AWS CloudHSM クラスターと HSM クライアント間の接続の問題を、トラブルシューティングしたいと考えています。
解決方法
CloudHSM クライアントパッケージがインストールされたことを確認する
CloudHSM クライアントが HSM と通信するためには、 CloudHSM クライアントソフトウェアがインストールされている必要があります。次のいずれかのコマンドを使用して、CloudHSM クライアントパッケージがインストールされていることを確認します。
Red Hat Enterprise Linux (RHEL) および Amazon Linux の場合:
rpm -qa | grep cloudhsm
Ubuntu の場合:
dpkg --list | grep cloudhsm
Windows PowerShell の場合:
Get-Service -Name AWSCloudHSMClient
CloudHSM クライアントソフトウェアがインストールされていない場合は、手順に従ってインストールします。Linux ディストリビューションの場合は「 AWS CloudHSM クライアント (Linux) のインストールと設定」をご参照ください。Windows の場合は「 AWS CloudHSM クライアントソフトウェアをインストールして設定する (Windows)」をご参照ください。
CloudHSM セキュリティグループが CloudHSM クライアントインスタンスに関連付けられていることを確認する
クラスターを作成する際に、cloudhsm-cluster-clusterID-sg という名前のセキュリティグループが CloudHSM によって 自動的に作成され、グループがクラスターに関連付けられます。HSM にアクセスするには、クライアントインスタンスはこのクラスターセキュリティグループに関連付けられている必要があります。
1. CloudHSM コンソールを開き、[Clusters] をクリックします。
2. クラスター ID を選択します。
3. [Security group] の [General configuration] から、cloudhsm-cluster-clusterID-sg というセキュリティグループ ID を書き留めておきます。
4. Amazon EC2 コンソールを開き、[Instances] をクリックします。
5. インスタンス ID を選択し、[Description ] タブを表示します。
6. 選択したインスタンスに関連付けられた Security groups を確認します。
7. セキュリティグループ ID「cloudhsm-cluster-clusterID-sg」が EC2 インスタンスに関連付けられていない場合は、「Amazon EC2 インスタンスを AWS CloudHSM クラスターに接続する」の手順に従います。
CloudHSM クライアントデーモンが実行中であることを確認する
CloudHSM クライアントデーモンが実行されていない場合、アプリケーションホストは HSM に接続できません。次のいずれかのコマンドを使用して、CloudHSM クライアントデーモンが実行されていることを確認します。
Amazon Linux 2、CentOS 7、RHEL 7、Ubuntu 16.04 LTS の場合:
sudo systemctl is-active cloudhsm-client
CentOS 6、Amazon Linux、RHEL 6 の場合:
sudo status cloudhsm-client
Windows PowerShell の場合:
Get-Service -Name AWSCloudHSMClient | Format-Table DisplayName,Status -AutoSize
出力に CloudHSM クライアントデーモンのステータスが「stopped」と表示される場合は、「AWS CloudHSM クライアントを起動する」の手順に従います。
CloudHSM クライアントの ENI IP アドレスの設定ファイルを更新します。
1. CloudHSM コンソールを開き、[Clusters] を選択します。
2. クラスター IDを選択します。
3. [HSM] タブを表示し、ENI IP アドレスを記録しておきます。
注: AWS Command Line Interface (AWS CLI) の describe-clusters コマンドを使用することもできます。
4. ステップ 3の ENI IP アドレスを使用してクライアント設定ファイルを更新する手順については、「クラスターに対する接続の消失」をご参照ください。
詳細については、「AWS CloudHSM のトラブルシューティング」をご参照ください。
関連情報
クライアントとサーバー間のエンドツーエンドの暗号化接続には、どの CloudHSM 証明書を使用するのですか?