全般

Q: AWS CloudHSM とは何ですか?

AWS CloudHSM サービスを使用すると、AWS クラウド内の専用ハードウェアセキュリティモジュール (HSM) インスタンスを使用して、データセキュリティに対する企業コンプライアンス要件、契約上のコンプライアンス要件、法令遵守の要件を満たすことができます。AWS および AWS Marketplace のパートナーにより、AWS プラットフォーム内の重要データを保護するためのさまざまなソリューションが用意されていますが、暗号キーの管理に関して契約上または法令上の義務が課せられたアプリケーションやデータに対しては、追加の保護が必要になることもあります。CloudHSM は既存のデータ保護ソリューションを補完する役割を果たし、HSM 内での暗号キー保護を可能にします。HSM は安全なキー管理に対する米国政府標準規格に適合するように設計/検証されています。CloudHSM はユーザー自身にしかアクセスできない方法で、データ暗号化に使用される暗号キーを安全に生成、保存、管理することができます。

Q: ハードウェアセキュリティモジュール (HSM) とは何ですか?

ハードウェアセキュリティモジュール (HSM) では、不正使用防止策の施されたハードウェアデバイス内での、安全なキー保管と暗号化操作が可能になります。HSM は暗号キーデータを安全に保存し、ハードウェアの暗号境界の外側からは見えないようにキーデータを使用できるよう設計されています。

Q: CloudHSM を使用すると、どのようなことができるのですか?

CloudHSM サービスを使用して、データベース暗号化、デジタル著作権管理 (DRM)、公開鍵基盤 (PKI)、認証と許可、ドキュメントの署名、トランザクション処理など、さまざまなユースケースやアプリケーションに対応することができます。

Q: CloudHSM はどのように機能しますか?

AWS CloudHSM サービスを使用する際、CloudHSM クラスターを作成します。クラスターにはリージョン中のマルチアベイラビリティーゾーンにまたがった複数の HSM を含むことがあります。クラスターの HSM は自動的に同期、負荷分散されます。お客様はクラスター内の各 HSM に対する、専用のシングルテナントアクセスを取得します。各 HSM は Amazon Virtual Private Cloud (VPC) のネットワークリソースとして表示されます。AWS CloudHSM API を利用した 1 回の呼び出しで (または AWS CLI を使ってコマンドラインで)、クラスターから HSM の追加や削除を実行できます。CloudHSM クラスターを作成して初期化した後、EC2 インスタンスでクライアントを設定できます。これにより、安全で認証されたネットワーク接続を用いて、アプリケーションでクラスターを使用できるようになります。

このサービスは HSM の状態を自動的にモニタリングしますが、AWS の担当者はキーやデータにアクセスできません。アプリケーションでは標準の暗号化 API と、アプリケーションインスタンスにインストールされた HSM クライアントソフトウェアを連携させて、暗号化リクエストを HSM に送信します。クライアントソフトウェアではクラスター内のすべての HSM に対して安全なチャネルが維持され、リクエストはそのチャネルに送られます。HSM でオペレーションが実行されると、その安全なチャネルから結果が返されます。クライアントは、暗号化 API を使用してアプリケーションに結果を返します。

Q: 現在 VPC を使用していません。それでも AWS CloudHSM を使用できますか?

いいえ。ユーザーの AWS CloudHSM を保護し、他の Amazon のユーザーから分離するため、CloudHSM を Amazon VPC 内にプロビジョニングする必要があります。VPC の作成は簡単です。詳細については、VPC 入門ガイドを参照してください。

Q: 作成するアプリケーションは、CloudHSM クラスターと同じ VPC 内に配置する必要がありますか?

いいえ。ただし、アプリケーションと HSM クライアントが実行されるサーバーまたはインスタンスには、クラスター内のすべての HSM に到達可能なネットワーク (IP) が必要です。アプリケーションから HSM へのネットワーク接続は、さまざまな方法で確立できます。その中には、同じ VPC 内でアプリケーションを動作させる方法、また、VPC ピア接続、VPN 接続、あるいは Direct Connect を使用する方法があります。詳細については、VPC ピア接続および Amazon VPC ユーザーガイドをご覧ください。

Q: CloudHSM は、オンプレミスの HSM で動作しますか?

