AWS CloudHSM 클러스터 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 클러스터

AWS CloudHSM은 클러스터에 HSM(하드웨어 보안 모듈)을 제공합니다. 클러스터는 AWS CloudHSM이 동기화 상태로 유지하는 개별 HSM 모음입니다. 클러스터를 하나의 논리적 HSM으로 생각할 수 있습니다. 클러스터에서 하나의 HSM에 대해 과업 또는 작업을 수행하면 해당 클러스터의 다른 HSM이 자동으로 최신 상태로 유지됩니다.

1 ~ 28개의 HSM이 포함된 클러스터를 생성할 수 있습니다(HSM의 기본 한도는 각 AWS 리전의 AWS 계정당 6개). HSM을 AWS 리전의 다른 가용 영역에 배치할 수 있습니다. 클러스터에 더 많은 HSM을 추가하면 성능이 향상됩니다. 가용 영역에 클러스터를 분산하면 중복성 및 고가용성이 제공됩니다.

개별 HSM이 가용성이 뛰어난 동기화된 중복 클러스터에서 함께 작동하도록 만드는 것은 어려울 수 있지만, AWS CloudHSM은 획일적이고 과중한 업무 부담을 제거합니다. 클러스터에서 HSM을 추가 및 제거할 수 있으며, AWS CloudHSM에서 HSM을 연결 및 동기화된 상태로 유지할 수 있습니다.

클러스터를 생성하려면 시작하기 단원을 참조하십시오.

클러스터에 대한 자세한 내용은 다음 주제를 참조하십시오.

클러스터 아키텍처

클러스터를 생성할 때 Amazon Virtual Private Cloud (VPC) 를AWS계정과 서브넷을 하나 이상 사용할 수 있습니다. 선택한 AWS 리전의 각 AZ(가용 영역)마다 서브넷 하나를 생성하는 것이 좋습니다. 자세한 방법은 프라이빗 서브넷 생성 단원을 참조하십시오.

HSM을 생성할 때마다 HSM에 대한 클러스터 및 가용 영역을 지정합니다. 서로 다른 가용 영역에 HSM을 배치하면 하나의 가용 영역을 사용할 수 없는 경우 중복성과 고가용성을 얻을 수 있습니다.

HSM 생성 시 AWS CloudHSM은 AWS 계정의 지정된 서브넷에 ENI(탄력적 네트워크 인터페이스)를 지정합니다. 탄력적 네트워크 인터페이스는 HSM과의 상호 작용을 위한 인터페이스입니다. HSM은 AWS CloudHSM 소유의 AWS 계정에 있는 별도의 VPC에 속합니다. HSM 및 해당 네트워크 인터페이스는 동일한 가용 영역에 있습니다.

클러스터에서 HSM과 상호 작용하려면 AWS CloudHSM 클라이언트 소프트웨어가 필요합니다. 일반적으로 Amazon EC2 인스턴스에 클라이언트를 설치합니다.클라이언트 인스턴스에 있는 이 인스턴스는 다음 그림에 나와 있는 것처럼 HSM ENI와 동일한 VPC 있는 것입니다. 기술적으로 반드시 여기에 설치해야 하는 것은 아니며, HSM ENI에 연결할 수 있다면 다른 호환 컴퓨터에 클라이언트를 설치해도 됩니다. 클라이언트는 클러스터의 개별 HSM과 해당 ENI를 통해 통신합니다.

다음 그림은 각각 VPC의 서로 다른 가용 영역에 있는 세 개의 HSM을 가진 AWS CloudHSM 클러스터를 나타냅니다.


        의 아키텍처AWS CloudHSM클러스터에 세 개의 HSM이 있는

클러스터 동기화

AWS CloudHSM 클러스터에서 AWS CloudHSM은 개별 HSM의 키를 동기화 상태로 유지합니다. HSM의 키를 동기화하기 위해 아무 작업도 수행할 필요 없습니다. 각 HSM의 사용자 및 정책을 동기화 상태로 유지하려면AWS CloudHSM클라이언트 구성 파일HSM 사용자 관리. 자세한 내용은 HSM 사용자의 동기화 유지 단원을 참조하세요.

클러스터에 새 HSM을 추가하면 AWS CloudHSM은 기존 HSM의 모든 키, 사용자 및 정책을 백업합니다. 그런 다음 새 HSM에서 백업을 복원합니다. 이렇게 하면 두 HSM이 동기화 상태로 유지됩니다.

클러스터의 HSM이 동기화되지 않을 경우 AWS CloudHSM은 HSM을 자동으로 다시 동기화합니다. 이를 활성화하기 위해 AWS CloudHSM은 어플라이언스 사용자의 자격 증명을 사용합니다. 이 사용자는 AWS CloudHSM이 제공하는 모든 HSM에 존재하며 제한된 권한을 가집니다. HSM에서 객체의 해시를 가져올 수 있으며, 마스킹 처리된(암호화된) 객체를 추출하고 삽입할 수 있습니다. AWS는 사용자 또는 키를 보거나 수정할 수 없으며 해당 키를 사용하여 암호화 작업을 수행할 수 없습니다.

클러스터 고가용성 및 로드 밸런싱

둘 이상의 HSM이 있는 AWS CloudHSM 클러스터를 생성하면 로드 밸런싱이 자동으로 부여됩니다. 로드 밸런싱은 AWS CloudHSM 클라이언트가 추가 처리를 위해 각 HSM의 용량을 기준으로 클러스터의 모든 HSM에 대해 암호화 작업을 배포한다는 것을 의미합니다.

서로 다른 AWS 가용 영역에서 HSM을 생성하면 자동으로 고가용성을 얻습니다. 고가용성은 개별 HSM이 단일 장애 지점이 아니기 때문에 더 높은 안정성을 얻는다는 것을 의미합니다. AWS 리전 내의 서로 다른 가용 영역에 있는 각 HSM을 통해 클러스터마다 최소 2개의 HSM을 보유하는 것이 좋습니다.

예를 들어 다음 그림은 2개 가용 영역에 분산된 Oracle 데이터베이스 애플리케이션을 보여 줍니다. 데이터베이스 인스턴스는 각 가용 영역에서 HSM을 포함하는 클러스터에 마스터 키를 저장합니다. AWS CloudHSM은 키를 즉각 액세스할 수 있고 중복이 유지되도록 자동으로 키를 양쪽 HSM과 동기화합니다.


        애플리케이션 및AWS CloudHSM클러스터가 두 가용 영역에 배포되어 가용성을 높일 수 있습니다.