클라이언트 SDK 5 구성 도구 - AWS CloudHSM
구문고급 구성예제파라미터관련 주제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클라이언트 SDK 5 구성 도구

클라이언트 SDK 5 구성 도구를 사용하여 클라이언트측 구성 파일을 업데이트하세요.

클라이언트 SDK 5의 각 구성 요소에는 구성 도구의 파일 이름에 구성 요소 표기가 있는 구성 도구가 포함되어 있습니다. 예를 들어 클라이언트 SDK 5용 PKCS #11 라이브러리에는 Linux에는 configure-pkcs11 또는 Windows에는 configure-pkcs11.exe라는 구성 도구가 포함되어 있습니다.

구문

PKCS #11
configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11
OpenSSL
configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]
JCE
configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]
CloudHSM CLI
configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

고급 구성

클라이언트 SDK 5 구성 도구와 관련된 고급 구성 목록은 클라이언트 SDK 5 구성 도구의 고급 구성을 참조하세요.

중요

구성을 변경한 후 애플리케이션을 다시 시작해야 변경 사항이 적용됩니다.

예제

다음 예제에서는 클라이언트 SDK 5용 구성 도구를 사용하는 방법을 보여 줍니다.

이 예제에서는 -a 파라미터를 사용하여 클라이언트 SDK 5 및 HSM 데이터를 업데이트합니다. -a 파라미터를 사용하려면 클러스터에 있는 HSM 중 하나의 IP 주소가 있어야 합니다.

PKCS #11 library
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Client SDK 5용 Windows EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Client SDK 5용 Windows EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Client SDK 5용 Linux EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Client SDK 5용 Windows EC2 인스턴스 부트스트랩

  • 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
참고

-a <HSM_IP_ADDRESSES> 대신 –-cluster-id 파라미터를 사용할 수 있습니다. –-cluster-id 사용 요구 사항을 보려면 클라이언트 SDK 5 구성 도구 단원을 참조하십시오.

-a 파라미터에 대한 자세한 내용은 파라미터을 참조하세요.

이 예제에서는 cluster-id 파라미터를 사용하여 DescribeClusters 호출을 통해 클라이언트 SDK 5를 부트스트랩합니다.

PKCS #11 library
cluster-id를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면

  • 클러스터 ID를 사용하여 cluster-1234567 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
cluster-id를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면

  • 클러스터 ID를 사용하여 cluster-1234567 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
OpenSSL Dynamic Engine
cluster-id를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면

  • 클러스터 ID를 사용하여 cluster-1234567 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
JCE provider
cluster-id를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면

  • 클러스터 ID를 사용하여 cluster-1234567 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
cluster-id를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면

  • 클러스터 ID를 사용하여 cluster-1234567 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
CloudHSM CLI
cluster-id를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면

  • 클러스터 ID를 사용하여 cluster-1234567 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
cluster-id를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면

  • 클러스터 ID를 사용하여 cluster-1234567 클러스터에 있는 HSM의 IP 주소를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567

--region--endpoint 파라미터를 cluster-id 파라미터와 함께 사용하여 시스템에서 DescribeClusters를 호출하는 방식을 지정할 수 있습니다. 예를 들어 클러스터의 리전이 AWS CLI 기본값으로 구성된 리전과 다른 경우 --region 파라미터를 사용하여 해당 리전을 사용해야 합니다. 또한 호출에 사용할 AWS CloudHSM API 엔드포인트를 지정할 수 있습니다. 이는 기본 DNS 호스트 이름을 사용하지 않는 VPC 인터페이스 엔드포인트를 사용하는 등 다양한 네트워크 설정에 필요할 수 있습니다. AWS CloudHSM

PKCS #11 library
사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면

  • 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 지역 및 엔드포인트로 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면

  • 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 지역 및 엔드포인트로 지정합니다.

    
C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
OpenSSL Dynamic Engine
사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면

  • 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 지역 및 엔드포인트로 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
JCE provider
사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면

  • 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 지역 및 엔드포인트로 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면

  • 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 지역 및 엔드포인트로 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
CloudHSM CLI
사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면

  • 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 지역 및 엔드포인트로 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면

  • 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 지역 및 엔드포인트로 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

--cluster-id, --region, --endpoint 파라미터에 대한 자세한 내용은 파라미터 섹션을 참조하십시오.

이 예제에서는 사용자 지정 키와 SSL 인증서를 지정하여 server-client-cert-file--server-client-key-file 매개변수를 사용하여 SSL을 재구성하는 방법을 보여줍니다. AWS CloudHSM

PKCS #11 library
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 구성 도구를 사용하여 ssl-client.crtssl-client.key을 지정합니다. 

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell 인터프리터의 경우 구성 도구를 사용하여 및 을 지정합니다ssl-client.crt. ssl-client.key 

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 구성 도구를 사용하여 ssl-client.crtssl-client.key을 지정합니다. 

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 구성 도구를 사용하여 ssl-client.crtssl-client.key을 지정합니다. 