はい。CloudHSM はオンプレミスの HSM と直接的には相互運用できませんが、サポートされているいくつかの RSA キーラップ方法の 1 つを使用して、CloudHSM とほとんどの市販の HSM との間でエクスポート可能なキーを安全に転送することができます。   

Q: アプリケーションで CloudHSM を使用するにはどうしたらよいですか?

AWS では、Oracle Database 11g および 12c、ウェブサーバー (SSL オフロードに対応した Apache や Nginx) などの数多くのサードパーティのソフトウェアソリューションと CloudHSM を統合し、テストを実施しました。詳細については、CloudHSM ユーザーガイドをご覧ください。

カスタムアプリケーションを開発している場合、PKCS#11、Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions)、または Microsoft CAPI/CNG など、CloudHSM でサポートされる標準の API をアプリケーションで使用できます。コードサンプルおよび開始方法のヘルプについては、CloudHSM ユーザーガイドをご覧ください。

既存のワークロードを CloudHSM Classic またはオンプレミスの HSM から CloudHSM に移行する場合、CloudHSM 移行ガイドに移行の計画や実行に関する情報があります。

Q: CloudHSM を使用して、キーを保存したり、他の AWS のサービスで使用されるデータを暗号化することはできますか?

はい。CloudHSM と統合されたアプリケーションでは、すべての暗号化を使用できます。この場合、Amazon S3 や Amazon Elastic Block Store (EBS) のような AWS のサービスでは暗号化されたデータのみ参照できることになります。

Q: AWS の他のサービスで CloudHSM を使用して、キーの保存や管理を行えますか?

AWS のサービスは、AWS Key Management Service と統合してから KMS カスタムキーストア機能を通じて AWS CloudHSM に統合されます。多くの AWS のサービスが提供するサーバー側の暗号化 (EBS、S3、または Amazon RDS など) を使用する必要がある場合、AWS KMS でカスタムキーストアを設定すると使用できます。

Q: CloudHSM を使用することによって、デビット決済取引で使用される個人識別番号 (PIN) ブロック変換やその他の暗号化操作を実行することは可能ですか?

現在 CloudHSM では、汎用 HSM が提供されています。今後、支払い機能が追加される予定です。詳しい情報については、お問い合わせください

Q: CloudHSM の使用を開始するにはどうすればよいですか?

CloudHSM コンソールを使用するか、AWS SDK または API からいくつかの API コールを使用して、CloudHSM クラスターをプロビジョニングできます。開始方法の詳細については CloudHSM ユーザーガイドを、Cloud HSM API の詳細については CloudHSM ドキュメントを、また、SDK の詳細についてはアマゾン ウェブ サービスのツールのページをご覧ください。

Q: CloudHSM サービスを停止するにはどうすればよいですか?

CloudHSM コンソール、API、または SDK を使用して、HSM の削除やサービスの使用の停止を行うことができます。詳細については、CloudHSM ユーザーガイドを参照してください。

請求

Q: AWS CloudHSM サービスの利用料金の課金と請求はどのように行われますか?

HSM が CloudHSM クラスターにプロビジョニングされた 1 時間 (または 1 時間未満) ごとに時間料金が課金されます。HSM が存在しないクラスターや、暗号化されたバックアップの自動ストレージは請求の対象ではありません。詳細については、CloudHSM の料金ページをご覧ください。HSM についてのネットワークデータ転送や受信には別途料金がかかります。詳しくは、EC2 のデータ転送料金を確認してください。

Q: CloudHSM サービスに無料利用枠はありますか?

いいえ。CloudHSM に無料利用枠はありません。

Q: 請求は HSM で作成したユーザーやキーの数によって変わりますか?

