KMS ハードウェアキー管理インスタンス用の HSM クラスターを構成する - Key Management Service

Key Management Service (KMS) ハードウェアキー管理インスタンスを使用するには、Cloud Hardware Security Module (CloudHSM) クラスターに接続する必要があります。CloudHSM クラスターは、自動データ同期、ロードバランシング、および高可用性を提供します。このトピックでは、KMS ハードウェアキー管理インスタンス用に CloudHSM クラスターを構成する方法について説明します。

アーキテクチャ例

KMS と CloudHSM クラスターを統合すると、キー管理の柔軟性とハードウェアレベルのセキュリティが組み合わされます。この統合は、中国の SM 標準や FIPS 140-2 Level 3 などのコンプライアンス要件を満たします。KMS はキーを管理し、そのライフサイクルが厳密に制御されるようにすることで、HSM の使用の複雑さを軽減します。HSM はハードウェアレベルのセキュリティを使用して、キーマテリアルを安全に保存します。KMS と CloudHSM クラスター間の通信では、双方向の Transport Layer Security (TLS) 認証済み暗号化チャネルを使用して、安全な伝送を保証します。

HSM 管理ツールは、Alibaba Cloud Elastic Compute Service (ECS) インスタンスにのみインストールできます。したがって、マスター HSM の VPC サブネットに ECS インスタンスをデプロイする必要があります。その後、ECS インスタンスを使用してマスター HSM に接続し、構成を実行できます。ローカルターミナルを使用して構成を実行することもできますが、ターミナルが HSM ネットワークに接続できることを確認する必要があります。

注意

KMS ハードウェアキー管理インスタンスは、[汎用 HSM] にのみ関連付けることができます。
HSM、KMS ハードウェアキー管理インスタンス、および ECS インスタンスは、同じリージョンおよび同じ VPC にデプロイする必要があります。
中国本土で HSM を管理するには、ECS インスタンスで Windows オペレーティングシステムを実行する必要があります。中国本土以外で HSM を管理するには、ECS インスタンスで CentOS 8 または Alibaba Cloud Linux オペレーティングシステムを実行する必要があります。

HSM でサポートされているリージョンとゾーン

中国本土

リージョン	リージョン ID	ゾーン
中国 (杭州)	cn-hangzhou	ゾーン A、ゾーン G
中国 (上海)	cn-shanghai	ゾーン A、ゾーン B、ゾーン F
中国 (北京)	cn-beijing	ゾーン A、ゾーン F、ゾーン K
中国 (深圳)	cn-shenzhen	ゾーン A、ゾーン E
中国 (成都)	cn-chengdu	ゾーン A、ゾーン B

中国本土以外

リージョン	リージョン ID	ゾーン
中国 (香港)	cn-hongkong	ゾーン B、ゾーン C
シンガポール	ap-southeast-1	ゾーン A、ゾーン B
マレーシア (クアラルンプール)	ap-southeast-3	ゾーン A、ゾーン B
SAU (リヤド - パートナーリージョン)	me-central-1	ゾーン A、ゾーン B
インドネシア (ジャカルタ)	ap-southeast-5	ゾーン A、ゾーン B

前提条件

VPC が作成され、2 つの異なるゾーンに vSwitch が作成されます。詳細については、「VPC と vSwitch の作成」をご参照ください。
マスター HSM と同じ VPC に ECS インスタンスが作成されます。詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。
説明
- 中国本土で HSM を管理するには、ECS インスタンスで Windows オペレーティングシステムを実行する必要があります。中国本土以外で HSM を管理するには、ECS インスタンスで CentOS 8 または Alibaba Cloud Linux オペレーティングシステムを実行する必要があります。
- このトピックでは、ECS インスタンスを例として使用します。ローカルターミナルを使用して HSM を管理することもできます。ローカルターミナルを使用する場合は、VPN または Express Connect 回線を使用して、HSM を含む VPC に接続する必要があります。詳細については、「SSL-VPN 接続を使用してクライアントを VPC に接続する」または「Express Connect 回線を使用してオンプレミス IDC を VPC に接続する」をご参照ください。

