cloudhsm_mgmt_util 시작하기 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

cloudhsm_mgmt_util 시작하기

AWS CloudHSM에는 AWS CloudHSM 클라이언트 소프트웨어와 함께 두 개의 명령줄 도구가 포함됩니다. cloudhsm_mgmt_util 도구에는 HSM 사용자를 관리하기 위한 명령이 포함됩니다. key_mgmt_util 도구에는 키를 관리하기 위한 명령이 포함됩니다. cloudhsm_mgmt_util 명령줄 도구를 시작하려면 다음 작업을 수행하십시오.

cloudhsm_mgmt_util 실행 준비

cloudhsm_mgmt_util을 사용하기 전에, 먼저 다음 작업을 완료합니다. cloudhsm_mgmt_util을 처음 사용할 때와 클러스터에서 HSM을 추가 또는 제거할 때 이러한 단계를 거쳐야 합니다. 이 단계는 AWS CloudHSM 클라이언트 및 명령줄 도구가 사용하는 구성 파일에서 HSM 목록을 업데이트합니다. 이러한 파일을 업데이트된 상태로 유지하면 AWS CloudHSM이 클러스터의 모든 HSM에서 데이터를 동기화하고 일관성을 유지할 수 있습니다.

1단계: AWS CloudHSM 클라이언트 중지

AWS CloudHSM 및 명령줄 도구가 사용하는 구성 파일을 업데이트하기 전에 AWS CloudHSM 클라이언트를 중지합니다. 클라이언트가 이미 중지된 경우 중지 명령을 실행해도 아무런 문제가 없습니다.

Amazon Linux
$ sudo stop cloudhsm-client
Amazon Linux 2
$ sudo service cloudhsm-client stop
CentOS 6
$ sudo stop cloudhsm-client
CentOS 7
$ sudo service cloudhsm-client stop
CentOS 8
$ sudo service cloudhsm-client stop
RHEL 6
$ sudo stop cloudhsm-client
RHEL 7
$ sudo service cloudhsm-client stop
RHEL 8
$ sudo service cloudhsm-client stop
Ubuntu 16.04 LTS
$ sudo service cloudhsm-client stop
Ubuntu 18.04 LTS
$ sudo service cloudhsm-client stop
Windows
  • Windows 클라이언트 1.1.2+의 경우:

    C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient
  • Windows 클라이언트 1.1.1 이상의 경우:

    AWS CloudHSM 클라이언트를 시작한 명령 창에서 Ctrl+C를 사용합니다.

2단계: AWS CloudHSM 구성 파일 업데이트

이 단계는 구성 도구-a 파라미터를 사용하여 클러스터에 있는 HSM 중 하나의 ENI(탄력적 네트워크 인터페이스) IP 주소를 구성 파일에 추가합니다.

Amazon Linux
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
Amazon Linux 2
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
CentOS 6
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
CentOS 7
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
CentOS 8
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
RHEL 6
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
RHEL 7
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
RHEL 8
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
Ubuntu 16.04 LTS
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
Ubuntu 18.04 LTS
$ sudo /opt/cloudhsm/bin/configure -a <HSM ENI IP>
Windows
c:\Program Files\Amazon\CloudHSM>configure.exe -a <HSM ENI IP>

클러스터에 있는 HSM의 ENI IP 주소를 가져오려면 AWS CloudHSM 콘솔로 이동하고 클러스터를 선택한 후 원하는 클러스터를 선택합니다. DescribeClusters 작업, describe-clusters 명령 또는 Get-HSM2Cluster PowerShell cmdlet를 사용할 수도 있습니다. 오직 한 개의 ENI IP 주소만 입력하십시오. 어떤 ENI IP 주소를 사용해도 상관은 없습니다.

3단계: AWS CloudHSM 클라이언트 시작

이제 AWS CloudHSM 클라이언트를 시작 또는 다시 시작합니다. AWS CloudHSM 클라이언트를 시작할 때 구성 파일의 ENI IP 주소를 사용하여 클러스터를 쿼리합니다. 그런 다음 클러스터 정보 파일에 모든 HSM의 ENI IP 주소를 추가합니다.