いいえ。リージョンによって異なる時間料金は HSM の使用量によって変わりません。

Q: CloudHSM のリザーブドインスタンス料金を提供していますか?

いいえ、CloudHSM のリザーブドインスタンス料金は提供していません。

プロビジョニングとオペレーション

Q: CloudHSM を使用するための前提条件はありますか?

はい。CloudHSM の利用を開始するには、いくつかの前提条件があります。それには、CloudHSM サービスを利用したいリージョンに Virtual Private Cloud (VPC) があることなどが含まれます。詳細については、CloudHSM ユーザーガイドを参照してください。

Q: HSM のファームウェアを管理する必要はありますか?

いいえ。ハードウェアのファームウェアは AWS で管理します。ファームウェアはサードパーティによってメンテナンスされます。また、すべてのファームウェアは、FIPS 140-2 レベル 3 コンプライアンスを満たしているかどうかについて NIST の評価を受ける必要があります。インストールできるのは、FIPS キーによって暗号化された署名済みのファームウェアのみです (AWS にはこのキーへのアクセス権がありません)。

Q: CloudHSM クラスターではいくつの HSM を使用できますか?

AWS では、本番ワークロードには少なくとも 2 つの HSM を、異なる 2 つのアベイラビリティーゾーンで使用することを強くお勧めします。ミッションクリティカルなワークロードには少なくとも 3 つの HSM を、異なる 2 つの AZ で使用することをお勧めします。CloudHSM クライアントでは、HSM の障害を自動的に処理し、複数の HSM 全体でアプリケーションに対して透過的に負荷分散を行います。

Q: キーの耐久性について責任があるのは誰ですか?

AWS では、CloudHSM クラスターの暗号化された自動バックアップを毎日実施し、クラスターのライフサイクルイベント (HSM の追加や削除) が発生した場合には追加のバックアップを行います。次にバックアップが行われるまでの 24 時間の間に作成され、クラスターにインポートされたキーマテリアルの耐久性については、お客様が全責任を負います。キーの耐久性を確保するために、作成されたキーが、異なる 2 つのアベイラビリティーゾーンで少なくとも 2 つの HSM と確実に同期されるようにすることを強くお勧めします。キーの同期を確認する方法の詳細については、CloudHSM ユーザーガイドをご覧ください。

Q: 高可用性 (HA) 構成を設定するにはどうしたらよいですか?

CloudHSM クラスターに最低 2 つの HSM がある場合、高可用性が自動的に設定されます。追加の設定は必要ありません。クラスター内の HSM に障害が発生した場合、HSM は自動的に交換されます。また、すべてのクライアントは更新され、処理を中断することなく新しい設定が反映されます。AWS API または SDK を使用して HSM をクラスターにさらに追加できるため、アプリケーションを中断することなく可用性を向上できます。

Q: CloudHSM クラスターにはいくつの HSM が含まれますか?

単一の CloudHSM クラスターには、アカウントサービスの制限に従い、最大 28 個の HSM を含めることができます。サービスの制限の詳細と、制限の引き上げをリクエストする方法については、オンラインドキュメントをご覧ください。

Q: CloudHSM のコンテンツはバックアップできますか?

CloudHSM クラスターは AWS によって毎日バックアップされます。キーは、"エクスポート不可" として生成されていない限り、クラスター外にエクスポート ("ラップ") し、オンプレミスに保存することもできます。

Q: CloudHSM に SLA はありますか?

はい、AWS CloudHSM のサービスレベルアグリーメント (SLA) はこちらで確認できます。

セキュリティとコンプライアンス

Q: 他の AWS ユーザーと CloudHSM を共有できますか?

いいえ。サービスの一部として、HSM に対してシングルテナントアクセスを取得することになります。基盤となるハードウェアは他のお客様と共有できますが、HSM にアクセスできるのはお客様ご自身のみです。

Q: AWS は暗号化キーにアクセスせずに、どのように HSM を管理しますか?

