AWS CloudHSM 사용자 관리 모범 사례

AWS CloudHSM 클러스터의 사용자를 효과적으로 관리하려면 이 섹션의 모범 사례를 따르십시오. HSM 사용자는 IAM 사용자와 다릅니다. 적절한 권한이 있는 ID 기반 정책을 보유한 IAM 사용자 및 엔터티는 API를 통해 리소스와 상호 작용하여 HSM을 생성할 수 있습니다. HSM을 생성한 후에는 HSM 사용자 자격 증명을 사용하여 HSM에서의 작업을 인증해야 합니다. HSM 사용자에 대한 자세한 안내는 AWS CloudHSM에서 HSM 사용자 섹션을 참조하십시오.

HSM 사용자의 보안 인증 정보 보호

HSM 사용자는 HSM에서 암호화 및 관리 작업을 수행하고 액세스할 수 있는 엔터티이므로 HSM 사용자의 보안 인증 정보를 안전하게 보호하는 것이 필수적입니다. AWS CloudHSM는 HSM 사용자 보안 인증 정보에 액세스할 수 없으며 액세스 권한을 상실할 경우 지원해 드릴 수 없습니다.

관리자를 두 명 이상 두고 계정 잠금 방지

클러스터에서 잠기지 않도록 하려면 관리자 암호 하나를 분실할 경우에 대비하여 최소 두 명의 관리자를 두는 것이 좋습니다. 이 경우 다른 관리자를 통해 암호를 재설정할 수 있습니다.

모든 사용자 관리 작업에 쿼럼 활성화

쿼럼을 사용하면 작업을 수행하기 전에 사용자 관리 작업을 승인해야 하는 최소 관리자 수를 설정할 수 있습니다. 관리자가 가질 수 있는 권한 때문에 모든 사용자 관리 작업에 대해 쿼럼을 활성화하는 것이 좋습니다. 이렇게 하면 관리자 암호 중 하나가 손상될 경우 미칠 수 있는 영향을 제한할 수 있습니다. 자세한 내용은 쿼럼 관리를 참조하십시오.

각각 권한이 제한된 암호 사용자를 여러 명 생성

암호 사용자의 책임을 분리함으로써 어느 사용자도 전체 시스템을 완전히 통제할 수 없게 됩니다. 따라서 여러 암호 사용자를 만들고 각 사용자의 권한을 제한하는 것이 좋습니다. 일반적으로 이 작업은 암호 사용자마다 수행하는 책임과 작업이 확연히 다릅니다(예: 한 명의 암호 사용자가 키를 생성하고 다른 암호 사용자와 공유한 다음 이를 애플리케이션에서 사용하는 경우).

관련 리소스: