Amazon Web Services ブログ

[AWS Black Belt Online Seminar] AWS CloudHSM 資料及び QA 公開

先日 (2019/7/23) 開催しました AWS Black Belt Online Seminar「AWS CloudHSM」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。

 

 

AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます)

 

Q. SDKとCloudHSMは、直接接続は出来ないのでしょうか?

A. CloudHSMの暗号化や復号機能を利用する場合、CloudHSMクライアント経由である必要があります。
https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/client-tools-and-libraries.html#client
PKCS #11や、JCE、Webサーバー用のOpenSSL Dynamic Engine, Microsoft KSPおよびCNGプロバイダーでは、AWS CloudHSMソフトウェアライブラリーを利用しますが、これらのライブラリもCloudHSMクライアント経由でCloudHSMの機能を利用します。
CloudHSMクラスターとHSMの作成、修正、削除などのオペレーションを行うための、AWS CloudHSM APIについてはSDKからご利用が可能です。

Q. Classic から V2への移行に関して、気をつけておくべきことはございますか。資料情報があれば教えていただければと思います。

A. 英語のドキュメントになりますが、こちらのマイグレーションガイドがあるのでご確認ください。
大きな点としては、V2ではリージョンをまたがったクラスターがサポートされない点です。ClassicでリージョンをまたがったHAグループを設定していた場合には、CloudHSMのバックアップを別リージョンに転送して手動でCloudHSMクラスターを再構成する運用手順を確立しておく必要があります。
また、別の観点になりますが、ClassicとV2ではクラスターやHSMの構成情報なども異なるので、マイグレーション先のCloudHSMで新規にクラスターやHSMの定義をすることになることにご留意ください。

Q. CloudHSMは、Amazonのハードウェアがデータセンターに配置されているのですか?どこかのHSM製品なのでしょうか?

A. はい。AWSのデータセンター内にHSMハードウェアが設置されています。現在使用しているHSMハードウェアについては、FIPSのセキュリティプロファイルページに記載があります。

Q. 手動でのバックアップは出来ないのでしょうか?例えば鍵を作成した際等。

A. 任意のタイミングでの手動でのバックアップ作成は出来ません。定期的なバックアップ以外にバックアップが実行されるのは、クラスターを初期化したとき、クラスターにHSMを追加したとき、クラスターからHSMを削除したときとなります。ワークアラウンドとして、一時的にHSMの追加と削除を行い、バックアップを取得するということが考えられます。
参考リンクはこちら

Q. 監査ログは、暗号化されているのでしょうか?

A. 監査ログは、CloudWatch Logsに出力されますので、CloudWatch Logs上でロググループを暗号化設定すれば暗号化可能です。

Q. クラスターで、アクセスしているHSMの確認は可能でしょうか?

A. CloudHSMのCLIコマンドは、クラスター上のどのHSMに接続しているかをレスポンスとして返します。
下記の例では3台のHSMと接続しています。3台のHSMから応答が返ってきていることが分かります。

Command: loginHSM -u CU -s example_user -p Cfm3LoginHSM returned: 0x00 : HSM Return: SUCCESS

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Q. クラスターを組んで2台から3台にHSMに増やした場合、どの程度負荷が減るのでしょうか?サイジングとしての参考資料はございますか?

A. 実行するワークロードが該当する場合には、下記の公開ページの情報が参考になりますが、実際には、アプリケーションの負荷テストを実施して確認されることをおすすめしています。
参考リンクはこちら

今後の AWS Webinar | イベントスケジュール

直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。

【初心者向け】AWS Scalable Hands on Webinar
アマゾン ウェブ サービス(AWS)を利用して、セキュアでスケーラブルなウェブサービスの構築手順を体験できるハンズオンをオンラインで開催いたします。
2019 年 8 月 8 日 (木) | 15:00 – 17:00 申込先 ≫

【経験者向け】Amazon SageMaker Ground Truth 体験ハンズオン
Amazon SageMaker Ground Truth は、機械学習を利用してデータを分類するために必要不可欠な、データラベリングの作業を効率化するサービスです。
本セミナーでは、Amazon SageMaker Ground Truth の概要を紹介し、ラベリングジョブを作成して、ジョブを実行するまでの流れをハンズオン形式で体験していただきます。
2019 年 8 月 20 日 (火) | 15:00 – 16:30 申込先 ≫

【AWS認定】試験準備 オンラインセミナー
「AWS認定ソリューションアーキテクト – アソシエイト」は AWS のテクノロジーを使用して安全で堅牢なアプリケーションを構築し、デプロイするための知識を持っていることを証明する認定資格です。
本ワークショップでは、試験問題を解く際のポイントや理解を深めるためのドキュメントを出題分野ごとにを解説します。

2019 年 8 月 9 日 (金) | 9:00 – 12:30 申込先 ≫
2019 年 8 月 23 日 (金) | 15:00 – 18:30 申込先 ≫

【開発者向け】Happy Coding Dojo
Happy Coding DojoはAmazon Web Service JapanのSolutions Architect3人を中心にウェブ開発、プログラミング、モバイル、AWSにフォーカスしたチャンネルです。
Tech面ではAWSの話はもちろんなんですが、Microservicesとか世間の流行りなどアプリケーション開発にまつわる話全般をお題に幅広めにやっていきます。
2019 年 8 月 7 日 (水) | 18:00 – 19:00 申込先 ≫

【サービス別に詳細を知りたい方向け】AWS Black Belt Online Seminar
AWS Black Belt Online Seminar 8月分申込先 ≫

AWS Glue | 2019 年 8 月 6 日 (火) | 12:00 – 13:00
実践的 Serverless セキュリティプラクティス | 2019 年 8 月 13 日 (火) | 12:00 – 13:00
AWS Serverless Application Model | 2019 年 8 月 14 日 (水) | 18:00 – 19:00
Serverless モニタリング | 2019 年 8 月 20 日 (火) | 12:00 – 13:00
AWS AppSync | 2019 年 8 月 21 日 (水) | 18:00 – 19:00
Amazon Aurora with PostgreSQL Compatibility | 2019 年 8 月 28 日 (水) | 18:00 – 19:00