AWS CloudHSM クラスターと CloudHSM クライアント間の接続の問題をトラブルシューティングしたいと考えています。
解決策
CloudHSM クライアントパッケージがインストールされたことを確認する
CloudHSM クライアントが HSM と通信するためには、 CloudHSM クライアントソフトウェアがインストールされている必要があります。次のいずれかのコマンドを使用して、CloudHSM クライアントパッケージがインストールされていることを確認します。
Red Hat Enterprise Linux (RHEL) および Amazon Linux の場合:
rpm -qa | grep cloudhsm
Ubuntu の場合:
dpkg --list | grep cloudhsm
Windows PowerShell の場合:
Get-Service -Name AWSCloudHSMClient
CloudHSM クライアントソフトウェアがインストールされていない場合は、「AWS CloudHSM クライアントのインストールと設定 (Linux)」および「AWS CloudHSM クライアントのインストールと設定 (Windows)」を参照してください。
CloudHSM セキュリティグループが CloudHSM クライアントインスタンスに関連付けられていることを確認する
クラスターを作成すると、CloudHSM によって、cloudhsm-cluster-clusterID-sg という名前のセキュリティグループが自動的に作成され、グループがクラスターに関連付けられます。HSM にアクセスするには、クライアントインスタンスをこのクラスターセキュリティグループに関連付ける必要があります。
次の手順を実行します。
- CloudHSM コンソールを開き、[クラスター] を選択します。
- クラスター ID を選択します。
- [セキュリティグループ] の [一般設定] で、cloudhsm-cluster-clusterID-sg というセキュリティ ID を書き留めておきます。
- Amazon EC2 コンソールを開き、[インスタンス] をクリックします。
- インスタンス ID を選択し、[説明] タブを選択します。
- 選択したインスタンスに関連付けられた [セキュリティグループ] を確認します。
- セキュリティグループ ID「**CloudHSM-Cluster-ClusterID-SG **」が EC2 インスタンスに関連付けられていない場合は、Amazon EC2 インスタンスを AWS CloudHSM クラスターに接続します。
CloudHSM クライアントデーモンが実行中であることを確認する
CloudHSM クライアントデーモンが実行されていない場合、アプリケーションホストは HSM に接続できません。次のいずれかのコマンドを使用して、CloudHSM クライアントデーモンが実行されていることを確認します。
Amazon Linux 2、CentOS 7、RHEL 7、Ubuntu 16.04 LTS の場合:
sudo systemctl is-active cloudhsm-client
CentOS 6、Amazon Linux、RHEL 6 の場合:
sudo status cloudhsm-client
Windows PowerShell の場合:
Get-Service -Name AWSCloudHSMClient | Format-Table DisplayName,Status -AutoSize
出力に CloudHSM クライアントデーモンのステータスが「停止」と表示される場合は、CloudHSM クライアントを起動します。
CloudHSM クライアントのエラスティックネットワークインターフェイスの IP アドレスの設定ファイルを更新する
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、使用している AWS CLI が最新バージョンであることを確認してください。
次の手順を実行します。
- CloudHSM コンソールを開き、[クラスター] を選択します。
- クラスター ID を選択します。
- [HSM] タブを選択し、ネットワークインターフェイスの IP アドレスを書き留めておきます。
注: AWS コマンドラインインターフェイス (AWS CLI) の describe-clusters コマンドを使用することもできます。
- クライアントの設定ファイルをネットワークインターフェイスの IP アドレスで更新するには、「Lost connection to the cluster」を参照してください。
詳細については、「Troubleshooting AWS CloudHSM」を参照してください。
関連情報
クライアントサーバーのエンドツーエンド暗号化接続にどの CloudHSM 証明書が使用すればよいでしょうか?