CloudHSMクラスター作成時に"ec2:AuthorizeSecurityGroupIngress"権限エラーが発生する理由を教えてください

CloudHSMクラスター作成時に"ec2:AuthorizeSecurityGroupIngress"権限エラーが発生する理由を教えてください

AWSテクニカルサポートノート
#AWS CloudHSM
#AWS
katsumatakatsumata
facebookのロゴhatenaのロゴtwitterのロゴ
2025.09.05

困っていた内容

CloudHSMクラスター作成時に"ec2:AuthorizeSecurityGroupIngress"権限エラーが発生する理由を教えてください。

どう対応すればいいの?

CloudHSMではクラスター作成時に、クラスター用セキュリティグループが存在しない場合、自動的に作成します。
このセキュリティグループには、クラスターセキュリティグループ内でポート2223~2225を介したインバウンドおよびアウトバウンド通信を許可する事前設定済みのTCPルールが含まれています。このセキュリティグループにより、EC2インスタンスはVPCを使用してクラスター内のHSMと通信できるようになります。
https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html

やってみた

  1. 以下ポリシーを持つIAMロールによりCloudHSMクラスター作成を試みます。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudHSMClusterManagement",
            "Effect": "Allow",
            "Action": [
                "cloudhsm:CreateCluster",
                "cloudhsm:DescribeClusters",
                "cloudhsm:ListTags",
                "cloudhsm:TagResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EC2ReadPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": "*"
        }
    ]
}

  1. 作成手順の中でセキュリティグループを作成する場面の表示はありませんが、"ec2:AuthorizeSecurityGroupIngress"権限エラーが発生します。
    スクリーンショット 2025-09-05 11.57.41.png

  2. 以下ポリシーを上記ロールに追加して再度試みます。

        {
            "Sid": "EC2SecurityGroupCreation",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
            ],
            "Resource": "*"
        }
  1. CloudHSM クラスターの作成を実施できました。
    スクリーンショット 2025-09-05 12.02.36.png

参考情報

https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/configure-sg.html
https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/create-cluster.html

この記事をシェアする

facebookのロゴhatenaのロゴtwitterのロゴ

関連記事

[新サービス]決済用HSMの運用管理を簡素化!AWS Payment Cryptographyがリリースされました[新サービス]決済用HSMの運用管理を簡素化!AWS Payment Cryptographyがリリースされました
あしざわ
2023.06.16
AWS CloudHSMクラスターをバックアップからリストアしてみたAWS CloudHSMクラスターをバックアップからリストアしてみた
のんピ
2022.07.19
AWS CloudHSMで秘密鍵のインポートとエクスポートしてみたAWS CloudHSMで秘密鍵のインポートとエクスポートしてみた
のんピ
2022.07.14
[レポート] AWS CloudHSM を使用したセキュリティ目標の達成 #SEC305 #reinvent[レポート] AWS CloudHSM を使用したセキュリティ目標の達成 #SEC305 #reinvent
まさを
2019.12.03
クラスメソッドの白いロゴ
FacebookのロゴXのロゴYouTubeのロゴ

© Classmethod, Inc. All rights reserved.