AWS CloudHSM 모범 사례 - AWS CloudHSM

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS CloudHSM 모범 사례

AWS CloudHSM 작업 모범 사례에 대해서 알아봅니다. 새로운 모범 사례가 확인되는 대로 이 단원을 업데이트할 예정입니다.

AWS CloudHSM 기본 운영 지침

AWS CloudHSM으로 작업할 때 다음 지침을 사용합니다. AWS CloudHSM 서비스 수준 계약에 다음 지침을 따르도록 명시되어 있습니다.

관리: 적어도 2개의 Cryptographic Officer(CO)를 만들어 클러스터를 관리하는 것이 좋습니다. 쿼럼(MofN) 정책을 설정하기 전에 적어도 M+1개의 CO 계정을 만들어야 합니다. 신중하게 CO 계정을 삭제하십시오. CO의 쿼럼 수 미만으로 떨어지면 더 이상 클러스터를 관리할 수 없습니다.

관리: HSM이 실패하면 복구할 수 없는 데이터 손실이 발생할 수 있습니다. 내결함성은 자동으로 구성되지 않습니다. 사용자는 HSM에 대한 내결함성을 구성할 책임이 있습니다.

클러스터 구성: 프로덕션 클러스터의 경우 한 리전에 있는 2개의 가용 영역에 적어도 2개의 HSM 인스턴스가 분산되어 있어야 합니다. 지연 시간에 민감한 워크로드의 경우 +1 중복을 권장합니다. 새로 생성된 키의 내구성을 필요로 하는 애플리케이션의 경우 한 리전에 있는 모든 가용 영역에 적어도 3개의 HSM 인스턴스가 분산되어 있어야 합니다.

클러스터 용량: 워크로드를 처리하려면 클러스터에 충분한 HSM을 생성해야 합니다. 클러스터에 생성할 HSM 수를 결정할 때는 감사 로그 용량과 암호화 용량을 둘 다 고려해야 합니다.