GVSM (Guomi) HSM クラスターの構成

ステップ 1: HSM クラスターの購入

HSM クラスターを使用して、同じリージョンの異なるゾーンにあり、同じアプリケーション専用の HSM インスタンスのグループを関連付けて管理できます。HSM クラスターは、高可用性、ロードバランシング、および暗号化操作の水平スケーリングを提供します。

Cloud Hardware Security Module コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。
VSMs タブで、Create HSM をクリックします。

CloudHSM 購入ページで、次の表に基づいてインスタンスを構成し、[今すぐ購入] をクリックして、支払いを完了します。

設定項目	説明
リージョン	HSM インスタンスのリージョンを選択します。重要 HSM インスタンスは VPC でのみ使用できます。HSM インスタンス、VPC、および KMS ハードウェアキー管理インスタンスは、同じリージョンにある必要があります。
暗号化サービスタイプ	[汎用サーバー HSM GVSM] を選択します。
デプロイモード	[デュアルゾーンデプロイ] を選択します。
クラスター名	名前は 1〜24 文字の長さで、文字、数字、または漢字で始まる必要があります。数字、アンダースコア (_)、およびハイフン (-) を含めることができます。
VPC	HSM が属する VPC を選択します。
ホワイトリストに追加	[はい] を選択します。HSM は VPC ネットワークセグメントをクラスターのホワイトリストに追加するため、VPC 内のすべての IP アドレスが HSM クラスターにアクセスできます。
VSwitch	2〜4 つの vSwitch を選択します。vSwitch は異なるゾーンにある必要があります。
証明書の自動生成	[はい] を選択します。HSM は、暗号化通信に必要な証明書を自動的に生成し、HSM 内で証明書構成を完了します。KMS は、関連する証明書ファイルを自動的に取得し、クライアント構成を完了します。証明書の生成と構成プロセスを管理する必要はありません。KMS と HSM クラスターは、TLS 双方向認証暗号化チャネルを使用して、安全な伝送を保証します。証明書の有効期間は 10 年です。重要 HSM に UKEY 管理者を登録しないでください。証明書は 10 年間有効です。HSM は、証明書が期限切れになる前に自動的にローテーションできます。UKEY 管理者を登録すると、ローテーションは失敗します。
データバックアップとリカバリ	この機能を使用すると、HSM インスタンスのデータをバックアップおよび復元して、データのセキュリティと耐久性を確保できます。各バックアップは 1 つの HSM のデータをバックアップできます。 HSM がリリースされた場合、HSM のバックアップイメージは 90 日間保持されます。保持期間が経過すると、バックアップイメージは自動的に削除されます。さらに、クロスリージョンイメージレプリケーション機能が提供され、ディザスタリカバリ機能が強化されます。詳細については、「データバックアップとリカバリ」をご参照ください。
イメージ拡張	バックアップ内のイメージの数。各イメージは 1 つの HSM のデータをバックアップできます。 HSM インスタンスは、毎日 00:00 (UTC + 08:00) に自動的にバックアップされ、イメージが生成されます。イメージの数が上限に達すると、システムは最も古いイメージを自動的に上書きします。
数量	デフォルト値は 2 です。この値を変更する必要はありません。
サブスクリプション期間	サブスクリプション期間を選択します。 CloudHSM サービスが期限内に更新されなかったために期限切れになった場合に発生する可能性のあるキーの永久的な損失を防ぐには、購入時に [自動更新] を選択します。[自動更新] を選択すると、Alibaba Cloud は、サービスの有効期限が切れる 9 暦日前に、HSM の購入に使用した支払いアカウントに自動的に請求します。支払いの失敗を防ぐために、支払いアカウントに十分な残高があることを確認してください。

[利用規約] を読み、[支払いに進む] をクリックし、次に [注文] をクリックして購入を完了します。
購入が完了すると、VSMs ページで HSM インスタンスを表示できます。HSM クラスターは約 5 分で作成されます。

