AWS CloudHSM에서 클러스터의 보안 그룹 검토

클러스터를 생성할 때 AWS CloudHSM에서 이름이 cloudhsm-cluster-clusterID-sg인 보안 그룹을 만듭니다. 이 보안 그룹에는 포트 2223-2225를 통해 클러스터 보안 그룹 내에서 인바운드 및 아웃바운드 통신을 허용하는 사전 구성 TCP 규칙이 있습니다. 이 SG를 사용하면 EC2 인스턴스가 VPC를 사용하여 클러스터의 HSM과 통신할 수 있습니다.

주의

클러스터 보안 그룹에 채워진 사전 구성 TCP 규칙을 삭제하거나 수정하지 마십시오. 이 규칙으로 HSM 무단 액세스 및 연결 문제를 방지할 수 있습니다.
클러스터 보안 그룹은 HSM에 대한 무단 액세스를 방지합니다. 보안 그룹의 인스턴스에 액세스할 수 있는 사용자는 누구나 HSM에 액세스할 수 있습니다. 대부분의 작업에서 사용자가 HSM에 로그인해야 합니다. 하지만 인증 없이 HSM을 초기화하면 키 자료, 인증서 및 기타 데이터가 삭제될 수 있습니다. 이 경우 가장 최근에 백업한 후에 생성되거나 수정된 데이터는 손실되며 복구할 수 없습니다. 무단 액세스를 방지하려면 신뢰할 수 있는 관리자만 기본 보안 그룹에 있는 인스턴스를 수정하거나 액세스할 수 있게 하십시오.
- hsm2m.medium 클러스터는 권한이 없는 사용자가 클러스터에 연결하는 것을 제한하는 mTLS 기능을 도입합니다. 권한이 없는 사용자는 제로화를 시도하기 전에 클러스터에 성공적으로 연결하려면 유효한 mTLS 보안 인증 정보가 필요합니다.

다음 단계에서는 Amazon EC2 인스턴스를 시작하고 클러스터 보안 그룹을 연결하여 이 인스턴스를 HSM에 연결할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

클러스터 생성

EC2 클라이언트 시작