Amazon Linux
$ sudo start cloudhsm-client
Amazon Linux 2
$ sudo service cloudhsm-client start
CentOS 6
$ sudo start cloudhsm-client
CentOS 7
$ sudo service cloudhsm-client start
CentOS 8
$ sudo service cloudhsm-client start
RHEL 6
$ sudo start cloudhsm-client
RHEL 7
$ sudo service cloudhsm-client start
RHEL 8
$ sudo service cloudhsm-client start
Ubuntu 16.04 LTS
$ sudo service cloudhsm-client start
Ubuntu 18.04 LTS
$ sudo service cloudhsm-client start
Windows
  • Windows 클라이언트 1.1.2+의 경우:

    C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
  • Windows 클라이언트 1.1.1 이상의 경우:

    C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

4단계: cloudhsm_mgmt_util 구성 파일 업데이트

마지막 단계에서는 구성 도구-m 파라미터를 사용하여 클러스터 정보 파일에서 cloudhsm_mgmt_util이 사용하는 구성 파일에 업데이트된 ENI IP 주소를 복사합니다. 이 단계를 건너뛸 경우 클러스터의 HSM에서 일관되지 않은 사용자 데이터 같은 동기화 문제가 발생할 수 있습니다.

Amazon Linux
$ sudo /opt/cloudhsm/bin/configure -m
Amazon Linux 2
$ sudo /opt/cloudhsm/bin/configure -m
CentOS 6
$ sudo /opt/cloudhsm/bin/configure -m
CentOS 7
$ sudo /opt/cloudhsm/bin/configure -m
CentOS 8
$ sudo /opt/cloudhsm/bin/configure -m
RHEL 6
$ sudo /opt/cloudhsm/bin/configure -m
RHEL 7
$ sudo /opt/cloudhsm/bin/configure -m
RHEL 8
$ sudo /opt/cloudhsm/bin/configure -m
Ubuntu 16.04 LTS
$ sudo /opt/cloudhsm/bin/configure -m
Ubuntu 18.04 LTS
$ sudo /opt/cloudhsm/bin/configure -m
Windows
c:\Program Files\Amazon\CloudHSM>configure.exe -m

이 단계가 완료되면 cloudhsm_mgmt_util을 시작할 준비가 된 것입니다. HSM을 추가 또는 삭제하는 경우 cloudhsm_mgmt_util을 사용하기 전에 이 단계를 반복해야 합니다.

cloudhsm_mgmt_util의 기본적인 사용법

다음 작업에서는 cloudhsm_mgmt_util 도구의 기본적인 사용법에 대해 설명합니다.

주의

이 cloudhsm_mgmt_util 도구는 Tab 키를 사용한 자동 완성을 지원하지 않습니다. cloudhsm_mgmt_util에서 Tab 키를 사용하면 응답하지 않을 수 있습니다.

cloudhsm_mgmt_util 시작

다음 명령을 사용하여 cloudhsm_mgmt_util을 시작합니다.

Amazon Linux
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
Amazon Linux 2
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
CentOS 6
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
CentOS 7
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
CentOS 8
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
RHEL 6
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
RHEL 7
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
RHEL 8
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
Ubuntu 16.04 LTS
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
Ubuntu 18.04 LTS
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
Windows
C:\Program Files\Amazon\CloudHSM>cloudhsm_mgmt_util.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg

보유한 HSM의 수에 따라 다음과 같이 출력됩니다.

Connecting to the server(s), it may take time depending on the server(s) load, please wait... Connecting to server '10.0.2.9': hostname '10.0.2.9', port 2225... Connected to server '10.0.2.9': hostname '10.0.2.9', port 2225. Connecting to server '10.0.3.11': hostname '10.0.3.11', port 2225... Connected to server '10.0.3.11': hostname '10.0.3.11', port 2225. Connecting to server '10.0.1.12': hostname '10.0.1.12', port 2225... Connected to server '10.0.1.12': hostname '10.0.1.12', port 2225.

프롬프트는 cloudhsm_mgmt_util이 실행 중일 때 aws-cloudhsm>​으로 변경됩니다.

