사용자 관리에 대한 이해 CloudHSM 관리 유틸리티 다운로드 사용자를 관리하는 방법

CloudHSM 관리 유틸리티(CMU)를 사용하여 사용자 관리

이 항목에서는 클라이언트 step-by-step SDK와 함께 제공되는 명령줄 도구인 CloudHSM 관리 유틸리티 (CMU) 를 사용하여 하드웨어 보안 모듈 (HSM) 사용자를 관리하는 방법에 대한 지침을 제공합니다. CMU 또는 HSM 사용자에 대한 자세한 정보는 CloudHSM 관리 유틸리티 및 HSM 사용자 이해 단원을 참조하십시오.

Sections

사용자 관리에 대한 이해
CloudHSM 관리 유틸리티 다운로드
사용자를 관리하는 방법

CMU를 사용한 HSM 사용자 관리에 대한 이해

HSM 사용자를 관리하려면 CO(Cryptographic Officer)의 사용자 이름과 암호로 HSM에 로그인해야 합니다. CO만 사용자를 관리할 수 있습니다. HSM에는 admin이라는 기본 CO가 포함됩니다. 클러스터를 활성화할 때 admin에 대해 사용할 암호를 설정했습니다.

CMU를 사용하려면 구성 도구를 사용하여 로컬 구성을 업데이트해야 합니다. CMU는 클러스터에 대한 자체 연결을 생성하며 이 연결은 클러스터를 인식하지 않습니다. 클러스터 정보를 추적하기 위해 CMU는 로컬 구성 파일을 유지 관리합니다. 즉, CMU를 사용할 때마다 먼저 구성 명령줄 도구를 --cmu 파라미터와 함께 실행하여 구성 파일을 업데이트해야 합니다. Client SDK 3.2.1 이전 버전을 사용하는 경우 --cmu와 다른 파라미터를 사용해야 합니다. 자세한 내용은 CMU를 Client SDK 3.2.1 이하와 함께 사용 단원을 참조하십시오.

--cmu 파라미터를 사용하려면 클러스터에 HSM의 IP 주소를 추가해야 합니다. HSM이 여러 개 있는 경우 모든 IP 주소를 사용할 수 있습니다. 이렇게 하면 CMU가 전체 클러스터에 변경 내용을 전파할 수 있습니다. CMU는 로컬 파일을 사용하여 클러스터 정보를 추적한다는 점을 기억하십시오. 특정 호스트의 CMU를 마지막으로 사용한 이후 클러스터가 변경된 경우 해당 호스트에 저장된 로컬 구성 파일에 해당 변경 사항을 추가해야 합니다. CMU를 사용하는 동안에는 HSM을 추가하거나 제거하지 마십시오.

HSM의 IP 주소를 가져오려면 (콘솔)

https://console.aws.amazon.com/cloudhsm/home 에서 AWS CloudHSM 콘솔을 엽니다.
AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.
클러스터 세부 정보 페이지를 열려면 클러스터 테이블에서 클러스터 ID를 선택합니다.
IP 주소를 가져오려면 HSM 탭에서 ENI IP 주소 아래에 나열된 IP 주소 중 하나를 선택합니다.

HSM (CLI) 의 IP 주소를 가져오려면

CLI에서 describe-clusters 명령을 사용하여 HSM의 IP 주소를 가져옵니다. 명령의 출력에서 HSM의 IP 주소는 EniIp의 값입니다.


$  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

CMU를 Client SDK 3.2.1 이하와 함께 사용

클라이언트 SDK 3.3.0에서는 --cmu 파라미터에 대한 지원이 AWS CloudHSM 추가되어 CMU의 구성 파일 업데이트 프로세스가 간소화되었습니다. Client SDK 3.2.1 이전 버전의 CMU를 사용하는 경우, -a 및 -m 파라미터를 계속 사용하여 구성 파일을 업데이트해야 합니다. 이러한 파라미터에 대한 자세한 내용은 도구 구성을 참조하십시오.

CloudHSM 관리 유틸리티 다운로드

Client SDK 5와 Client SDK 3을 사용하든 관계없이 HSM 사용자 관리 작업에 최신 버전의 CMU를 사용할 수 있습니다.

CMU 다운로드 및 설치

CMU를 다운로드하여 설치합니다.

Amazon Linux


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm

Amazon Linux 2


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

CentOS 7.8+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

CentOS 8.3+


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm

RHEL 7 (7.8+)


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm

RHEL 8 (8.3+)


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm


$ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm

Ubuntu 16.04 LTS


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb


$ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb

Ubuntu 18.04 LTS


$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb


$ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb

Windows Server 2012

CloudHSM 관리 유틸리티를 다운로드합니다.
Windows 관리 권한으로 CMU 설치 프로그램 (AWSCloudHSMManagementUtil-latest.msi) 을 실행합니다.

Windows Server 2012 R2

CloudHSM 관리 유틸리티를 다운로드합니다.
Windows 관리자 권한으로 CMU 설치 프로그램 (AWSCloudHSMManagementUtil-latest.msi) 을 실행합니다.

Windows Server 2016

CloudHSM 관리 유틸리티를 다운로드합니다.
Windows 관리자 권한으로 CMU 설치 프로그램 (AWSCloudHSMManagementUtil-latest.msi) 을 실행합니다.

CMU로 HSM 사용자를 관리하는 방법

이 섹션에는 CMU로 HSM 사용자를 관리하는 기본 명령이 포함되어 있습니다.

createUser를 사용하여 HSM에서 새 사용자를 생성합니다. 사용자를 생성하려면 CO로 로그인해야 합니다.

