기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
생성하기 AWS CloudHSM 키 스토어
하나 또는 여러 개를 만들 수 있습니다. AWS CloudHSM 계정의 주요 스토어. 각 AWS CloudHSM 키 스토어는 하나와 연결되어 있습니다. AWS CloudHSM 동일한 클러스터 내 AWS 계정 및 지역. 생성하기 전에 AWS CloudHSM 키 스토어를 만들려면 사전 요구 사항을 조합해야 합니다. 그럼, 사용하기 전에 AWS CloudHSM 키 스토어를 해당 스토어에 연결해야 합니다. AWS CloudHSM 클러스터.
참고
를 생성하려고 하면 AWS CloudHSM 기존의 연결이 끊긴 것과 동일한 속성 값을 모두 포함하는 키 저장소 AWS CloudHSM 키 스토어, AWS KMS 새 항목을 만들지 않습니다. AWS CloudHSM 키 저장소이며 예외가 발생하거나 오류를 표시하지 않습니다. 대신, AWS KMS 복제를 재시도의 가능한 결과로 인식하고 기존 복제의 ID를 반환합니다. AWS CloudHSM 키 스토어.
작은 정보
연결할 필요가 없습니다. AWS CloudHSM 바로 키 스토어를 이용하세요. 사용 준비가 될 때까지 연결 해제 상태로 남겨둘 수 있습니다. 하지만 적절하게 구성이 되었는지 확인하기 위해 이를 연결하고, 연결 상태를 확인한 다음, 연결 해제하고 싶을 수 있습니다.
사전 조건 수집
각각 AWS CloudHSM 키 스토어는 다음을 통해 지원됩니다. AWS CloudHSM 클러스터. 생성하려면 AWS CloudHSM 키 스토어를 활성화하도록 지정해야 합니다. AWS CloudHSM 다른 키 스토어와 아직 연결되지 않은 클러스터. 또한 클러스터의 HSMs 전용 암호화 사용자 (CU) 를 생성해야 합니다. AWS KMS 사용자를 대신하여 키를 생성하고 관리하는 데 사용할 수 있습니다.
생성하기 전에 AWS CloudHSM 키 스토어를 실행하세요.
- 선택 AWS CloudHSM cluster
-
모든 AWS CloudHSM 키 스토어는 정확히 하나와 연결되어 있습니다. AWS CloudHSM 클러스터. 생성할 때 AWS KMS keys당신의 안에 AWS CloudHSM 키 스토어, AWS KMS ID 및 Amazon 리소스 이름 (ARN) 과 같은 KMS 키 메타데이터를 생성합니다. AWS KMS. 그런 다음 관련 HSMs 클러스터의 키 자료를 생성합니다. 새로 만들 수 있습니다. AWS CloudHSM클러스터를 사용하거나 기존 클러스터를 사용합니다. AWS KMS 클러스터에 대한 독점 액세스가 필요하지 않습니다.
The AWS CloudHSM 선택한 클러스터는 해당 클러스터와 영구적으로 연결됩니다. AWS CloudHSM 키 스토어. 생성한 후 AWS CloudHSM 키 저장소에서 연결된 클러스터의 클러스터 ID를 변경할 수 있지만 지정하는 클러스터는 원래 클러스터와 백업 기록을 공유해야 합니다. 관련 없는 클러스터를 사용하려면 새 클러스터를 만들어야 합니다. AWS CloudHSM 키 스토어.
더 AWS CloudHSM 선택한 클러스터는 다음과 같은 특성을 가져야 합니다.
-
클러스터는 활성 상태여야 합니다.
클러스터를 생성하고, 초기화하고, 설치해야 합니다. AWS CloudHSM 플랫폼용 클라이언트 소프트웨어를 설치한 다음 클러스터를 활성화합니다. 자세한 지침은 시작하기를 참조하십시오. AWS CloudHSM의 AWS CloudHSM 사용 설명서.