責任の分離とロールベースのアクセスコントロールは、CloudHSM の設計の特徴です。AWS には HSM に対する制限付きの認証情報があります。これにより、HSM の正常性と可用性をモニタリングして維持し、暗号化されたバックアップを確保し、監査ログを抽出して CloudWatch Logs に公開することができます。AWS は CloudHSM クラスター内のキーやデータにアクセスできず、HSM アプライアンスユーザーに許可されている操作以外は実行できません。

責任の分離および各クラスのユーザーが HSM に所有している機能に関する詳細については、CloudHSM ユーザーガイドをご覧ください。

Q: HSM をモニタリングできますか?

はい。CloudHSM では、CloudHSM クラスターおよび個々の HSM 向けに複数の CloudWatch メトリクスが発行されます。AWS CloudWatch コンソール、API、SDK を使用して、このようなメトリクスの取得やアラームの作成を実行できます。

Q: CloudHSM の "エントロピーソース" (乱数源) とは何ですか?

各 HSM には FIPS で検証された決定論的ランダムビットジェネレーター (DRBG) が搭載されています。DRBG では、SP800-90B に準拠する真性乱数ジェネレーター (TRNG) によって HSM ハードウェアモジュール内で生成されたシード値が用いられます。これは、HSM につき 20 Mb/秒のエントロピーを生成できる高品質のエントロピーソースです。

Q: HSM ハードウェアが不正使用された場合はどうなりますか?

CloudHSM には、物理的および論理的な不正使用を検知して応答するメカニズムがあり、これによりハードウェアのキー削除 (ゼロ化) がトリガーされます。ハードウェアは物理的な防壁が突破された場合、不正使用を検知するように設計されています。また、HSM は総当たり方式でのログイン攻撃からも保護されています。Crypto Officer (CO) 認証情報を用いた HSM へのアクセスが規定回数以上失敗すると、HSM は CO アウトをロックします。同様に、Crypto User (CU) 認証情報を用いた HSM へのアクセスが規定回数以上失敗すると、そのユーザーはロックされ、CO によるロック解除が必要になります。

Q: 障害が起こった場合はどうなりますか?

Amazon では、可用性およびエラー条件に対応するため、HSM およびネットワークのモニタリングとメンテナンスを行っています。HSM で障害が発生するかネットワーク接続が失われた場合、HSM は自動的に交換されます。CloudHSM API、SDK、CLI ツールを使用して個々の HSM の状態をチェックすることができます。また、AWS サービスヘルスダッシュボードを使用すれば、いつでもサービス全体の状態をチェックできます。

Q: 1 つの HSM に障害が起こった場合、キーが消失する可能性はありますか?

CloudHSM クラスターに HSM が 1 つしかない場合、最新の毎日のバックアップ以降に作成されたキーが失われる可能性があります。2 つ以上の HSM を備えた CloudHSM クラスターは、片方の HSM に障害が発生してもキーを失うことがないように別々のアベイラビリティーゾーンに配置するのが理想的です。詳細については、ベストプラクティスをご覧ください。

Q: HSM への認証情報を紛失してしまった場合、Amazon にキーを回復してもらうことはできますか?

Amazon にはユーザーのキーや認証情報へのアクセス権がありませんので、認証情報が消失した場合にキーを回復させることはできません。

Q: CloudHSM が信頼できることを確認するには、どうすればよいですか?

CloudHSM は、連邦情報処理規格 (FIPS) 140-2 レベル 3 で検証されたハードウェア上に構築されています。CloudHSM で使用されるハードウェアの FIPS 140-2 セキュリティプロファイルと、CloudHSM が実行するファームウェアに関する情報は、コンプライアンスのページで確認できます。

Q: CloudHSM サービスで FIPS 140-2 レベル 3 はサポートされていますか?