새로운 CO 사용자 생성

구성 도구를 사용하여 CMU 구성을 업데이트합니다.

CMU를 시작합니다.

HSM에 CO 사용자로 로그인합니다.
```
aws-cloudhsm>loginHSM CO admin co12345
```
CMU 목록의 연결 수가 클러스터의 HSM 수와 일치하는지 확인합니다. 그렇지 않은 경우 로그아웃하고 다시 시작합니다.

createUser를 사용하여 암호가 password1인 example_officer라는 이름의 CO 사용자를 생성합니다.


aws-cloudhsm>createUser CO example_officer password1

CMU는 사용자 생성 작업에 대한 메시지를 표시합니다.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

y를 입력합니다.

새로운 사용자 생성

구성 도구를 사용하여 CMU 구성을 업데이트합니다.

CMU를 시작합니다.

HSM에 CO 사용자로 로그인합니다.
```
aws-cloudhsm>loginHSM CO admin co12345
```
CMU 목록의 연결 수가 클러스터의 HSM 수와 일치하는지 확인합니다. 그렇지 않은 경우 로그아웃하고 다시 시작합니다.

createUser를 사용하여 암호가 password1인 example_user라는 이름의 CU 사용자를 생성합니다.


aws-cloudhsm>createUser CU example_user password1

CMU는 사용자 생성 작업에 대한 메시지를 표시합니다.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

y를 입력합니다.

createUser에 대한 자세한 정보는 createUser를 참조하십시오.

listUsers 명령을 사용하여 클러스터의 모든 사용자를 나열합니다. listUsers를 실행하기 위해 로그인할 필요가 없으며 모든 사용자 유형이 사용자를 나열할 수 있습니다.

클러스터의 모든 사용자 나열

구성 도구를 사용하여 CMU 구성을 업데이트합니다.

CMU를 시작합니다.

클러스터의 모든 사용자를 나열하는 데 listUsers을 사용합니다.


aws-cloudhsm>listUsers

CMU는 클러스터의 모든 사용자를 나열합니다.



Users on server 0(10.0.2.9):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 1(10.0.3.11):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO
Users on server 2(10.0.1.12):
Number of users found:4

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              AU              app_user                                 NO               0               NO
         2              CO              example_officer                          NO               0               NO
         3              CU              example_user                             NO               0               NO

listUsers에 대한 자세한 내용은 listUsers를 참조하십시오.

changePswd를 사용하여 암호를 변경합니다.

사용자 유형 및 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다.

CU(Crypto User) 및 AU(Appliance User)는 자기 암호만 변경할 수 있습니다. 다른 사용자의 암호를 변경하려면 CO로 로그인해야 합니다. 현재 클라이언트 또는 에 로그인되어 있는 사용자의 암호를 변경할 수 없습니다.

암호 변경

구성 도구를 사용하여 CMU 구성을 업데이트합니다.

CMU를 시작합니다.

HSM에 로그인합니다.
```
aws-cloudhsm>loginHSM CO admin co12345
```
CMU 목록의 연결 수가 클러스터의 HSM 수와 일치하는지 확인합니다. 그렇지 않은 경우 로그아웃하고 다시 시작합니다.

changePswd를 사용하여 자신의 암호를 변경합니다.


aws-cloudhsm>changePswd CO example_officer <new password>

CMU는 암호 변경 작업에 대한 메시지를 표시합니다.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

y를 입력합니다.

CMU는 암호 변경 작업에 대한 메시지를 표시합니다.
```
Changing password for example_officer(CO) on 3 nodes
```

다른 사용자의 암호 변경

구성 도구를 사용하여 CMU 구성을 업데이트합니다.

CMU를 시작합니다.

HSM에 CO 사용자로 로그인합니다.
```
aws-cloudhsm>loginHSM CO admin co12345
```
CMU 목록의 연결 수가 클러스터의 HSM 수와 일치하는지 확인합니다. 그렇지 않은 경우 로그아웃하고 다시 시작합니다.

changePswd를 사용하여 다른 사용자의 암호를 변경합니다.


aws-cloudhsm>changePswd CU example_user <new password>

CMU는 암호 변경 작업에 대한 메시지를 표시합니다.



*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?

y를 입력합니다.

CMU는 암호 변경 작업에 대한 메시지를 표시합니다.
```
Changing password for example_user(CU) on 3 nodes
```

changePswd에 대한 자세한 내용은 changePswd를 참조하십시오.

deleteUser를 사용하여 사용자를 삭제합니다. 다른 사용자를 삭제하려면 CO로 로그인해야 합니다.

작은 정보

키를 소유한 CU(Crypto User)는 삭제할 수 없습니다.

사용자 삭제

구성 도구를 사용하여 CMU 구성을 업데이트합니다.

CMU를 시작합니다.

HSM에 CO 사용자로 로그인합니다.
```
aws-cloudhsm>loginHSM CO admin co12345
```
CMU 목록의 연결 수가 클러스터의 HSM 수와 일치하는지 확인합니다. 그렇지 않은 경우 로그아웃하고 다시 시작합니다.

deleteUser를 사용하여 사용자를 삭제합니다.


aws-cloudhsm>deleteUser CO example_officer

CMU는 사용자를 삭제합니다.



Deleting user example_officer(CO) on 3 nodes
deleteUser success on server 0(10.0.2.9)
deleteUser success on server 1(10.0.3.11)
deleteUser success on server 2(10.0.1.12)

deleteUser에 대한 자세한 내용은 deleteUser를 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CMU 사용

CMU를 사용하여 2FA 관리