ヤマムギ

growing hard days.

*

AWS CloudHSMを起動してみました

      2021/07/30

なかなか触る機会のないサービス、CloudHSM。
起動してみました。

手順はユーザーガイドAWS CloudHSM の使用開始を参照しました。

CloudHSMクラスターの作成

[クラスターの作成]からスタートしました。


VPCとAZを指定しました。
本番では複数のAZを指定するべきですが、今回はお試しなので1つだけ。


バックアップは消すからなんでもいいのですが、一応最低の7日にしました。


作成中になりました。

クライアントEC2の起動


HSMクライアント用のEC2インスタンスを起動しました。
IAMロールにSSMManagedInstanceCoreを設定しているので、キーペアなし、セキュリティグループはVPCのデフォルトにしました。


CloudHSMによってセキュリティグループができましたので、それをEC2インスタンスに追加しました。
セキュリティグループはインバウンド、アウトバウンドともに自分自身がソースで、ポートは2223-2225が許可されていました。

AWS CloudHSM クライアントとコマンドラインツールのインストール

EC2にセッションマネージャで接続して実行しました。

HSM作成


CloudHSMクラスターがとりあえずできたみたいなので、選択して[アクション]-[初期化]を選択しました。


最初のHSMを作成するAZを指定しました。


指定したサブネットのENIが作成されました。

クラスターの初期化


4つの証明書ダウンロードリンクから全部ダウンロードしました。

ローカルのmacOSでプライベートキーを作成しました。

自己証明書の作成

クラスターのCSRに署名


指定どおりアップロードして、[アップロードと初期化]を実行しました。

クラスターの初期化とアクティブ化

customerCA.crtを/opt/cloudhsm/etc/customerCA.crtにコピーしなければ、なので、適切なS3バケットにアップロードしてEC2からダウンロード。

コピー終了後次のコマンドを実行しました。
172.31.14.232はHSMのIPアドレスです。

アクティブ化は次のコマンドを実行しました。

listUsersコマンドを実行してみました。

PRECO ユーザーとして HSM にログインしました。

パスワードを変更しました。

User TypeがPRECOからCOに変わりました。

初期設定はできたようです。

カスタムキーストアの作成をしてみる

せっかく環境があるので、KMSのカスタムキーストアを作ってみました。

CloudHsmClusterInvalidConfigurationException – CloudHSM cluster must contain active HSMs in at least two Availability Zones.

こんなメッセージで失敗しました。
AZが1つだとダメみたいです。
また今度機会があれば。

削除

HSMを削除しました。

クラスターを削除しました。

クライアント用のEC2も削除しました。

バックアップもと思ったら、7日間削除が保留されるそうです。
さすがHSM。守られてますね。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

【PR】 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第2版」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS ,

ad

ad

  関連記事

Amazon Aurora Serverless のログをCloudWatch Logsに出力する

WordPress W3 Total Cache のDatabaseCacheを …

Amazon Auroraのスナップショットの暗号化とリージョン間コピーを改めて試しました

Amazon Auroraデータベースを暗号化して、スナップショットを作成、クロ …

AWS Lambda(Python)でDynamoDB テーブルを日次で削除/作成(オートスケーリング付き)

この記事はAWS #2 Advent Calendar 2018に参加した記事で …

AWSアカウントでルートユーザーが使用されたときにTeamsへ投稿する

Organizations組織内のアカウントのいずれかでルートユーザーが使用され …

EC2:RunInstances APIにリクエストしてEC2インスタンスを起動(署名バージョン4、Postman)

AWSのAPIリクエストってHTTPでもよかったですよね?って思って、確認のため …

Amazon EC2のAMIイメージを自動取得して保持日数が過ぎたら削除

画像の保存をEC2に戻した事もあってEC2のバックアップの自動取得を勉強がてらや …

Amazon SESの受信ルールでSNSトピックを追加

SESの受信ルールにSNSトピックを設定してみました。 [View Active …

AWS Organizations組織の移動

AWS Organizations組織の移動 やりたいことは、Organizat …

AWS Organizationsで新規メンバー登録したアカウントを組織から離して解約

2021年現在ではこの方法しかないと認識していますので書き残します。 そのうち新 …

EC2 Linux ユーザーデータ実行ユーザーとカレントディレクトリの確認

きっと、rootなんだろうなあと認識してたのですが、自分の目で確認したことはなか …