ステップ 2: クラスターデータの同期

クラスターの同期モードを確認して、クラスター内の HSM のデータを同期する必要があるかどうかを判断します。

自動同期クラスター
クラスター内の HSM のデータは自動的に同期されます。手動でデータを同期する必要はありません。
手動同期クラスター
初めてクラスターを作成してアクティブ化した後、マスター HSM のデータをクラスター内の従属 HSM に手動で同期する必要があります。クラスターをスケールアウトすると、クラスターデータは新しく追加された HSM インスタンスに自動的に同期されます。
1. [操作] 列で、[クラスターの同期] をクリックして、マスター HSM のデータを従属 HSM に同期します。同期中、クラスターのステータスは [同期中] です。
2. クラスターの同期が完了したら、HSM ダイジェストが一貫しているかどうかを確認します。
  HSM 製品ページでダイジェストを確認します。2 つの HSM のダイジェストが同一である場合、HSM クラスターの構成は完了です。ダイジェストが異なる場合は、データ同期を繰り返します。ダイジェストがまだ異なる場合は、お問い合わせください。

FIPS 準拠の HSM クラスターの構成

ステップ 1: 2 つの HSM インスタンスの購入

Cloud Hardware Security Module コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。
VSMs タブで、Create HSM をクリックします。

CloudHSM 購入ページで、次の表に基づいてインスタンスを構成し、[今すぐ購入] をクリックします。

設定項目	説明
リージョン	HSM インスタンスのリージョンを選択します。重要 HSM インスタンスは VPC でのみ使用できます。HSM インスタンス、VPC、および KMS ハードウェアキー管理インスタンスは、同じリージョンにある必要があります。
暗号化サービスタイプ	[汎用 HSM] を選択します。
デプロイモード	デュアルゾーンデプロイを選択します。特定のゾーンは HSM によって割り当てられます。
データバックアップとリカバリ	各バックアップには、単一の HSM からのデータが含まれています。この機能を有効にした後、イメージの数を選択する必要があります。各イメージは、HSM データの 1 つのバックアップを許可します。詳細については、「データバックアップとリカバリ」をご参照ください。
数量	デフォルト値は 2 です。この値を変更する必要はありません。
サブスクリプション期間	サブスクリプション期間。KMS ハードウェアキー管理インスタンスと同じサブスクリプション期間を選択します。説明購入時に [自動更新] を選択して、CloudHSM サービスが期限切れになる前に更新されない場合に発生する可能性のあるキーの永久的な損失を防ぎます。自動更新を選択すると、Alibaba Cloud は、CloudHSM サービスの有効期限が切れる 9 暦日前に、HSM の購入に使用した支払いアカウントから料金を自動的に引き落とします。

[利用規約] を読み、[支払いに進む] をクリックし、次に [注文] をクリックして購入を完了します。

ステップ 2: HSM インスタンスの有効化

マスター HSM のみを有効にする必要があります。従属 HSM を有効にする必要はありません。

Cloud Hardware Security Module コンソールのセキュリティ監査ページに移動します。上部のナビゲーションバーで、リージョンを選択します。

マスター HSM を有効にします。

[HSM インスタンス構成] ダイアログボックスで、HSM インスタンスを構成し、[OK] をクリックします。構成が完了すると、HSM インスタンスの ステータス が有効に変わります。

設定項目	説明
VPC ネットワーク ID	HSM インスタンスをアタッチする VPC を選択します。VPC は、KMS ハードウェアキー管理インスタンスが属する VPC と同じである必要があります。
VPC サブネット	HSM インスタンスが属する VPC サブネットを選択します。これは VPC 内の vSwitch の 1 つです。
プライベート IP アドレスの割り当て	HSM インスタンスのプライベート IP アドレスを構成します。重要プライベート IP アドレスは、VPC サブネットの CIDR ブロック内にある必要があります。そうでない場合、構成は失敗します。 253、254、または 255 で終わる IP アドレスは使用しないでください。これらはシステム予約 IP アドレスです。
HSM インスタンスのホワイトリストを設定する	このシナリオでは、このパラメーターを構成する必要はありません。クラスターを作成してアクティブ化するときに、HSM クラスターのホワイトリストを設定します。クラスターのホワイトリストは、クラスター内の個々の HSM インスタンスのホワイトリストよりも優先されます。したがって、このシナリオではこのパラメーターを構成する必要はありません。

ステップ 3: クラスターの作成とアクティブ化

マスター HSM を使用してクラスターを作成し、その後、従属 HSM を追加します。

Cloud Hardware Security Module コンソールのセキュリティ監査ページに移動します。上部のナビゲーションバーで、リージョンを選択します。
マスター HSM インスタンスを見つけ、操作列で クラスターの作成 をクリックします。

