すべてのプロダクト
Search

このプロダクト

    Key Management Service:HSM インスタンスの購入

    ドキュメントセンター

    Key Management Service:HSM インスタンスの購入

    最終更新日:Mar 20, 2026

    このトピックでは、Cloud ハードウェアセキュリティモジュール (HSM) インスタンスの購入方法について説明します。

    適用範囲

    HSM インスタンスには、同じ Virtual Private Cloud (VPC) 内の Elastic Compute Service (ECS) インスタンスからのみアクセスできます。HSM インスタンスを購入する前に、次の要件が満たされていることを確認してください。

    • VPC が作成され、その VPC 内に少なくとも 1 つの vSwitch が設定されていること。詳細については、「IPv4 CIDR ブロックを持つ VPC の作成」をご参照ください。

    • VPC 内に ECS インスタンスが作成されていること。詳細については、「カスタムインスタンスの購入」をご参照ください。

      説明

      この ECS インスタンスは HSM 管理ツールをインストールするために使用されるものであり、ビジネスサーバーとして使用するためのものではありません。

      • 中国本土の HSM インスタンスを管理するには、ECS インスタンスで Windows オペレーティングシステムを実行する必要があります。

      • 中国本土以外の HSM インスタンスを管理するには、ECS インスタンスで Linux オペレーティングシステムを実行する必要があります。

    GVSM (SM)、GVSM (NIST FIPS)

    CloudHSM はデュアルゾーンデプロイが必要で、クラスターモードで動作します。HSM インスタンスを購入する際に、クラスター設定を構成します。購入が完了すると、クラスターは自動的に作成されます。

    1. HSM 管理コンソールにログインします。上部のナビゲーションバーで、ターゲットリージョンを選択します。

    2. [VSMs] ページで、[Create HSM] をクリックします。

    3. CloudHSM の購入ページで、以下の表に記載されている通りパラメーターを設定します。その後、今すぐ購入 をクリックして、支払いを完了します。

      パラメーター

      説明

      Region

      HSM インスタンスをデプロイするリージョン。利用可能なリージョンの詳細については、「サポートされているリージョンとゾーン」をご参照ください。

      説明

      HSM インスタンスは、ご利用の ECS インスタンスおよび VPC と同じリージョンにある必要があります。

      デバイスモードl

      HSM インスタンスのデバイスモデル。各デバイスモデルのパフォーマンスの詳細については、「仮想 HSM インスタンスのパフォーマンス」をご参照ください。

      Deployment Mode

      デュアルゾーンデプロイでは、クロスゾーンディザスタリカバリを実装し、クラスター作成を容易にするために、異なるゾーンに少なくとも 2 つの HSM をデプロイする必要があります。

      説明

      • 同じリージョン内のゾーンのみがネットワーク経由で相互に通信できます。

      • CloudHSM と ECS インスタンスは異なるゾーンに配置できます。

      クラスター名

      名前は 1~24 文字である必要があります。英字、漢字、または数字で始まり、数字、アンダースコア (_)、ハイフン (-) を含めることができます。

      VPC ID

      HSM インスタンスが属する VPC を選択します。

      ホワイトリストに追加

      • [はい] (推奨):HSM は VPC CIDR ブロックをクラスターのホワイトリストに追加します。この VPC 内のすべての IP アドレスが HSM クラスターにアクセスできます。

        説明

        VPC 内の特定の IP アドレスのみが HSM クラスターにアクセスできるようにしたい場合は、クラスター作成後にホワイトリストを変更できます。詳細については、「HSM インスタンスクラスターの使用」をご参照ください。

      • [いいえ]:ホワイトリストは設定されません。すべての IP アドレスが HSM クラスターにアクセスできます。

      vSwitch

      2~4 つの vSwitch を選択します。vSwitch は異なるゾーンにある必要があります。

      証明書の自動生成

      ネットワークタイプ

      ネットワークタイプ。VPC のみがサポートされています。

      Data Backup and Restoration

      HSM のバックアップと復元をサポートし、データのセキュリティと永続性を確保します。

      HSM がリリースされた場合、そのバックアップイメージは 90 日間保持されます。期間が経過すると、バックアップイメージは自動的に削除されます。ディザスタリカバリ能力を向上させるために、クロスリージョンイメージレプリケーション機能が提供されています。

      イメージクォータ

      バックアップイメージの数。各イメージは 1 つの HSM インスタンスのデータをキャプチャします。

      HSM のイメージは、HSM が初期化された後、毎日 00:00 (UTC+8) に自動的に作成されます。イメージの数が上限に達すると、システムは最も古いイメージを自動的に削除します。

      数量

      購入する HSM インスタンスの数。デフォルトは 2 です。

      期間

      サブスクリプション期間。

      有効期限切れによるサービス中断やリソースのリリースを防ぐため、自動更新を有効にすることを推奨します。自動更新期間は月単位です。インスタンスの有効期限が切れる前に、現在の市場価格で料金が自動的に処理されます。自動更新はいつでも無効にできます。自動更新を有効にするには、[自動更新を推奨] を選択します。

      説明

      [自動更新を推奨] を選択すると、Alibaba Cloud はサブスクリプションの有効期限が切れる 9 暦日前に支払いアカウントから料金を自動的に引き落とします。支払いの失敗を避けるために、アカウントに十分な残高があることを確認してください。

      購入が完了したら、VSMs ページで HSM インスタンスを確認します。HSM クラスターは約 5 分で作成されます。

    4. (オプション) HSM の UKEY の取得:中国本土で HSM を購入した場合、必要に応じて UKEY を設定するかどうかを決定します。以下に、UKEY を使用する際の効果と設定の推奨事項を説明します。

      説明

      中国本土以外の HSM インスタンスでは UKEY の設定は不要です。

      • Alibaba Cloud KMS のハードウェアキー管理インスタンスを使用するユーザーHSM 管理ツールを使用して UKEY 管理者を登録しないでください。登録すると、HSM 証明書が自動的にローテーションされなくなり、ハードウェアで保護されたキーの正常な使用に影響します。

        重要

        UKEY 管理者が登録されていない場合、CloudHSM は証明書の有効期限が切れる前に自動的に証明書をローテーションします。手動での操作は不要です。

      • その他のユーザー:

        • UKEY 管理者を登録した場合:証明書の自動ローテーションはサポートされません。証明書の有効期限が切れる前に、新しい証明書を生成し、クライアント SDK とサーバー側 HSM の両方で更新する必要があります。

        • UKEY 管理者を登録していない場合:証明書の自動ローテーションがサポートされます。証明書の有効期限が切れる前に、CloudHSM は自動的に新しい証明書を生成します。コンソールからクライアント証明書をダウンロードして更新してください。CloudHSM はサーバー証明書を自動的に HSM にアップロードします。

    関連ドキュメント

    KMS ハードウェアキー管理インスタンスに関連付けられた HSM クラスターを購入および設定するには、「KMS ハードウェアキー管理インスタンス用の HSM クラスターの設定」をご参照ください。