こんにちは、Cloud Automator 開発チームの千葉です。
みなさま 2013年に発表された CloudHSM の存在は憶えていますか?
マネジメントコンソールのサービス一覧に表示されていない、勉強会等のイベントでも名前を聞く機会が少ないのでご存知ない方も多いかもしれません。
- マネジメントコンソールのサービス一覧
細かな説明については 『CloudHSMの詳細』 を参照頂きたいのですが、ざっくり説明すると『アプリケーションのパフォーマンスを損なうことなく、特定のデータに世界最高基準準拠の暗号化/復号化を施すことが可能』なサービスです。
Cloud HSMは以下の規格に準拠しています。
- 国際的なセキュリティ評価機関の Common Criteria のEAL4+
- アメリカ国立標準技術研究所(NIST) の FIPS 140-2
そんな、素晴らしい CloudHSM ですがドキュメントを読むだけではアプリケーションへの導入可否が分かり難いこと、加えてクラウドの利点である『試してみて合わなかったらヤメル』が難しい価格設定があります。
まず、初期費用に $5,000(約62万円) で、それとは別にインスタンス1台毎に $1.88/時 の利用料がかかります。
当然ながら可用性を担保する為に2台で冗長化すると、最低でも $2,746 /月(約33万円) が必要です。
世界最高峰の暗号化システムを持てると考えれば高くない買い物かもしれませんが、アプリケーションへの適用の是非を検証する為の投資としては手が出し難い価格です。
ってことで、とても前置きが長くなりましたが、本稿では CloudHSM の 無料トライアル 利用についてご紹介したいと思います。
簡単にトライアル開始までの流れを説明すると『AWSサポートからトライアル申請をすると CloudHSM 検証環境を2台を上限に提供してくれる』です。
それでは、次の3ステップでトライアルの申請をしてみましょう。
1. トライアル申請
まずは、AWSサポート からトライアルの申請をします、マネジメントコンソール右上から [Support] → [Support Center] → [Create Case] の順に遷移してケースの作成画面を開いて以下を登録します。
項目 | 値 |
---|---|
Regarding | Technical Support |
CloudHSM | |
Category | Other |
Severity | Normal |
Subject |
CloudHSMのトライアルの申請
|
Description | Cloud HSMの無料トライアルにかける想いを記載 |
日本語 | |
Web |
以上で、トライアルの申請が終わりました。
数日中にAWSサポートからレスポンスがあるので、それを待ちましょう。
2. 環境構築
次に CloudHSM を検証する為の環境を構築します。
今回の検証環境には US East (N. Virginia) を利用しています。
以下のページで紹介されているとおり、CloudFormation のテンプレートを利用することで簡単に検証環境を構築することができます。(検証後の削除も楽チン)
http://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/hsm-setup-cf.html
AWS CloudFormation console を開いて [Create Stack] をクリックしてして以下を入力します。
項目 | 値 |
---|---|
Name | CloudHSM |
Source |
Specify an Amazon S3 template URL を選んで『https://cloudhsm.s3.amazonaws.com/cloudhsm-quickstart.json 』を入力
|
[Next] をクリックして、AccessKeyを選択すると後はCloudFormationが以下の図の『CloudHSM』以外の環境を構築してくれます。
3. 環境情報の連絡
AWS サポートから以下の情報を連絡する様に指示があるので、次の情報を連携します。
項目 | 値 |
---|---|
CloudHSM をプロビジョンニングするリージョン | US East (N. Virginia) |
プロビジョンニングする CloudHSM 数 (最大数 : 2) | 2台 |
CloudHSM をプロビジョンニングする VPC ID およびサブネット ID |
CloudFormationのOutputから以下の2つを記載
- PrivateSubnetId1 - PrivateSubnetId2 |
ご利用されるサブネットにアクセスするための IAM ロールの ARN | CloudFormationのOutputから以下を記載 - RoleArn |
RSA SSH 公開鍵 | ステップ2でCloudFormationにパラメータとして渡したAccessKeyの公開鍵 |
以上で、トライアル利用の申請に必要な手続きが終了しました。
ほとんどの場合は、ここから数営業日以内に CloudHSM を用意して頂けるみたいです。
次の事項には、十二分に注意して CloudHSM をお試しください。
- 一度プロビジョンニングすると無料トライアル期間を延長することはできないので、適切に検証期間を計画すること
-
無料トライアルの開始から 14 日後に AWS サポートからサポートポータルを介して選択可能なオプションの通知が送られてくるので、トライアル中の CloudHSM を返却して料金がかからないようにしないと大変なことになること
(通知から 3 日以内にご連絡がない場合には、自動で初期費用と時間利用料金が課金されるらしい…)
検証が終わったら、また投稿します。
Cloud Automatorブログ も書いているので、是非ご覧ください。