CloudHSM クラスターを他の AWS アカウントと共有するにはどうすればよいですか?

最終更新日: 2019 年 12 月 13 日

組織は複数の AWS アカウントを持っています。AWS CloudHSM クラスターをこれらの AWS アカウントと共有するにはどうすればよいですか?

簡単な説明

AWS Resource Access Manager を使用すれば、CloudHSM を含む VPC のサブネットを他の AWS アカウントと共有できます。

解決方法

AWS RAM を使用して、別の AWS アカウントで CloudHSM にアクセスします。次の例では、アカウント 1 には CloudHSM クラスターが含まれ、アカウント 2 には CloudHSM クライアントインスタンスが含まれています。

AWS RAM を使用して AWS Organizations との共有を有効にする

  1. Organizations のマスターアカウントで、AWS RAM コンソールを CloudHSM と同じリージョンで開き、[Settings] を選択します。
  2. [Enable sharing with your AWS Organization] チェックボックスをオンにします。
  3. Organizations のマスターアカウントで、AWS Organization コンソールを開きます。
  4. [Settings] を選択し、Organization ID をメモします。

AWS Organizations の他のアカウントで、アカウント 1 とのリソース共有を作成する

  1. CloudHSM と同じリージョンで、AWS RAM コンソールアカウント 1 で開きます。
  2. ナビゲーションペインの [Shared by me] で、[Resource shares] をクリックします。
  3. [Create resource share] を選択します。
  4. [Name] にリソース共有の名前を入力します。
  5. [Resources] で、CloudHSM の VPC サブネット ID を選択します。
  6. [Principals] で、[Allow external accounts] のチェックをオフにします。
  7. [Add AWS account number] 検索ペインで、Organization ID を入力し、[Add]、[Create resource share] の順にクリックします。

注: 組織単位 (OU) や AWS アカウントを共有することもできます。

セキュリティグループを設定して、CloudHSM クライアントが CloudHSM クラスターに接続できるようにする

  1. CloudHSM クラスターと同じリージョンで、CloudHSM コンソールアカウント 1 で開きます。
  2. ナビゲーションペインで、[Clusters] をクリックします。
  3. [Cluster ID] で、共有する CloudHSM クラスターをクリックします。
  4. [Security group] で、セキュリティグループを選択します。
  5. [Inbound] タブを選択し、[Edit] をクリックします。
  6. [Add Rule] をクリックします。
  7. [Port Range] に 2223-2225 と入力します。
  8. [Source] にクライアントインスタンスのプライベート IP アドレスを入力し、[Save] をクリックします。

注: クライアントインスタンスのプライベート IP アドレスを取得するには、「how to determine your instance's private IPv4 addresses using the EC2 console」をご参照ください。

アカウント 2 と共有するサブネットのクライアントインスタンスを作成する

  1. Amazon EC2 コンソールアカウント 2 で開き、[Launch Instance]、Amazon マシンイメージ (AMI) の順にクリックします。
  2. [Next: Configure Instance Details] をクリックします。
  3. [Network] でアカウント 2 と共有している VPC を選択します。
  4. [Subnet] でアカウント 2 と共有しているサブネットを選択します。
  5. [Auto-assign Public IP] で、[Enable]、[Next:Add Storage] の順にクリックします。
  6. [Next: Add Tags]、[Next: Configure Security Group] の順にクリックします。
  7. [Assign a security group] で、[Create a new security group] または [Select an existing security group] (インスタンスタイプに応じて) を選択します。
  8. [Review and Launch]、[Launch] の順にクリックします。
  9. 既存のキーペアを選択するか、新しいキーペアを作成して (インスタンスタイプに応じて)、契約チェックボックスをオンにします。
  10. [Launch Instances] をクリックします。