また今度機会があれば。

削除

HSMを削除しました。

クラスターを削除しました。

クライアント用のEC2も削除しました。

バックアップもと思ったら、7日間削除が保留されるそうです。
さすがHSM。守られてますね。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第2版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS ,

ad

ad

  関連記事

Route53でドメインを新規取得してDNSレコードを設定する

Elastic IPをAWSで発行しているのですから、DNSの設定も同じようにマ …

AWS License ManagerでAMIからインスタンスの起動を制御

EC2 Image BuilderでRocket.ChatのAMIを作って起動テ …

AWS複数アカウントのリソースをLambda(Python)から一括操作したくて

AWSの複数アカウント(30ちょい)のリソースをまとめて自動処理したくて。 とり …

リザーブドインスタンスはじめました

このブログも2014年9月にはじめたので、もうすぐ3年。 1件~17件とばらつき …

TwilioからのリクエストをAPI Gateway+LambdaでTwimlを返して処理する

Twilioで着信した時のリクエスト先としてTwimlをWebサーバやS3で用意 …

WordPress、プラグインのアップデートしてBlue/Greenデプロイ

現在のブログの構成です。 WordPressとプラグインのアップデートをして、デ …

Amazon ECS Workshop for AWS Summit Online

INTRODUCTION TO AMAZON ECSに手順や必要なリンクがありま …

Amazon Linux2(EC2)にEC-CUBE 4をインストール

こちらのHOMEお知らせ・コラムAmazon Linux2にEC-CUBE4.0 …

Aurora Serverless Data APIを有効にしてLambdaからクエリを実行

Aurora Serverless作成 MySQLを作成しました。 作成時にDa …

「AWS認定試験対策 AWS クラウドプラクティショナー」の出版が確定したのでAmazon著者セントラルに登録した

初の執筆本、「AWS認定試験対策 AWS クラウドプラクティショナー」の出版が確 …