-
클러스터는 클러스터와 동일한 계정 및 지역에 있어야 합니다. AWS CloudHSM 키 스토어. 연결할 수 없습니다. AWS CloudHSM 한 지역의 키 스토어를 다른 지역의 클러스터와 연결합니다. 여러 지역에 키 인프라를 만들려면 다음을 생성해야 합니다. AWS CloudHSM 각 지역의 키 스토어 및 클러스터.
-
이 클러스터는 동일한 계정 및 리전의 다른 사용자 지정 키 스토어에 연결할 수 없습니다. 각각 AWS CloudHSM 계정 및 지역의 키 스토어는 서로 다른 스토어와 연결되어야 합니다. AWS CloudHSM 클러스터. 사용자 지정 키 스토어에 이미 연결되어 있는 클러스터나 연결 클러스터와 백업 기록을 공유하는 클러스터를 지정할 수 없습니다. 백업 기록을 공유하는 클러스터들은 동일한 클러스터 인증서를 가지고 있습니다. 클러스터의 클러스터 인증서를 보려면 다음을 사용하십시오. AWS CloudHSM 콘솔 또는 DescribeClusters작업
백업하는 경우 AWS CloudHSM 다른 지역의 클러스터는 다른 클러스터로 간주되며 백업을 해당 지역의 사용자 지정 키 저장소와 연결할 수 있습니다. 하지만 두 사용자 지정 키 저장소의 키는 백업 KMS 키가 같더라도 상호 운용되지 않습니다. AWS KMS 메타데이터를 암호문에 바인딩하여 암호문을 암호화한 키로만 암호를 해독할 수 있도록 합니다. KMS
-
리전에서 가용 영역이 두 개 이상인 프라이빗 서브넷으로 클러스터를 구성해야 합니다. 왜냐하면 AWS CloudHSM 모든 가용 영역에서 지원되는 것은 아니므로 해당 지역의 모든 가용 영역에 프라이빗 서브넷을 생성하는 것이 좋습니다. 기존 클러스터에 대한 서브넷을 재구성할 수는 없지만, 클러스터 구성에서 서브넷을 서로 달리하여 백업으로부터 클러스터를 생성할 수 있습니다.
중요
생성한 후에는 AWS CloudHSM 키 스토어에 구성된 프라이빗 서브넷은 삭제하지 마십시오. AWS CloudHSM 클러스터. If AWS KMS 클러스터 구성에서 모든 서브넷을 찾을 수 없습니다. 사용자 지정 키 스토어에 연결하려는 시도가
SUBNET_NOT_FOUND연결 오류 상태로 실패합니다. 세부 정보는 연결 오류를 수정하는 방법을 참조하세요. -
클러스터 (
cloudhsm-cluster-) 의 보안 그룹에는 포트 2223-2225에서 TCP 트래픽을 허용하는 인바운드 규칙 및 아웃바운드 규칙이 포함되어야 합니다. 인바운드 규칙의 소스와 아웃바운드 규칙의 대상이 보안 그룹 ID와 일치해야 합니다. 이들 규칙은 클러스터를 생성할 때 기본적으로 설정됩니다. 삭제하거나 변경하지 마세요.<cluster-id>-sg -
클러스터에는 서로 다른 가용 영역에서 활성화된 두 개 이상이 있어야 합니다. HSMs 개수를 확인하려면 HSMs 다음을 사용하십시오. AWS CloudHSM 콘솔 또는 DescribeClusters오퍼레이션. 필요한 경우 를 추가할 수 있습니다HSM.
-
- 트러스트 앵커 인증서 찾기
-
사용자 지정 키 저장소를 생성할 때는 해당 저장소의 신뢰 앵커 인증서를 업로드해야 합니다. AWS CloudHSM 클러스터: AWS KMS. AWS KMS 연결하려면 트러스트 앵커 인증서가 필요합니다. AWS CloudHSM 키 저장소를 해당 저장소에 연결 AWS CloudHSM 클러스터.
