すべてのプロダクト
Search

このプロダクト

    Key Management Service:HSM インスタンスの購入

    ドキュメントセンター

    Key Management Service:HSM インスタンスの購入

    最終更新日:Dec 10, 2025

    このトピックでは、ハードウェアセキュリティモジュール (HSM) インスタンスの購入方法について説明します。

    前提条件

    HSM インスタンスには、同じ VPC (Virtual Private Cloud) 内の Elastic Compute Service (ECS) インスタンスからのみアクセスできます。 HSM インスタンスを購入する前に、次のタスクを完了してください。

    • VPC とその VPC 内に vSwitch を作成します。 詳細については、「IPv4 CIDR ブロックを持つ VPC の作成」をご参照ください。

    • ECS インスタンスを作成します。 詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。

      説明

      この ECS インスタンスは HSM 管理ツールのインストールに使用されるものであり、ビジネスサーバー用ではありません。

      • 中国本土の HSM インスタンスを管理するには、ECS インスタンスで Windows を実行する必要があります。

      • 中国本土以外の HSM インスタンスを管理するには、ECS インスタンスで Linux を実行する必要があります。

    GVSM (SM) の購入

    Cloud Hardware Security Module (CloudHSM) は、クラスターを必要とするデュアルゾーンデプロイメントのみをサポートします。 インスタンスを購入する際に、クラスター情報を設定する必要があります。 購入が完了すると、クラスターは自動的に作成されます。

    1. Cloud Hardware Security Module コンソールにログインします。 上部のナビゲーションバーで、目的のリージョンを選択します。

    2. VSMs ページで、[今すぐ購入] をクリックします。

    3. 購入ページで、次の表に従ってパラメーターを設定します。 次に、[今すぐ購入] をクリックして支払いを完了します。

      設定項目

      説明

      リージョン

      HSM インスタンスのリージョン。 サポートされているリージョンの詳細については、「サポートされているリージョンとゾーン」をご参照ください。

      説明

      HSM インスタンスは、ご利用の ECS インスタンスおよび VPC と同じリージョンにある必要があります。

      デバイスモデル

      HSM インスタンスのタイプ。 各 HSM インスタンスタイプのパフォーマンスの詳細については、「仮想 HSM インスタンスのパフォーマンス」をご参照ください。

      デプロイメントモード

      デュアルゾーンデプロイメントのみがサポートされています。 これは、クロスゾーンディザスタリカバリを有効にし、クラスター作成を簡素化するために、異なるゾーンに少なくとも 2 つの HSM インスタンスを設定する必要があることを意味します。 CloudHSM がゾーンを指定するため、設定する必要はありません。

      説明

      • 同じリージョン内のゾーンのみがネットワーク経由で相互に通信できます。

      • CloudHSM と ECS インスタンスは、異なるゾーンに配置できます。

      クラスター名

      名前は 1~24 文字である必要があります。 先頭は英字または数字である必要があり、数字、アンダースコア (_)、ハイフン (-) を使用できます。

      VPC ID

      HSM インスタンスが属する VPC を選択します。

      ホワイトリストに追加

      • はい (推奨): HSM は VPC CIDR ブロックをクラスターのホワイトリストに追加します。この VPC 内のすべての IP アドレスが HSM クラスターにアクセスできます。

        説明

        VPC 内の特定の IP アドレスのみが HSM クラスターにアクセスできるようにする場合は、クラスターの作成後にホワイトリストを変更できます。 詳細については、「クラスター名とアクセスホワイトリストの変更」をご参照ください。

      • いいえ: ホワイトリストは設定されません。すべての IP アドレスが HSM クラスターにアクセスできます。

      vSwitch

      2~4 つの vSwitch を選択します。 vSwitch は異なるゾーンにある必要があります。

      自動証明書生成

      • はい (推奨): クライアント証明書、サーバー証明書、および自己署名 CA 証明書を自動的に生成します。クライアントと HSM サーバークラスターは、双方向 TLS 認証暗号化チャンネルを使用して、送信セキュリティを確保します。証明書の有効期間は、デフォルトで 10 年です。

      • いいえ: クライアント証明書、サーバー証明書、および自己署名 CA 証明書を手動で生成する必要があります。

      データバックアップと復元

      この機能を使用すると、HSM インスタンスをバックアップおよび復元して、データのセキュリティと耐久性を確保できます。 各バックアップでは、1 つの HSM インスタンスのデータをバックアップできます。

      バックアップイメージは、HSM インスタンスがリリースされてから 90 日間保持されます。 90 日後、イメージは自動的に削除されます。 この機能は、ディザスタリカバリ機能を強化するためのイメージのクロスリージョンレプリケーションもサポートしています。

      イメージクォータ

      バックアップ内のイメージの数。 各イメージは、1 つの HSM インスタンスのデータを 1 回バックアップできます。

      HSM インスタンスは、毎日 00:00 (UTC+8) に自動的にバックアップされ、イメージが生成されます。 イメージの数が上限に達すると、システムは最も古いイメージを自動的に上書きします。

