AWS CloudHSM 관리 유틸리티를 사용하여 쿼럼 최소값 변경 - AWS CloudHSM

AWS CloudHSM 관리 유틸리티를 사용하여 쿼럼 최소값 변경

AWS CloudHSM Crypto Officer(CO)가 쿼럼 인증을 사용할 수 있도록 쿼럼 최소값을 설정한 후 쿼럼 최소값을 변경할 수 있습니다. HSM에서는 승인자의 수가 현재 쿼럼 최소값 이상인 경우에만 쿼럼 최소값을 변경할 수 있습니다. 예를 들어 쿼럼 최소값이 2라면 적어도 2명의 CO가 승인해야 쿼럼 최소값을 변경할 수 있습니다.

쿼럼 최소값을 변경하기 위해 쿼럼 승인을 받으려면 setMValue 명령(서비스 4)에 대한 쿼럼 토큰이 필요합니다. setMValue 명령(서비스 4)에 대한 쿼럼 토큰을 얻으려면 서비스 4의 쿼럼 최소값이 1보다 커야 합니다. 즉, CO(서비스 3)의 쿼럼 최소값을 변경하려면 그전에 서비스 4의 쿼럼 최소값을 변경해야 합니다.

다음 표에는 HSM 서비스 식별자와 함께 식별자의 이름, 설명, 서비스에 포함된 명령이 나열되어 있습니다.

서비스 식별자 서비스 이름 서비스 설명 HSM 명령
3 USER_MGMT HSM 사용자 관리

  • createUser

  • deleteUser

  • changePswd(다른 HSM 사용자의 암호를 변경할 때만 해당됨)
4 MISC_CO 기타 CO 서비스

  • setMValue
crypto officer의 쿼럼 최소값을 변경하려면

  1. 다음 명령을 사용하여 cloudhsm_mgmt_util 명령줄 도구를 시작합니다.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

  2. loginHSM 명령을 사용하여 HSM에 CO로 로그인합니다. 자세한 내용은 CloudHSM 관리 유틸리티(CMU)를 통한 HSM 사용자 관리 섹션을 참조하세요.

  3. getMValue 명령을 사용하여 서비스 3의 쿼럼 최소값을 가져옵니다. 자세한 내용은 다음 예제를 참조하세요.

  4. getMValue 명령을 사용하여 서비스 4의 쿼럼 최소값을 가져옵니다. 자세한 내용은 다음 예제를 참조하세요.

  5. 서비스 4의 쿼럼 최소값이 서비스 3의 값보다 작다면 setMValue 명령을 사용하여 서비스 4의 값을 변경합니다. 서비스 3의 값보다 크거나 같은 값으로 서비스 4의 값을 변경합니다. 자세한 내용은 다음 예제를 참조하세요.

  6. 쿼럼 토큰을 가져오고 토큰을 사용할 수 있는 서비스로 서비스 4를 지정하도록 주의하십시오.

  7. 다른 CO의 승인(서명)을 받습니다.

  8. HSM에 대한 토큰을 승인합니다.

  9. setMValue 명령을 사용하여 서비스 3(CO가 수행하는 사용자 관리 작업)의 쿼럼 최소값을 변경합니다.

예 – 서비스 4의 쿼럼 최소값 가져오기 및 변경

다음 예제 명령은 서비스 3의 쿼럼 최소값이 현재 2임을 보여 줍니다.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

다음 예제 명령은 서비스 4의 쿼럼 최소값이 현재 1임을 보여 줍니다.

aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]

서비스 4의 쿼럼 최소값을 변경하려면 setMValue 명령을 사용하여 서비스 3의 쿼럼 최소값보다 크거나 같은 값을 설정합니다. 다음 예제는 서비스 4의 쿼럼 최소값을 서비스 3에 대해 설정된 값과 같은 2로 설정합니다.

aws-cloudhsm>setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 4 on 2 nodes

다음 명령은 서비스 3과 서비스 4의 쿼럼 최소값이 이제 2임을 보여 줍니다.

aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm>getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]