CMU를 사용하여 AWS CloudHSM 클러스터 전체에서 키 동기화

AWS CloudHSM cloudhsm_mgmt_util에서 syncKey 명령을 사용하여 클러스터 내 HSM 인스턴스 간에 또는 복제된 클러스터 간에 키를 수동으로 동기화할 수 있습니다. 일반적으로는 클러스터에 있는 HSM 인스턴스가 자동으로 키를 동기화하므로 이 명령을 사용할 필요가 없습니다. 하지만 복제된 클러스터 간의 키 동기화는 수동으로 수행해야 합니다. 복제된 클러스터는 글로벌 조정 및 재해 복구 프로세스를 간소화하기 위해 일반적으로 서로 다른 AWS 리전에서 생성됩니다.

syncKey를 사용하여 임의 클러스터 간에 키를 동기화할 수 없습니다. 클러스터 중 하나가 다른 클러스터의 백업에서 생성되어야 하기 때문입니다. 또한, 이 작업이 성공적으로 수행되려면 두 클러스터의 CO 및 CU 자격 증명이 일치해야 합니다. 자세한 내용은 HSM 사용자 단원을 참조하십시오.

syncKey를 사용하려면 먼저 소스 클러스터에서 HSM 하나를 지정하고 대상 클러스터에서 HSM 하나를 지정하는 AWS CloudHSM 구성 파일을 생성해야 합니다. 이렇게 하면 cloudhsm_mgmt_util은 두 HSM 인스턴스에 모두 연결할 수 있습니다. 이 구성 파일을 사용하여 cloudhsm_mgmt_util을 시작합니다. 그런 다음 동기화할 키를 소유하는 CO 또는 CU의 자격 증명을 사용하여 로그인합니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

사전 조건

시작하기 전에 대상 HSM과 동기화할 소스 HSM에서 키의 key handle을 알아야 합니다. key handle을 찾으려면 listUsers 명령을 사용하여 이름이 지정된 사용자에 대한 모든 식별자를 나열합니다. 그런 다음 findAllKeys 명령을 사용하여 특정 사용자에게 속하는 모든 키를 찾습니다.

소스 및 대상 HSM에 할당된 server IDs도 알아야 합니다. 이러한 ID는 시작 시 cloudhsm_mgmt_util에서 반환하는 추적 출력에 표시됩니다. 이러한 ID는 HSM이 구성 파일에 나타나는 것과 동일한 순서대로 할당됩니다.

복제된 클러스터 간 CMU 사용 지침에 따라 cloudhsm_mgmt_util을 새 구성 파일로 초기화합니다. 그런 다음 server 명령을 실행하여 소스 HSM에서 서버 모드로 들어갑니다.

구문

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

사용자 유형: CU(Crypto User)

syncKey <key handle> <destination hsm>

예

server 명령을 실행하여 소스 HSM에 로그인하고 서버 모드로 들어갑니다. 이 예제에서는 server 0을 소스 HSM으로 가정합니다.

aws-cloudhsm> server 0

이제 syncKey 명령을 실행합니다. 이 예제에서는 키 261251이 server 1에 동기화된다고 가정합니다.

aws-cloudhsm> syncKey 261251 1
syncKey success

인수

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

syncKey <key handle> <destination hsm>

관련 주제