      数量

      購入する HSM インスタンスの数を選択します。 デフォルトでは、2 つの HSM インスタンスが購入されます。

      期間

      サブスクリプション期間を選択します。

      期限内にサブスクリプションを更新しなかった場合にキーが永久に失われるのを防ぐため、[自動更新] を選択してください。[自動更新] を選択すると、サブスクリプションの有効期限が切れる 9 暦日前に、Alibaba Cloud がお客様の支払いアカウントから料金を自動的に引き落とします。支払いが失敗しないよう、アカウントに十分な残高があることをご確認ください。

      購入完了後、VSMs ページで HSM インスタンスを表示できます。HSM クラスターの作成には約 5 分かかります。

    4. (任意) 必要に応じて、「HSM インスタンスの UKEY の取得」をご参照ください。

      重要

      ビジネスで双方向 TLS 認証が必要な場合は、UKEY を使用するかどうかを決定する前に、次の情報を確認してください。 これにより、有効期限が切れる前に証明書をスムーズにローテーションできます。

      • Alibaba Cloud Key Management Service (KMS) のハードウェアキー管理インスタンスを使用する場合、HSM 管理ツールを使用して UKEY 管理者を登録しないでください。 UKEY 管理者が登録されていない場合、CloudHSM は証明書の有効期限が切れる前に自動的に証明書をローテーションします。 お客様側での操作は不要です。

      • その他のユーザーの場合:

        • UKEY 管理者を登録した場合、証明書の自動ローテーションはサポートされません。 証明書の有効期限が切れる前に、新しい証明書を生成し、クライアントソフトウェア開発キット (SDK) とサーバー側の HSM の両方で更新する必要があります。

        • UKEY 管理者を登録していない場合、証明書の自動ローテーションがサポートされます。 証明書の有効期限が切れる前に、CloudHSM は自動的に新しい証明書を生成します。 コンソールから新しい証明書をダウンロードし、クライアント証明書を更新する必要があります。 CloudHSM はサーバー証明書を HSM に自動的にアップロードします。

    GVSM (NIST FIPS) の購入

    CloudHSM は、クラスターを必要とするデュアルゾーンデプロイメントのみをサポートします。 したがって、少なくとも 2 つの HSM インスタンスを購入する必要があります。 購入が完了したら、手動で HSM クラスターを作成する必要があります。

    1. Cloud Hardware Security Module コンソールにログインします。 上部のナビゲーションバーで、目的のリージョンを選択します。

    2. VSMs ページで、[今すぐ購入] をクリックします。

    3. CloudHSM 購入ページで、次の表に従ってパラメーターを設定します。 次に、[今すぐ購入] をクリックし、支払いを完了します。

      設定項目

      説明

      リージョン

      HSM インスタンスのリージョン。 サポートされているリージョンの詳細については、「サポートされているリージョンとゾーン」をご参照ください。

      説明

      HSM インスタンスは、ご利用の ECS インスタンスおよび VPC と同じリージョンにある必要があります。

      デバイスモデル

      HSM インスタンスのタイプ。 各 HSM インスタンスタイプのパフォーマンスの詳細については、「仮想 HSM インスタンスのパフォーマンス」をご参照ください。

      デプロイメントモード

      デュアルゾーンデプロイメントのみがサポートされています。 これは、クロスゾーンディザスタリカバリを有効にし、クラスター作成を簡素化するために、異なるゾーンに少なくとも 2 つの HSM インスタンスを設定する必要があることを意味します。 CloudHSM がゾーンを指定するため、設定する必要はありません。

      説明

      • 同じリージョン内のゾーンのみがネットワーク経由で相互に通信できます。

      • CloudHSM と ECS インスタンスは、異なるゾーンに配置できます。

      データバックアップと復元

      この機能を使用すると、HSM インスタンスをバックアップおよび復元して、データのセキュリティと耐久性を確保できます。 各バックアップでは、1 つの HSM インスタンスのデータをバックアップできます。

      バックアップイメージは、HSM インスタンスがリリースされてから 90 日間保持されます。 90 日後、イメージは自動的に削除されます。 この機能は、ディザスタリカバリ機能を強化するためのイメージのクロスリージョンレプリケーションもサポートしています。

      イメージクォータ

      バックアップ内のイメージの数。 各イメージは、1 つの HSM インスタンスのデータを 1 回バックアップできます。

      HSM インスタンスは、毎日 00:00 (UTC+8) に自動的にバックアップされ、イメージが生成されます。 イメージの数が上限に達すると、システムは最も古いイメージを自動的に上書きします。

      数量

      購入する HSM インスタンスの数を選択します。 デフォルトでは、2 つの HSM インスタンスが購入されます。

      期間

      サブスクリプション期間を選択します。

      サブスクリプションを期限内に更新しなかった場合にキーが永久に失われるのを防ぐには、[自動更新] を選択します。 [自動更新] を選択すると、サブスクリプションの有効期限が切れる 9 暦日前に、Alibaba Cloud が支払いアカウントから料金を自動的に引き落とします。 決済失敗を避けるため、アカウントに十分な残高があることをご確認ください。

      購入完了後、[VSM] ページで HSM インスタンスを表示できます。 VSM の ステータスNew です。

    関連ドキュメント

    KMS ハードウェアキー管理インスタンスに関連付けられている HSM インスタンスの購入および設定方法については、「KMS ハードウェアキー管理インスタンス用の HSM クラスターの設定」をご参照ください。