메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

Amazon RDS와 함께 사용할 AWS CloudHSM Classic 설정

TDE를 사용하는 Oracle DB 인스턴스에 AWS CloudHSM Classic을 사용하려면 먼저 AWS CloudHSM Classic을 설정하는 데 필요한 작업을 완료해야 합니다. 작업에 대한 자세한 내용은 다음 섹션에서 설명합니다.

Amazon RDS가 Oracle DB 인스턴스용 AWS CloudHSM Classic을 지원하는 리전은 미국 동부(버지니아 북부), 미국 서부(오레곤), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), EU(프랑크푸르트), EU(아일랜드)입니다.

AWS CloudHSM Classic 사전 요구 사항 완료

AWS CloudHSM Classic 사용 설명서AWS CloudHSM 설정 단원에 있는 절차에 따라 AWS CloudHSM Classic 환경을 설정합니다.

AWS CloudHSM Classic 명령줄 인터페이스 도구 설치

AWS CloudHSM Classic 사용 설명서AWS CloudHSM CLI 도구 설정 단원에 있는 지침에 따라 AWS CloudHSM Classic 명령줄 인터페이스 도구를 AWS CloudHSM Classic 제어 인스턴스에 설치합니다.

HSM 구성

Amazon RDS와 함께 AWS CloudHSM Classic을 사용할 때는 고가용성(HA) 파티션 그룹으로 구성된 3개의 AWS CloudHSM Classic 어플라이언스를 사용하는 것이 가장 권장하는 구성 방법입니다. HA 목적으로는 최소 3개의 HSM을 권장하지만 이중 2개를 사용할 수 없다고 해도 키는 여전히 Amazon RDS에 유효합니다.

 AWS CloudHSM Classic 고가용성 구성

중요

HSM을 초기화하면 HSM 보안 요원의 계정(HSM 관리자로도 불림) 암호가 설정됩니다. 보안 요원 암호를 암호 워크시트에 기록하고 절대 잃어버리지 마십시오. 암호 워크시트의 복사본을 인쇄하여 AWS CloudHSM Classic 암호를 기록한 다음 안전한 장소에 보관하는 것이 좋습니다. 또한, 안전한 외부 장소에 있는 스토리지에 이 워크시트의 복사본을 하나 이상 보관해두는 것이 좋습니다. AWS는 적절한 HSM 보안 요원 자격 증명이 없는 HSM에서 키 구성 요소를 복구할 수 없습니다.

AWS CloudHSM Classic CLI 도구를 사용하여 HSM을 프로비저닝 및 초기화하려면 제어 인스턴스에서 다음 단계를 수행합니다.

  1. CLI를 이용한 HSM 생성의 지침에 따라 구성에 필요한 개수 만큼 HSM을 프로비저닝합니다. HSM을 프로비저닝할 때는 각 HSM의 ARN을 기록합니다. HSM을 초기화하거나 고가용성 파티션 그룹을 생성할 때도 필요하기 때문입니다.

  2. HSM 초기화의 지침에 따라 각 HSM을 초기화합니다.

고가용성 파티션 그룹 생성

HSM을 초기화한 후에는 이 HSM에 포함될 HA 파티션 그룹을 생성합니다. HA 파티션 그룹의 생성 프로세스는 3단계로 구성되어 있습니다. 먼저 HA 파티션 그룹을 생성하고, HSM을 HA 파티션 그룹에 추가한 다음 HA 파티션 그룹과 함께 사용할 클라이언트를 등록합니다.

HA 파티션 그룹을 생성 및 초기화하는 방법

  1. AWS CloudHSM Classic 사용 설명서HA 파티션 그룹 생성 단원에 있는 지침에 따라 HA 파티션 그룹을 생성합니다. 나중에 사용할 수 있도록 create-hapg 명령에서 반환된 HA 파티션 그룹 ARN을 저장합니다.

    파티션 암호를 암호 워크시트에 저장합니다.

  2. HA 파티션 그룹과 함께 사용할 클라이언트 등록의 지침에 따라 HA 파티션 그룹과 함께 사용할 클라이언트를 생성, 등록 및 할당합니다.

필요하다면 이 프로세스를 반복하여 파티션을 추가합니다. 1개의 파티션은 여러 개의 Oracle 데이터베이스를 지원할 수 있습니다.