메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

AWS CloudHSM Classic을 사용하여 Amazon RDS Oracle TDE 키 저장

Oracle TDE(Transparent Data Encryption)를 사용할 때 Oracle Enterprise Edition을 실행하는 Amazon RDS DB 인스턴스에 AWS CloudHSM Classic을 사용하여 키를 저장할 수 있습니다. AWS CloudHSM Classic은 하드웨어 보안 모듈(HSM)이라는 하드웨어 어플라이언스를 제공하는 서비스로, 안전한 키 스토리지 및 암호화 연산이 가능합니다. HSM 어플라이언스를 설정하고 교차 서비스 액세스에 적절한 권한을 설정한 다음 AWS CloudHSM Classic을 사용하는 Amazon RDS 및 DB 인스턴스를 설정하여 Amazon RDS DB 인스턴스에서 AWS CloudHSM Classic을 사용할 수 있도록 합니다.

중요

AWS CloudHSM Classic을 설정하기 전에 다음 가용성 및 요금 정보를 검토합니다.

  • Amazon RDS는 다음 리전에서 Oracle DB 인스턴스에 대한 AWS CloudHSM Classic을 지원합니다. 미국 동부(버지니아 북부), 미국 서부(오레곤), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), EU(프랑크푸르트), EU(아일랜드).

  • AWS CloudHSM Classic 요금:

    AWS CloudHSM Classic 요금 정보는 AWS CloudHSM Classic 요금 페이지에서 확인할 수 있습니다.

  • AWS CloudHSM Classic 선수금 환불(API 및 CLI 도구):

    CreateHsm API 작업이나 create-hsm AWS CLI 명령을 사용하여 생성한 새로운 AWS CloudHSM Classic 인스턴스별로 선수금이 부과됩니다. 실수로 불필요한 HSM 인스턴스를 프로비저닝한 경우, 먼저 DeleteHsm API 작업이나 delete-hsm AWS CLI 명령을 사용하여 HSM 인스턴스를 삭제하십시오. 그런 다음 AWS Support Center에서 새 케이스를 만들고 계정 및 결제 지원을 선택하여 선수금 환불을 요청할 수 있습니다.

하나의 AWS CloudHSM Classic 파티션에서 지원할 수 있는 Oracle 데이터베이스의 수는 데이터에 대해 선택한 교체 일정에 따라 다릅니다. 데이터에 필요할 때마다 키를 교체할 수 있습니다. PCI-DSS 설명서NIST(국립 표준 기술 연구소)에서는 키 교체 빈도에 대한 지침을 제공합니다. AWS CloudHSM Classic 디바이스당 약 10,000개의 대칭 마스터 키를 보유할 수 있습니다. 키 교체 후 이전 마스터 키는 파티션에 유지되며 파티션당 보유할 수 있는 키 개수에 포함됩니다.

AWS CloudHSM Classic은 Amazon Virtual Private Cloud(Amazon VPC)와 함께 작동합니다. 프라이빗 IP 주소를 지정한 어플라이언스를 VPC에 프로비저닝하기만 하면 Amazon RDS DB 인스턴스와 프라이빗 네트워크를 간단히 연결할 수 있습니다. HSM 어플라이언스는 사용자 본인 전용이며 다른 AWS 고객에게서 격리됩니다. 자세한 내용은 Amazon Virtual Private Cloud(VPC) 및 Amazon RDSVPC에 DB 인스턴스 만들기 단원을 참조하십시오.

Amazon RDS Oracle DB 인스턴스에 AWS CloudHSM Classic을 사용하려면 다음 작업을 완료해야 합니다. 자세한 설명은 다음 단원을 참조하십시오.

모든 준비가 끝났으면 이제 다음 AWS 구성 요소가 필요합니다.

  • 포트 22를 사용하여 HSM 어플라이언스와 통신하는 AWS CloudHSM Classic 제어 인스턴스와 AWS CloudHSM Classic 엔드포인트. AWS CloudHSM Classic 제어 인스턴스는 HSM과 동일한 VPC에 속한 Amazon EC2 인스턴스이며 HSM을 관리하는 데 사용됩니다.

  • Amazon RDS 서비스 엔드포인트와 통신하는 Amazon RDS Oracle DB 인스턴스, 그리고 포트 1792를 사용하는 HSM 어플라이언스

 AWS CloudHSM Classic-RDS 네트워크