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell 인터프리터의 경우 구성 도구를 사용하여 및 을 지정합니다ssl-client.crt. ssl-client.key 

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 구성 도구를 사용하여 ssl-client.crtssl-client.key을 지정합니다. 

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. PowerShell 인터프리터의 경우 구성 도구를 사용하여 및 을 지정합니다ssl-client.crt. ssl-client.key 

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

server-client-cert-file--server-client-key-file 파라미터에 대한 자세한 내용은 파라미터 단원을 참조하세요.

이 예제에서는 --disable-key-availability-check 파라미터를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다. 단일 HSM으로 클러스터를 실행하려면 클라이언트 키 내구성 설정을 비활성화해야 합니다.

PKCS #11 library
Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화

  • 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정

  • 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화

  • 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화

  • 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정

  • 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화

  • 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정

  • 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

--disable-key-availability-check 파라미터에 대한 자세한 내용은 파라미터을 참조하세요.

클라이언트 SDK 5는log-file, log-level, log-rotation, log-type 파라미터를 사용하여 로깅을 관리합니다.

참고

AWS Fargate 또는 AWS Lambda와 같은 서버리스 환경에 맞게 SDK를 구성하려면 로그 유형을 로 구성하는 것이 좋습니다. AWS CloudHSM term 클라이언트 로그는 해당 환경에 대해 구성된 로그 CloudWatch 로그 그룹에 stderr 출력되고 캡처됩니다.

PKCS #11 library
기본 로깅 위치

  • 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.

    Linux

    /opt/cloudhsm/run/cloudhsm-pkcs11.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
파일 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info
터미널 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
OpenSSL Dynamic Engine
기본 로깅 위치

  • 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.

    Linux

    stderr
로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
파일 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info
터미널 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
JCE provider
기본 로깅 위치

  • 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.

    Linux

    /opt/cloudhsm/run/cloudhsm-jce.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-level info
파일 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info
터미널 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
CloudHSM CLI
기본 로깅 위치

  • 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.

    Linux

    /opt/cloudhsm/run/cloudhsm-cli.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-level info
파일 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info
터미널 로깅 옵션을 구성하려면
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

log-file, log-level, log-rotation, log-type 파라미터에 대한 자세한 내용은 파라미터 단원을 참조하세요.

이 예제에서는 --hsm-ca-cert 파라미터를 사용하여 클라이언트 SDK 5의 발급 인증서 위치를 업데이트합니다.

PKCS #11 library
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Windows용 Client SDK 5에 발급 인증서 배치

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Windows용 Client SDK 5에 발급 인증서 배치

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Linux용 Client SDK 5에 발급 인증서를 배치하려면

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Windows용 Client SDK 5에 발급 인증서 배치

  • 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

--hsm-ca-cert 파라미터에 대한 자세한 내용은 파라미터 단원을 참조하세요.

파라미터

-a <ENI IP address>

지정된 IP 주소를 클라이언트 SDK 5 구성 파일에 추가합니다. 클러스터에 있는 HSM의 모든 ENI IP 주소를 입력합니다. 이 옵션을 사용하는 방법에 관한 자세한 내용은 클라이언트 SDK 5 부트스트랩을 참조하세요.

필수 항목 여부: 예

-- hsm-ca-cert <customerCA certificate file path>

EC2 클라이언트 인스턴스를 클러스터에 연결하는 데 사용되는 CA(인증 기관) 인증서를 저장하는 디렉터리 경로입니다. 클러스터를 초기화할 때 이 파일을 생성합니다. 기본적으로 시스템은 다음 위치에서 이 파일을 찾습니다.

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

클러스터를 초기화하거나 인증서를 배치하는 방법에 대한 자세한 내용은 발급 인증서를 각 EC2 인스턴스에 배치합니다.클러스터 초기화 단원을 참조하세요.

필수 여부: 아니요

--cluster-id <cluster ID>

클러스터 ID와 연결된 클러스터의 모든 HSM Elastic Network 인터페이스(ENI) IP 주소를 찾기 위해 DescribeClusters를 호출합니다. 시스템이 ENI IP 주소를 AWS CloudHSM 구성 파일에 추가합니다.

참고

퍼블릭 인터넷에 액세스할 수 없는 VPC 내 EC2 인스턴스의 --cluster-id 파라미터를 사용하는 경우 연결할 인터페이스 VPC 엔드포인트를 만들어야 합니다. AWS CloudHSM VPC 엔드포인트에 대한 자세한 내용은 AWS CloudHSM 및 VPC 엔드포인트 섹션을 참조하십시오.

필수 여부: 아니요

--endpoint <endpoint>

AWS CloudHSM 호출에 사용되는 API 엔드포인트를 지정합니다. DescribeClusters 이 옵션은 --cluster-id와 조합하여 설정해야 합니다.

필수 여부: 아니요

--region <region>

클러스터의 지역을 지정합니다. 이 옵션은 --cluster-id와 조합하여 설정해야 합니다.