はい。CloudHSM では FIPS 140-2 レベル 3 で検証された HSM が提供されます。CloudHSM ユーザーガイドクラスターの HSM の身元と正当性の確認に記載されている手順に従って、NIST セキュリティポリシー (1 つ上の質問に記載) で指定されているものと同じモデルのハードウェアで正規の HSM が使用されていることを確認できます。

Q: FIPS 140-2 モードで CloudHSM を動作させるにはどうしたらよいですか?

CloudHSM は常に FIPS 140-2 モードで動作します。これは、CloudHSM ユーザーガイドに記載されているように、CLI ツールを使用して確認できます。getHsmInfo コマンドを実行すると、FIPS モードのステータスが表示されます。

Q: 自分のアカウントで実行したすべての CloudHSM API 呼び出しの履歴を取得することはできますか?

はい。AWS CloudTrail に、お客様のアカウントで行われた AWS API コールが記録されます。CloudTrail で生成される AWS API コールの履歴を利用して、セキュリティ分析、リソース変更の追跡、コンプライアンス監査を実行できます。CloudTrail の詳細については、CloudTrail のホームページをご覧ください。CloudTrail を有効にするには、CloudTrail の AWS マネジメントコンソールにアクセスしてください。

Q: CloudTrail でログに記録されないイベントはどれですか?

CloudTrail には、HSM デバイスに関するものやアクセスログは含まれません。このようなイベントは、CloudWatch Logs により AWS アカウントに直接配信されます。詳細については、CloudHSM ユーザーガイドをご覧ください。

Q: AWS のコンプライアンスへの取り組みのうち、CloudHSM が含まれているのはどれですか?

CloudHSM に対応しているコンプライアンスプログラムについては、AWS コンプライアンスのサイトをご覧ください。AWS の他のサービスとは異なり、CloudHSM に関するコンプライアンス要件は大抵の場合、別の監査プログラムの一部としてではなく、FIPS 140-2 レベル 3 のハードウェア認定自体によって満たされます。

Q: FIPS 140-2 レベル 3 が重要なのはなぜですか?

FIPS 140-2 レベル 3 は、ドキュメントの署名、支払い、SSL 証明書のための公開認証局のオペレーションなど、特定のユースケースの要件を規定しています。

Q: CloudHSM をスコープに含むコンプライアンスレポートをリクエストするには、どうすればいいですか?

CloudHSM 対象範囲内のコンプライアンスレポートを確認するには、コンプライアンスプログラムによる AWS 対象範囲内のサービスに関するデータを確認してください。無料セルフサービスのオンデマンドコンプライアンスレポートを作成するには、AWS Artifact を使用します。

CloudHSM が提供する HSM の FIPS 検証のみにご関心がある場合は、FIPS 検証をご覧ください。

パフォーマンスと容量

Q: CloudHSM では 1 秒間にどれくらいの暗号化オペレーションを実行できますか?

AWS CloudHSM クラスターのパフォーマンスは、特定のワークロードによって異なります。以下の表は、EC2 インスタンスで実行される一般的な暗号化アルゴリズムのおおよそのパフォーマンスを示しています。パフォーマンスを向上させるために、クラスターに HSM インスタンスを追加できます。パフォーマンスは、EC2 インスタンスの設定、データサイズ、および追加のアプリケーション負荷によって異なる場合があります。アプリケーションの負荷テストを行って、スケーリングの必要性を判断することをお勧めします。

オペレーション 2 - HSM クラスター [1] 3 - HSM クラスター [2] 6 - HSM クラスター [3]
RSA 2048 - ビットサイン 2,000 オペレーション/秒 3,000 オペレーション/秒 5,000 オペレーション/秒
EC p256 サイン 500 オペレーション/秒 750 オペレ―ション/秒 1,500 オペレーション/秒

詳細については、AWS CloudHSM ユーザーガイドのパフォーマンスページを参照してください。

[1]: EC2 インスタンスと同じ AZ 内の 1 つの HSM を持つ 1 つの c4.large EC2 インスタンスで実行されている Java マルチスレッドアプリケーションを含む 2 - HSM クラスター。

[2]: EC2 インスタンスと同じ AZ 内の 1 つの HSM を持つ 1 つの c4.large EC2 インスタンスで実行されている Java マルチスレッドアプリケーションを含む 3 - HSM クラスター。

[3]: EC2 インスタンスと同じ AZ 内の 2 つの HSM を持つ 1 つの c4.large EC2 インスタンスで実行されている Java マルチスレッドアプリケーションを含む 6 - HSM クラスター。

Q: 1 つの CloudHSM クラスターにいくつのキーを保存できますか?