모든 액티브 AWS CloudHSM 클러스터에는 신뢰 앵커 인증서가 있습니다. 클러스터를 초기화할 때 이러한 인증서를 생성해서
customerCA.crt파일에 저장하고 클러스터를 연결하는 호스트에 이를 복사합니다. - 에 대한
kmsuser암호화 사용자 생성 AWS KMS -
관리하려면 AWS CloudHSM 키 스토어, AWS KMS 선택한 클러스터의 kmsuser암호화 사용자 (CU) 계정에 로그인합니다. 생성하기 전 AWS CloudHSM 키 스토어를 만들려면
kmsuserCU를 생성해야 합니다. 그런 다음 생성하면 AWS CloudHSM 키kmsuser스토어에 대한 비밀번호를 입력합니다. AWS KMS. 연결할 때마다 AWS CloudHSM 키 스토어를 관련 스토어에 AWS CloudHSM 클러스터, AWS KMS 로kmsuser로그인하고 비밀번호를 교체합니다.kmsuser중요
kmsuserCU를 생성할 때2FA옵션을 지정해서는 안 됩니다. 그럴 경우, AWS KMS 로그인할 수 없고 AWS CloudHSM 키 스토어를 여기에 연결할 수 없습니다. AWS CloudHSM 클러스터. 일단 2FA를 지정하면 실행 취소를 할 수 없습니다. 대신에 CU를 삭제한 다음 다시 생성해야 합니다.참고
다음 절차에서는 다음을 사용합니다. AWS CloudHSM 클라이언트 SDK 5 명령줄 도구인 클라우드 HSM CLI. 클라우드가
key-handle로 HSM CLI 대체됩니다.key-reference2025년 1월 1일, AWS CloudHSM Client SDK 3 명령줄 도구, 클라우드 HSM 관리 유틸리티 (CMU) 및 키 관리 유틸리티 (KMU) 에 대한 지원이 종료됩니다. 클라이언트 SDK 3 명령줄 도구와 클라이언트 SDK 5 명령줄 도구 간의 차이점에 대한 자세한 내용은 의 클라이언트 SDK CMU 3에서 클라이언트 SDK 5 클라우드로 HSM CLI 마이그레이션을 참조하십시오. KMU AWS CloudHSM 사용 설명서.
-
의 Cloud HSM 명령줄 인터페이스 시작하기 (CLI) 항목에 설명된 대로 시작 절차를 따르세요. AWS CloudHSM 사용자 가이드.
-
사용자 생성 명령을 사용하여 이름이 지정된 CU를 생성합니다
kmsuser.암호는 7~32자의 영숫자로만 구성되어야 합니다. 대소문자가 구분되며 어떤 특수 문자도 포함해서는 안 됩니다.
다음 예제 명령은
kmsuserCU를 생성합니다.aws-cloudhsm >user create --username kmsuser --role crypto-userEnter password: Confirm password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
-
생성: AWS CloudHSM 키 스토어 (콘솔)
생성할 때 AWS CloudHSM 키 스토어의 AWS Management Console워크플로의 일부로 사전 요구 사항을 추가하고 만들 수 있습니다. 그러나 이들을 미리 수집하면 프로세스가 더 빨라집니다.
-
에 로그인하십시오. AWS Management Console 그리고 여세요 AWS Key Management Service (AWS KMS) 콘솔을 https://console.aws.amazon.com/kms에서 실행하십시오
. -
변경하려면 AWS 리전페이지 오른쪽 상단의 지역 선택기를 사용하세요.
-
탐색 창에서 사용자 지정 키 스토어를 선택하고 AWS CloudHSM 키 스토어.
-
키 스토어 생성을 선택합니다.
-
기억하기 쉬운 사용자 지정 키 스토어 이름을 입력합니다. 이름은 계정의 모든 사용자 지정 키 스토어에서 고유해야 합니다.
중요
이 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
-
다음을 선택합니다. AWS CloudHSM에 대한 클러스터 AWS CloudHSM 키 스토어. 또는 새로 만들려면 AWS CloudHSM 클러스터에서 [만들기] 를 선택합니다. AWS CloudHSM 클러스터 링크.
메뉴에는 다음이 표시됩니다. AWS CloudHSM 계정 및 지역의 클러스터 중 아직 연결되지 않은 클러스터 AWS CloudHSM 키 스토어. 사용자 지정 키 스토어를 연결하려면 클러스터가 요구 사항을 충족해야 합니다.