--region 파라미터를 제공하지 않으면 시스템은 AWS_DEFAULT_REGION 또는 AWS_REGION 환경 변수를 읽으려고 시도하여 리전을 선택합니다. 이러한 변수가 설정되지 않은 경우, 시스템은 사용자가 AWS_CONFIG_FILE 환경 변수에 다른 파일을 지정하지 않는 한 AWS config 파일(일반적으로 ~/.aws/config)의 프로필과 연결된 리전을 확인합니다. 위 항목 중 아무 것도 설정되지 않은 경우 시스템은 us-east-1 리전을 기본값으로 사용합니다.

필수 여부: 아니요

-- server-client-cert-file <client certificate file path>

TLS 클라이언트-서버 상호 인증에 사용되는 클라이언트 인증서의 경로입니다.

클라이언트 SDK 5에 포함된 기본 키 및 SSL/TLS 인증서를 사용하지 않으려는 경우에만 이 옵션을 사용하세요. 이 옵션은 --server-client-key-file와 조합하여 설정해야 합니다.

필수 여부: 아니요

-- server-client-key-file <client key file path>

TLS 클라이언트-서버 상호 인증에 사용되는 클라이언트 키의 경로.

클라이언트 SDK 5에 포함된 기본 키 및 SSL/TLS 인증서를 사용하지 않으려는 경우에만 이 옵션을 사용하세요. 이 옵션은 --server-client-cert-file와 조합하여 설정해야 합니다.

필수 여부: 아니요

--log-level <error | warn | info | debug | trace>

시스템이 로그 파일에 기록해야 하는 최소 로깅 수준을 지정합니다. 각 수준에는 이전 수준이 포함되며, 오류는 최소 수준이고 최대 수준은 추적됩니다. 즉, 오류를 지정하는 경우 시스템은 오류만 로그에 기록합니다. 추적을 지정하면 시스템에서 오류, 경고, 정보(정보) 및 디버그 메시지를 로그에 기록합니다. 자세한 내용은 클라이언트 SDK 5 로깅 단원을 참조하세요.

필수 여부: 아니요

--log-rotation <daily | weekly>

시스템에서 로그를 순환하는 빈도를 지정합니다. 자세한 내용은 클라이언트 SDK 5 로깅 단원을 참조하세요.

필수 여부: 아니요

--log-file <file name with path>

시스템에서 로그 파일을 기록할 위치를 지정합니다. 자세한 내용은 클라이언트 SDK 5 로깅 단원을 참조하세요.

필수 여부: 아니요

--log-type <term | file>

시스템에서 로그를 파일 또는 터미널에 기록할지 여부를 지정합니다. 자세한 내용은 클라이언트 SDK 5 로깅 단원을 참조하세요.

필수 여부: 아니요

-h | --help

도움말을 표시합니다.

필수 여부: 아니요

-v | --version

버전을 표시합니다.

필수 여부: 아니요

--disable-key-availability-check

키 가용성 쿼럼을 비활성화하는 플래그입니다. 이 플래그를 사용하여 키 가용성 쿼럼을 AWS CloudHSM 비활성화해야 함을 나타내며 클러스터의 한 HSM에만 있는 키를 사용할 수 있습니다. 이 플래그를 사용하여 키 가용성 쿼럼을 설정하는 방법에 대한 자세한 내용은 클라이언트 키 내구성 설정 관리 단원을 참조하세요.

필수 여부: 아니요

--enable-key-availability-check

키 가용성 쿼럼을 활성화하는 플래그 이 플래그를 사용하여 키 가용성 쿼럼을 AWS CloudHSM 사용해야 하고 해당 키가 클러스터의 두 HSM에 존재할 때까지 키 사용을 허용하지 않도록 지정하십시오. 이 플래그를 사용하여 키 가용성 쿼럼을 설정하는 방법에 대한 자세한 내용은 클라이언트 키 내구성 설정 관리 단원을 참조하세요.

기본적으로 활성화됩니다.

필수 여부: 아니요

-- -init disable-validate-key-at

초기화 호출을 건너뛰고 후속 호출 시 키에 대한 권한을 확인할 수 있도록 지정하여 성능을 개선합니다. 주의해서 사용하세요.

배경: PKCS #11 라이브러리의 일부 메커니즘은 초기화 호출에서 후속 호출에 키를 사용할 수 있는지 확인하는 멀티파트 작업을 지원합니다. 이를 위해서는 HSM에 대한 확인 호출이 필요하며, 이로 인해 전체 작업에 지연 시간이 늘어납니다. 이 옵션을 사용하면 후속 호출을 비활성화하고 잠재적으로 성능을 개선할 수 있습니다.

필수 여부: 아니요

-- -초기화 enable-validate-key-at

초기화 호출을 사용하여 후속 호출 시 키에 대한 권한을 확인해야 한다고 지정합니다. 이는 기본 옵션입니다. enable-validate-key-at-init를 사용하여 초기화 호출을 일시 중단한 후 다시 시작하는 데 disable-validate-key-at-init를 사용합니다.

필수 여부: 아니요

관련 주제