클라이언트 SDK를 클러스터에 AWS CloudHSM 연결 - AWS CloudHSM
발급 인증서를 각 EC2 인스턴스에 배치합니다.인증서의 위치를 지정합니다.Client SDK 부트스트랩합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클라이언트 SDK를 클러스터에 AWS CloudHSM 연결

Client SDK 5 또는 Client SDK 3을 사용하여 클러스터에 연결하기 위해 먼저 다음 두 가지 작업을 수행해야 합니다.

  • EC2 인스턴스에 발급 인증서가 있습니다

  • Client SDK를 클러스터로 부트스트랩합니다.

발급 인증서를 각 EC2 인스턴스에 배치합니다.

클러스터를 초기화할 때 발급 인증서를 생성합니다. 클러스터에 연결하는 각 EC2 인스턴스의 플랫폼 기본 위치에 발급 인증서를 복사합니다.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

인증서의 위치를 지정합니다.

Client SDK 5에서는 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

PKCS #11 library
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Windows용 Client SDK 5에 발급 인증서 배치

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Windows용 Client SDK 5에 발급 인증서 배치

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Windows용 Client SDK 5에 발급 인증서 배치

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

자세한 내용은 구성 도구를 참조하십시오.

클러스터 초기화 또는 인증서 생성 및 서명에 대한 자세한 내용은 클러스터 초기화를 참조하십시오.

Client SDK 부트스트랩합니다.

부트스트랩 프로세스는 사용 중인 Client SDK 버전에 따라 다르지만 클러스터에 있는 하드웨어 보안 모듈(HSM) 중 하나의 IP 주소가 있어야 합니다. 클러스터에 연결된 모든 HSM의 IP 주소를 사용할 수 있습니다. Client SDK가 연결되면 추가 HSM의 IP 주소를 찾아내고 로드 밸런싱 및 클라이언트측 키 동기화 작업을 수행합니다.

HSM의 IP 주소를 가져오려면 (콘솔)

  1. https://console.aws.amazon.com/cloudhsm/home 에서 AWS CloudHSM 콘솔을 엽니다.

  2. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.

  3. 클러스터 세부 정보 페이지를 열려면 클러스터 테이블에서 클러스터 ID를 선택합니다.

  4. IP 주소를 가져오려면 HSM 탭에서 ENI IP 주소 아래에 나열된 IP 주소 중 하나를 선택합니다.

HSM의 IP 주소를 가져오려면 ()AWS CLI

  • AWS CLI의 describe-clusters 명령을 사용하여 HSM의 IP 주소를 가져옵니다. 명령의 출력에서 HSM의 IP 주소는 EniIp의 값입니다. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

부트스트래핑에 대한 자세한 내용은 구성 도구를 참조하십시오.

PKCS #11 library
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Client SDK 5용 Windows EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Client SDK 5용 Windows EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Client SDK 5용 Windows EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
참고

-a <HSM_IP_ADDRESSES> 대신 –-cluster-id 파라미터를 사용할 수 있습니다. –-cluster-id 사용 요구 사항을 보려면 클라이언트 SDK 5 구성 도구 단원을 참조하십시오.

Client SDK 3용 Linux EC2 인스턴스 부트스트랩

  • configure클러스터에 있는 HSM의 IP 주소를 지정하는 데 사용합니다.

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Client SDK 3용 Windows EC2 인스턴스 부트스트랩

  • configure클러스터에 있는 HSM의 IP 주소를 지정하는 데 사용합니다.

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

구성에 대한 자세한 내용은 구성 도구 단원을 참조하십시오.