Create and Activate Cluster パネルで、① クラスターの作成 ステップを完了し、次へをクリックします。

設定項目	説明
クラスター名	クラスターの名前。名前は一意である必要があり、長さは 24 文字を超えることはできません。
Configure Whitelist	クラスターへのアクセスが許可されている IP アドレス。 IP アドレスと CIDR ブロックがサポートされています。各行に 1 つの IP アドレスまたは 1 つの CIDR ブロックを指定できます。合計で最大 10 行まで指定できます。この例では、次の IP アドレスがホワイトリストに追加されていることを確認してください。クラスター内の HSM インスタンスが配置されている vSwitch の CIDR ブロック。たとえば、HSM インスタンスが属する VPC サブネット (vSwitch) の CIDR ブロックが 172.16.1.0/24 と 172.16.2.0/24 の場合、2 つの別々の行に 172.16.1.0/24 と 172.16.2.0/24 を入力します。 ECS インスタンスのプライベート IP アドレス。たとえば、ECS インスタンスのプライベート IP アドレスが 172.16.3.0 の場合、別の行に 172.16.3.0 を入力します。 KMS インスタンスがアタッチされている vSwitch の CIDR ブロック。 KMS インスタンスを購入していない場合は、KMS インスタンスを購入して有効にし、このホワイトリストエントリをクラスターに追加します。重要クラスターのホワイトリストは、クラスター内の HSM のホワイトリストよりも優先度が高くなります。たとえば、HSM のホワイトリストに 10.10.10.10 を追加し、HSM を含むクラスターのホワイトリストに 172.16.0.1 を追加した場合、172.16.0.1 からのみ HSM にアクセスできます。 0.0.0.0/0 のホワイトリスト構成はサポートされていません。0.0.0.0/0 を入力すると、すべての IP アドレスからのリクエストが許可されます。セキュリティ上の理由から、すべての IP アドレスからのリクエストを許可しないことをお勧めします。すべての IP アドレスからのリクエストを許可する必要がある場合は、ホワイトリストを構成しないでください。
Specify vSwitches	他の HSM インスタンスがアタッチされている vSwitch を構成します。

Create and Activate Cluster パネルで、② クラスターのアクティブ化 ステップを完了します。

クラスター証明書をインポートします。
1. Upload Cluster Certificate セクションで、Cluster CSR Certificate をクリックして証明書署名要求 (CSR) ファイルをダウンロードします。次に、ファイルを ECS インスタンスにアップロードして保存します。たとえば、ファイルを cluster.csr として保存できます。
2. プロンプトに従って秘密鍵を作成し、秘密鍵のセキュリティトークンを設定します。たとえば、秘密鍵を issuerCA.key として保存できます。
```
openssl genrsa -aes256 -out issuerCA.key 2048
```
3. 自己署名証明書を作成します。たとえば、証明書を issuerCA.crt として保存できます。
```
openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crt
```
4. クラスター CSR に署名します。発行されたクラスター証明書は cluster.crt ファイルに保存されます。
  説明
  このステップでは、cluster.csr、issuerCA.key、および issuerCA.crt ファイルを使用します。
```
openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crt
```
5. CloudHSM コンソールに戻り、クラスター証明書をインポートして、送信をクリックします。
  - [PEM 形式で発行者証明書を入力] セクションに、issuerCA.crt ファイルの内容を入力します。
  - [PEM 形式で発行されたクラスター証明書を入力] セクションに、cluster.crt ファイルの内容を入力します。