CloudHSM クラスターでは、タイプやサイズに関係なく約 3,300 個のキーを保存できます。

サードパーティーの統合

Q: CloudHSM では Amazon RDS Oracle TDE がサポートされていますか?

直接はできません。カスタムキーストアで AWS Key Management Service を使用して、AWS CloudHSM クラスターで生成および保存されたキーを使うことによって Amazon RDS データを保護することもできます。

Q: CloudHSM を他のソフトウェア用の信頼のルートとして使用できますか?

複数のサードパーティーベンダーが AWS CloudHSM を信頼のルートとしてサポートしています。これは、CloudHSM クラスターで基盤となるキーを作成して保存しながら、選択したソフトウェアソリューションを利用できることを意味します。

AWS CloudHSM クライアントの API と SDK

Q: CloudHSM クライアントとは何ですか?

CloudHSM クライアントは、AWS が提供するソフトウェアパッケージです。これにより、アプリケーションと CloudHSM クラスター間で通信できるようになります。

Q: CloudHSM クライアントによって、AWS 側から CloudHSM クラスターにアクセスできるようになりますか?

いいえ。クライアントと HSM の間の通信すべては、エンドツーエンドで暗号化されています。AWS 側から通信を確認あるいは傍受することはできず、クラスターのアクセス認証情報を認識することはできません。

Q: CloudHSM コマンドラインインターフェイス (CLI) ツールとは何ですか?

CloudHSM クライアントには一連の CLI ツールが付属しています。このツールセットにより、コマンドラインから HSM を管理および使用できます。本日、Linux と Microsoft Windows がサポートされました。今後、Apple macOS のサポートも追加される予定です。一連のツールは、CloudHSM クライアントと同じパッケージに含まれています。

Q: CloudHSM コマンドラインインターフェイスツールをダウンロードして利用開始するには、どうすればよいですか?

CloudHSM ユーザーガイドの手順をご覧ください。

Q: CloudHSM CLI ツールは、AWS に HSM のコンテンツへのアクセスを提供しますか?

いいえ、CloudHSM ツールは、安全な相互認証済みのチャネルを使用して、CloudHSM クライアントにより CloudHSM クラスターと直接通信します。クライアント、ツール、HSM 間の通信はエンドツーエンドで暗号化されており、AWS ではどの通信も確認できません。

Q: CloudHSM クライアントと CLI ツールは、どのオペレーティングシステムで使用できますか?

サポートされているオペレーティングシステムの全体一覧については、オンラインドキュメントをご覧ください。

Q: CloudHSM コマンドラインインターフェイスのツールを使用するためのネットワーク接続要件はどのようなものですか?

CloudHSM クライアントを実行しているホスト、または CLI ツールを使用しているホストのネットワークは、CloudHSM クラスター内の HSM すべてに到達可能である必要があります。

Q: CloudHSM の API と SDK では何ができますか?

CloudHSM クラスターと HSM の作成、修正、削除を実行し、そのステータスを取得できます。AWS CloudHSM API で実行できることは、AWS で制限付きアクセスを使用して実行できるオペレーションに限られています。API から HSM のコンテンツにアクセスしたり、ユーザー、ポリシー、その他の設定を修正したりすることはできません。API の詳細については CloudHSM ドキュメントを、SDK の詳細についてはアマゾン ウェブ サービスのツールページをご覧ください。

他のサードパーティー HSM から CloudHSM への移行

Q: AWS CloudHSM への移行はどのように計画すれば良いですか?

