ヤマムギ

growing hard days.

*

AWS CloudHSMを起動してみました

      2021/07/30


なかなか触る機会のないサービス、CloudHSM。
起動してみました。

手順はユーザーガイドAWS CloudHSM の使用開始を参照しました。

CloudHSMクラスターの作成

[クラスターの作成]からスタートしました。


VPCとAZを指定しました。
本番では複数のAZを指定するべきですが、今回はお試しなので1つだけ。


バックアップは消すからなんでもいいのですが、一応最低の7日にしました。


作成中になりました。

クライアントEC2の起動


HSMクライアント用のEC2インスタンスを起動しました。
IAMロールにSSMManagedInstanceCoreを設定しているので、キーペアなし、セキュリティグループはVPCのデフォルトにしました。


CloudHSMによってセキュリティグループができましたので、それをEC2インスタンスに追加しました。
セキュリティグループはインバウンド、アウトバウンドともに自分自身がソースで、ポートは2223-2225が許可されていました。

AWS CloudHSM クライアントとコマンドラインツールのインストール

EC2にセッションマネージャで接続して実行しました。

HSM作成


CloudHSMクラスターがとりあえずできたみたいなので、選択して[アクション]-[初期化]を選択しました。


最初のHSMを作成するAZを指定しました。


指定したサブネットのENIが作成されました。

クラスターの初期化


4つの証明書ダウンロードリンクから全部ダウンロードしました。

ローカルのmacOSでプライベートキーを作成しました。

自己証明書の作成

クラスターのCSRに署名


指定どおりアップロードして、[アップロードと初期化]を実行しました。

クラスターの初期化とアクティブ化

customerCA.crtを/opt/cloudhsm/etc/customerCA.crtにコピーしなければ、なので、適切なS3バケットにアップロードしてEC2からダウンロード。

コピー終了後次のコマンドを実行しました。
172.31.14.232はHSMのIPアドレスです。

アクティブ化は次のコマンドを実行しました。

listUsersコマンドを実行してみました。

PRECO ユーザーとして HSM にログインしました。

パスワードを変更しました。

User TypeがPRECOからCOに変わりました。

初期設定はできたようです。

カスタムキーストアの作成をしてみる

せっかく環境があるので、KMSのカスタムキーストアを作ってみました。

CloudHsmClusterInvalidConfigurationException – CloudHSM cluster must contain active HSMs in at least two Availability Zones.

こんなメッセージで失敗しました。
AZが1つだとダメみたいです。
また今度機会があれば。

削除

HSMを削除しました。

クラスターを削除しました。

クライアント用のEC2も削除しました。

バックアップもと思ったら、7日間削除が保留されるそうです。
さすがHSM。守られてますね。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

 - AWS ,

ad

ad

  関連記事

JAWS FESTA 2017 Reverse X re:Birth

JAWS FESTA 2017 中四国 今年はブログタイトル「JAWS FEST …

CloudFormationドリフト検出

CloudFormationスタックのドリフト検出を確認しました。 CloudF …

Well-Architected Tool レンズヴァージョンアップ

当ブログのWell-Architectedレビューを久しぶりにやろうと思い、We …

「re:CAP ~サーバーワークス re:Invent 2018 報告会~」でre:Invent2018について思われたことを聞かせていただいた

サーバーワークスさんのre:Invent re:CAPにおじゃましました。 re …

AWS AmplifyでTodoアプリを作るハンズオンをやってみました

【お手軽ハンズオンで AWS を学ぶ】AWS Amplify で Todo アプ …

AWS Lambda KMSを使って環境変数を暗号化、復号化する(Python)

Lambda内で外部APIを使用する場合などをユースケースとして、環境変数をKM …

静的と動的って何ですか?と営業さんに聞かれたので端的に説明してみました

AWS認定クラウドプラクティショナーの勉強をしている営業さんに、「S3で静的オブ …

「ポケットスタディ AWS認定 デベロッパーアソシエイト」を執筆しました

2021年3月6日に、「ポケットスタディ AWS認定 デベロッパーアソシエイト」 …

ENAが有効なEC2インスタンスの帯域幅をiperf3で確認してみた

同じ Amazon VPC 内で Amazon EC2 Linux インスタンス …

AWS 認定クラウドプラクティショナーのサンプル問題

AWS認定クラウドプラクティショナのサンプル問題2018年9月25日現在で、英語 …