マスター HSM インスタンスを初期化します。

ステップ	説明
ステップ 1: HSM 管理ツールをダウンロードします。	重要 HSM 管理ツールは、Linux オペレーティングシステムにのみインストールできます。次のいずれかの方法でツールをダウンロードできます: HSM 管理ツールのダウンロード。次のコマンドを実行して HSM 管理ツールをダウンロードします。ECS インスタンスはインターネットに接続されている必要があります。 `wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'` [インスタンスリスト] ページで、ターゲット HSM インスタンスを見つけ、インスタンス仕様列の情報をクリックし、[HSM 管理ツールのダウンロード] をクリックします。 [クラスターのアクティブ化] ページで、[HSM 管理ツールのダウンロード] をクリックします。
ステップ 2: HSM 管理ツールをインストールします。	次のコマンドを実行して、プログラムと構成ファイルを /opt/hsm フォルダにインストールします。 `sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm`
ステップ 3: クライアント構成ファイルを変更します。	HSM 管理ツールのインストールフォルダで、/opt/hsm/etc/hsm_mgmt_tool.cfg ファイルの servers 構成項目を変更します。 name と hostname をマスター HSM のプライベート IP アドレスに設定します。 owner_cert_path を issuerCA.crt のファイルパスに設定します。 hsm_mgmt_tool.cfg ファイルの例 `{ "servers": [{ "name": "172.16.XX.XX", "hostname": "172.16.XX.XX", "port": 2225, "certificate": "/opt/hsm/etc/client.crt", "pkey": "/opt/hsm/etc/client.key", "CAfile": "", "CApath": "/opt/hsm/etc/certs", "ssl_ciphers": "", "server_ssl": "yes", "enable": "yes", "owner_cert_path": "<issuerCA.crt file path>" }], "scard": { "enable": "no", "port": 2225, "ssl": "no", "ssl_ciphers": "", "certificate": "cert-sc", "pkey": "pkey-sc", } }`
ステップ 4: マスター HSM にログインし、ユーザーリストを表示します。	次のコマンドを実行してマスター HSM にログインします。 `/opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg` `listUsers` コマンドを実行してユーザーリストを表示します。 `cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO`
ステップ 5: PRECO ユーザーを CO ユーザーに変更します。	`loginHSM` コマンドを実行し、PRECO ユーザーとして HSM にログインします。 `server0>loginHSM PRECO admin password loginHSM success` `changePswd` コマンドを実行して PRECO ユーザーのパスワードを変更します。パスワードを変更すると、PRECO ユーザーは CO ユーザーになります。 cloudmgmt>changePswd PRECO admin <NewPassword> ***********************CAUTION**************************** これはクリティカルな操作であり、クラスター内のすべてのノードで実行する必要があります。 Cav サーバーは、この操作が実行されなかった、または失敗したノードとこれらの変更を同期しません。この操作がクラスター内のすべてのノードで実行されることを確認してください。 ************************************************************** 続行しますか (y/n)?y Changing password for admin(PRECO) on 1 nodes `listUsers` コマンドを実行してユーザーリストを表示し、PRECO ユーザーが CO ユーザーに変更されたかどうかを確認します。 `cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO`
ステップ 6: 暗号ユーザー (CU ユーザー) の作成	警告従属 HSM をクラスターに追加する前に、CU ユーザーを作成する必要があります。そうしないと、CU ユーザーは従属 HSM に自動的に同期されません。セキュリティ上の理由から、KMS ハードウェアキー管理インスタンスは、kmsuser という名前の CU ユーザーとして HSM クラスターにアクセスします。 HSM 管理ツールを使用してマスター HSM にログインし、`createUser` コマンドを実行して kmsuser という名前の暗号ユーザー (CU) を作成します。 `createUser CU kmsuser <enter password>` 重要 kmsuser の初期パスワードを覚えておいてください。このパスワードは、KMS ハードウェアキー管理インスタンスを有効にするときに必要です。 `listUsers` コマンドを実行して、CU ユーザーが作成されたことを確認します。 `cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO` `quit` コマンドを実行して管理ツールを終了します。 `cloudmgmt>quit disconnecting from servers, please wait...`
ステップ 7: マスター HSM のステータスを確認する	CloudHSM コンソールに戻ります。Activate Cluster ページで、アイコンをクリックして HSM のステータスを更新し、次へをクリックします。

③ HSM の追加 ページで、プロンプトに従って従属 HSM をクラスターに追加し、Complete をクリックします。
説明
追加する HSM インスタンスのステータスが初期化済みの場合、クラスターに追加できません。この場合は、お問い合わせください。
構成が完了すると、クラスターはマスターキーデータを従属 HSM に自動的に同期します。たとえば、マスター HSM 上の kmsuser は従属 HSM に同期されます。クラスター内の 2 つの HSM インスタンスのダイジェスト情報が同じであるかどうかを確認するだけで済みます。ダイジェスト情報が異なる場合は、お問い合わせください。

次のステップ

KMS コンソールに移動して KMS ハードウェアキー管理インスタンスを購入し、必要な構成を完了します。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。