まず、必要とするアルゴリズムとモードが CloudHSM でサポートされていることを確認してください。必要に応じて、お客様のアカウントマネージャーが機能のリクエストを出すこともできます。次に、キーローテーション戦略を決めてください。一般的なユースケースの提案は、次のよくある質問を参照してください。CloudHSM の詳細な移行ガイドも公開しました。さあ、CloudHSM をはじめましょう

Q: 私のキーはどのようにしてローテーションできますか?

ローテーション戦略はアプリケーションのタイプによって異なります。一般的な例を以下にあげます。

  • Signin のためのプライベートキー: 一般的に、HSM へのプライベートキーは中間証明書に対応し、この中間証明書はオフラインエンタープライズルートによって署名されます。キーのローテーションは新しい中間証明書の発行で行います。CloudHSM でのOpenSSL を用いた新規プライベートキーの作成と対応する CSR の生成。次に、同じオフラインエンタープライズルートを用いて CSR に署名をします。この新規証明書は、証明書チェーンを自動的には検証しないパートナーに登録する必要がある可能性があります。その後は、新規リクエスト (ドキュメント、コード、その他の証明書など) はすべて新規証明書に対応する新規プライベートキーを登録します。元のプライベートキーからの署名の検証は、対応するパブリックキーで継続して行えます。取り消しの必要はありません。このプロセスは、署名キーの使用停止またはアーカイブを行う場合のものと似ています。
  • Oracle 透明的データ暗号化: ウォレットの転送は、まずハードウェアキーストア (元の HSM) からソフトウェアキーストアに切り替え、それからハードウェアキーストア (CloudHSM) に戻して行います。注意: Amazon RDS をご使用の場合は、上記のよくある質問から「CloudHSM は Amazon RDS Oracle TDE をサポートしていますか?」を参照してください。
  • エンベロープ暗号化に対する対照キー: エンベロープ暗号化とは、HSM でのひとつのキーが、アプリケーションホストの多くのデータキーを暗号化/復号化するキーアーキテクチャを言います。お客様はおそらくすでにキーローテーションプロセスをお持ちで、データキーを古いラッピングキーで復号し、これらの新しいラッピングキーで再度暗号化されていると思います。移行に際して唯一異なるのは、新しいラッピングキーが、元の HSM ではなく、CloudHSM で作成、使用されることです。すでにキーローテーションツールとプロセスをお持ちでない場合、これを作成する必要があります。

Q: 自分のキーをローテーションできない場合はどうすればよいですか?

アプリケーションとユースケースは場合によって異なります。一般的なシナリオに対する解決策は、 CloudHSM の移行ガイドで説明されています。さらに不明な点がある場合、サポートケースを開いて、アプリケーションの詳細、お使いの HSM のタイプ、お使いのキーのタイプ、それらのキーがエクスポート可能かどうかをお伝えください。適切な移行パス決定のお手伝いをさせていただきます。

サポートとメンテナンス

Q: AWS CloudHSM には定期メンテナンス期間がありますか?

いいえ。ただし、必要な更新やハードウェアの障害が発生した場合、AWS がメンテナンスを行う必要がある場合があります。影響が予想される場合は、Personal Health Dashboard を介して事前に通知するように尽力いたします。

高可用性のためにクラスターを設計するのはお客様の責任であることにご注意ください。AWS では CloudHSM クラスターに関して、複数の HSM を別々のアベイラビリティーゾーンで使用するように構成することが強く推奨されています。推奨されるベストプラクティスの詳細については、オンラインドキュメントをご覧ください。

Q: CloudHSM に問題があります。どうすればよいですか?

一般的な問題については、トラブルシューティングガイドで解決策をお探しいただけます。それでも問題が解決しない場合は、AWS サポートにお問い合わせください。

料金の詳細

料金の例を参照し、コストを計算してください。

詳細はこちら 
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
コンソールで構築を開始する

AWS コンソールで AWS CloudHSM を使った構築を始めましょう。

サインイン