-
파일 선택을 선택한 다음 해당 파일의 신뢰 앵커 인증서를 업로드합니다. AWS CloudHSM 선택한 클러스터. 이것은 클러스터를 초기화할 때 생성한
customerCA.crt파일입니다. -
선택한 클러스터에서 생성한 kmsuser CU(Crypto User)의 암호를 입력합니다.
-
생성(Create)을 선택합니다.
절차가 성공하면 새 AWS CloudHSM 키 스토어가 목록에 나타납니다. AWS CloudHSM 계정 및 지역의 주요 스토어. 절차가 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 사용자 지정 키 스토어 문제 해결 섹션을 참조하십시오.
계정을 생성하려고 시도하는 경우 AWS CloudHSM 기존의 연결이 끊긴 것과 동일한 속성 값을 모두 포함하는 키 저장소 AWS CloudHSM 키 스토어, AWS KMS 새 항목을 만들지 않습니다. AWS CloudHSM 키 저장소이며 예외가 발생하거나 오류를 표시하지 않습니다. 대신, AWS KMS 복제를 재시도의 가능한 결과로 인식하고 기존 복제의 ID를 반환합니다. AWS CloudHSM 키 스토어.
다음: 신규 AWS CloudHSM 키 스토어는 자동으로 연결되지 않습니다. 생성하기 전에 AWS KMS keys 에서 AWS CloudHSM 키 스토어에서는 사용자 지정 키 스토어를 관련 키 스토어에 연결해야 합니다. AWS CloudHSM 클러스터.
생성: AWS CloudHSM 키 스토어 (API)
CreateCustomKeyStore작업을 사용하여 새 항목을 생성할 수 있습니다. AWS CloudHSM 다음과 관련된 키 스토어 AWS CloudHSM 계정 및 지역의 클러스터. 이 예에서는 다음을 사용합니다. AWS Command Line Interface (AWS CLI) 하지만 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.
CreateCustomKeyStore 작업에서는 다음과 같은 파라미터 값이 필요합니다.
-
CustomKeyStoreName — 계정에서 고유한 사용자 지정 키 스토어의 친숙한 이름입니다.
중요
이 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
-
CloudHsmClusterId — 의 클러스터 ID AWS CloudHSM 요구 사항을 충족하는 클러스터 AWS CloudHSM 키 스토어.
-
KeyStorePassword — 지정된 클러스터에 있는
kmsuserCU 계정의 비밀번호입니다. -
TrustAnchorCertificate - 클러스터를 초기화할 때 만든
customerCA.crt파일의 내용입니다.
다음 예제는 가상의 클러스터 ID를 사용합니다. 명령을 실행하기 전에 유효한 클러스터 ID로 이를 바꿉니다.
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificate<certificate-goes-here>
를 사용하는 경우 AWS CLI내용 대신 신뢰 앵커 인증서 파일을 지정할 수 있습니다. 다음 예제에서 customerCA.crt 파일은 루트 디렉터리에 있습니다.
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificatefile://customerCA.crt
작업이 성공하면 CreateCustomKeyStore가 사용자 지정 키 스토어 ID를 반환합니다(다음 예제 응답 참조).
{ "CustomKeyStoreId": cks-1234567890abcdef0 }
작업이 실패할 경우 예외로 표시된 오류를 정정하고 다시 시도해보세요. 추가적인 도움말은 사용자 지정 키 스토어 문제 해결 섹션을 참조하십시오.
를 생성하려고 시도하는 경우 AWS CloudHSM 기존의 연결이 끊긴 것과 동일한 속성 값을 모두 포함하는 키 저장소 AWS CloudHSM 키 스토어, AWS KMS 새 항목을 만들지 않습니다. AWS CloudHSM 키 저장소이며 예외가 발생하거나 오류를 표시하지 않습니다. 대신, AWS KMS 복제를 재시도의 가능한 결과로 인식하고 기존 복제의 ID를 반환합니다. AWS CloudHSM 키 스토어.
다음: 사용하려면 AWS CloudHSM 키 스토어를 해당 스토어에 연결하세요. AWS CloudHSM 클러스터.