종단 간 암호화 활성화

클라이언트 및 관련 소프트웨어 라이브러리의 버전 1.1.1부터는 클러스터에 있는 HSM과 cloudhsm_mgmt_util 간의 종단 간 암호화 통신이 기본적으로 활성화됩니다. 이전 버전을 사용하는 경우 cloudhsm_mgmt_util을 시작할 때마다 enable_e2e 명령을 사용하여 종단 간 암호화를 활성화할 수 있습니다.

aws-cloudhsm>enable_e2e E2E enabled on server 0(10.0.2.9) E2E enabled on server 1(10.0.3.11) E2E enabled on server 2(10.0.1.12)

HSM에 로그인

loginHSM 명령을 사용하여 HSM에 로그인합니다. 모든 유형의 사용자가 이 명령을 사용하여 HSM에 로그인할 수 있습니다.

다음 예제의 명령은 기본 CO(Crypto Officer)admin으로 로그인합니다. 클러스터를 활성화한 경우에만 이 사용자의 암호를 설정할 수 있습니다. 출력은 이 명령이 admin 사용자를 클러스터의 모든 HSM에 로그인한 것을 보여 줍니다.

주의

cloudhsm_mgmt_util에 로그인할 때 성공 메시지의 ENI IP 주소가 클러스터에 있는 모든 HSM의 ENI IP 주소와 정확하게 일치하는지 확인하십시오. 주소가 일치하지 않을 경우 작업을 중지하고 cloudhsm_mgmt_util 실행 준비 절차의 모든 단계를 수행합니다.

클러스터의 HSM의 ENI IP 주소를 가져오려면 DescribeClusters 작업, describe-clusters 명령 또는 Get-HSM2Cluster PowerShell cmdlet을 사용할 수 있습니다.

aws-cloudhsm>loginHSM CO admin <password> loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11) loginHSM success on server 2(10.0.1.12)

다음은 loginHSM 명령의 구문을 보여 줍니다.

aws-cloudhsm>loginHSM <user type> <user name> <password>

HSM에서 로그아웃

logoutHSM 명령을 사용하여 HSM에서 로그아웃합니다.

aws-cloudhsm>logoutHSM logoutHSM success on server 0(10.0.2.9) logoutHSM success on server 1(10.0.3.11) logoutHSM success on server 2(10.0.1.12)

cloudhsm_mgmt_util 중지

quit 명령을 사용하여 cloudhsm_mgmt_util을 중지합니다.

aws-cloudhsm>quit disconnecting from servers, please wait...

복제된 클러스터 간에 cloudhsm_mgmt_util 사용

경우에 따라 cloudhsm_mgmt_util을 사용하여 복제된 클러스터 간에 변경 내용을 동기화합니다. 그러려면 동기화할 HSM을 지정하는 새 cloudhsm_mgmt_util 구성 파일을 수동으로 생성해야 합니다. 이 예제에서는 현재 구성 파일(/opt/cloudhsm/etc/cloudhsm_mgmt_config.cfg)의 복사본을 만들고 복사본 이름을 syncConfig.cfg로 변경합니다.

동기화할 HSM의 ENI(탄력적 네트워크 인터페이스) IP를 포함하도록 syncConfig.cfg를 편집합니다. 소스 HSM을 먼저 지정하고 나서 대상 HSM을 지정하는 것이 좋습니다. HSM의 ENI IP를 찾으려면 AWS CloudHSM 구성 파일 업데이트 단원을 참조하십시오.

다음 명령을 실행하여 cloudhsm_mgmt_util을 새 구성 파일로 초기화합니다.

aws-cloudhsm> /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/userSync.cfg

반환된 상태 메시지를 보고 cloudhsm_mgmt_util이 필요한 모든 HSM에 연결되었는지 확인하고 반환된 ENI IP 중에서 각 클러스터에 해당하는 것이 어느 것인지 알아봅니다.

HSM이나 클러스터 동기화를 마치면 cloudhsm_mgmt_util을 원래 구성 파일로 초기화합니다.

aws-cloudhsm> /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_config.cfg