翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudHSM CLI を使用してクォーラム認証 (M of N アクセスコントロール) を管理する
AWS CloudHSM クラスターの HSM は、クォーラム認証 (M of N アクセスコントロールとしても知られる) をサポートしています。クォーラム認証を使用すると、HSM の単一のユーザーは HSM でクォーラム管理されたオペレーションを行うことができません。代わりに、HSM ユーザーの最小数 (少なくとも 2 人) が、これらのオペレーションを協力して行う必要があります。クォーラム認証を使用すると、複数の HSM ユーザーからの承認を要求することで、さらに保護レイヤーを追加できます。
クォーラム認証は次のオペレーションを制御できます。
-
管理者による HSM ユーザーの管理 HSM ユーザーの作成と削除、および、別の HSM ユーザーのパスワードの変更。詳細については、「管理者用クォーラム認証の使用」を参照してください。
次のトピックでは、AWS CloudHSM でのクォーラム認証についてさらに詳細な情報を提供します。
トピック
トークン署名戦略によるクォーラム認証の概要
以下のステップは、クォーラム認証のプロセスの概要を示しています。特定のステップとツールについては、管理者用クォーラム認証の使用 を参照してください。
-
各 HSM ユーザーは署名のための非対称キーを作成します。ユーザーはキーを適切に保護するように注意しながら、HSM の外部でこれを行います。
-
各 HSM ユーザーは HSM にログインし、署名キー (パブリックキー) の公開部分を HSM に登録します。
-
HSM ユーザーがクォーラム制御の操作を実行する場合、同じユーザーが HSM にログインしてクォーラムトークンを取得します。
-
HSM ユーザーは、クォーラムトークンを 1 人または複数の他の HSM ユーザーに付与し、承認を求めます。
-
他の HSM ユーザーは、キーを使用してクォーラムトークンに暗号で署名することにより承認します。これは HSM の外部で行われます。
-
HSM ユーザーに必要な数の承認が得られたら、同じユーザーが HSM にログインし、--approval引数を指定してクォーラム制御操作を実行し、必要なすべての承認 (署名) を含む署名済みのクォーラムトークンファイルを提供します。
-
HSM では、それぞれの署名した人の登録されたパブリックキーを使用して署名を確認します。署名が有効な場合、HSM はトークンを承認し、クォーラム制御操作が実行されます。
クォーーーーーーーーーーーーーー
AWS CloudHSM でのクォーラム認証の使用に関する次の追加の情報に注意してください。
-
HSM ユーザーは自分のクォーラムトークンに署名できます。つまり、リクエストするユーザーはクォーラム認証に必要な承認の 1 つを提供できます。
-
クォーラム管理されたオペレーションに対して、最小数のクォーラム承認者を選択します。選択できる最小数は 2 で、選択できる最大数は 8 です。
-
HSM はクォーラムトークンを最大 1024 保存できます。HSM にすでに 1024 トークンある場合、新しく作成しようとすると、HSM は期限切れのトークンの 1 つを消去します。デフォルトでは、トークンは作成後 10 分で有効期限が切れます。
-
MFA が有効な場合、クラスターは、クォーラム認証と 2 要素認証 (MFA) に同じキーを使用します。クォーラム認証認証認証認証と 2 要素認証のののののののののののと、「CloudHSM クォーラム認証と 2FA の管理
-
各 HSM には、サービスごとに一度に 1 つのトークンしか含めることができません。
