메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

AWS CloudHSM을 사용하여 Amazon RDS Oracle TDE 키를 저장하는 방법

특히 Oracle TDE(Transparent Data Encryption)를 사용할 때 Oracle Enterprise Edition을 실행하여 키를 저장하는 Amazon RDS DB 인스턴스와 함께 AWS CloudHSM을 사용할 수 있습니다. AWS CloudHSM은 하드웨어 보안 모듈(HSM)이라는 하드웨어 어플라이언스를 사용할 수 있는 서비스로서, 이로써 안전한 키 스토리지 및 암호화 연산이 가능합니다. Amazon RDS DB 인스턴스에서 AWS CloudHSM을 사용하려면 HSM 어플라이언스를 먼저 설치하여 교차 서비스 액세스에 필요한 권한을 설정한 다음 AWS CloudHSM을 사용할 Amazon RDS 및 DB 인스턴스를 설치합니다.

중요

AWS CloudHSM 설치 전에 다음 가용성 및 요금 정보에 대해 살펴보십시오.

  • Amazon RDS는 다음 리전에서 Oracle DB 인스턴스에 대해 AWS CloudHSM을 지원합니다. 미국 동부(버지니아 북부), 미국 서부(오레곤), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), EU(프랑크푸르트), EU(아일랜드).

  • AWS CloudHSM 요금 및 무료 평가판:

    요금 정보는 CloudHSM 요금 페이지에서 확인할 수 있습니다. CloudHSM 서비스를 무료로 이용해 보고 싶다면 무료 평가판 페이지에서 자세한 내용을 검토해 보십시오.

  • CloudHSM 선수금 환불(API 및 CLI 도구):

    CreateHsm API 작업이나 create-hsm AWS CLI 명령을 사용하여 만든 새로운 AWS CloudHSM 인스턴스별로 선수금이 부과됩니다. 실수로 불필요한 HSM 인스턴스를 프로비저닝한 경우, 먼저 DeleteHsm API 작업이나 delete-hsm AWS CLI 명령을 사용하여 HSM 인스턴스를 삭제하십시오. 그런 다음 AWS Support Center에서 새 케이스를 만들고 계정 및 결제 지원을 선택하여 선수금 환불을 요청할 수 있습니다.

하나의 CloudHSM 파티션에서 지원할 수 있는 Oracle 데이터베이스의 수는 데이터에 대해 선택한 로테이션 일정에 따라 다릅니다. 데이터에 필요할 때마다 키를 교체할 수 있습니다. PCI-DSS 설명서NIST(국립 표준 기술 연구소)에서는 키 교체 빈도에 대한 지침을 제공합니다. CloudHSM 디바이스당 약 10,000개의 대칭 마스터 키를 보유할 수 있습니다. 키 교체 후 이전 마스터 키는 파티션에 유지되며 파티션당 보유할 수 있는 키 개수에 포함됩니다.

AWS CloudHSM가 Amazon Virtual Private Cloud(Amazon VPC)과 함께 작동함. 프라이빗 IP 주소를 지정한 어플라이언스를 VPC에 프로비저닝하기만 하면 Amazon RDS DB 인스턴스와 프라이빗 네트워크를 간단히 연결할 수 있습니다. HSM 어플라이언스는 사용자 본인 전용이며 다른 AWS 고객에게서 격리됩니다. 자세한 내용은 Amazon Virtual Private Cloud(VPC) 및 Amazon RDSVPC에 DB 인스턴스 만들기을(를) 참조하십시오.

Amazon RDS Oracle DB 인스턴스와 함께 AWS CloudHSM을 사용하려면 다음 작업을 완료해야 합니다. 자세한 설명은 다음을(를) 참조하십시오.

모든 준비가 끝났으면 이제 다음 AWS 구성 요소가 필요합니다.

  • 포트 22를 사용해 HSM 어플라이언스와 통신하는 AWS CloudHSM 제어 인스턴스와 AWS CloudHSM 엔드포인트. AWS CloudHSM 제어 인스턴스는 HSM과 동일한 VPC에 속한 Amazon EC2 인스턴스로서 HSM을 관리하는 데 사용됩니다.

  • Amazon RDS 서비스 엔드포인트와 통신하는 Amazon RDS Oracle DB 인스턴스, 그리고 포트 1792를 사용하는 HSM 어플라이언스

 CloudHSM-RDS 네트워크