클러스터 보안 그룹 검토하기

클러스터를 생성할 때 AWS CloudHSM에서 이름이 cloudhsm-cluster-clusterID-sg인 보안 그룹을 만듭니다. 이 보안 그룹에는 포트 2223-2225를 통해 클러스터 보안 그룹 내에서 인바운드 및 아웃바운드 통신을 허용하는 사전 구성 TCP 규칙이 있습니다. 이 SG를 사용하면 EC2 인스턴스가 VPC를 사용하여 클러스터의 HSM과 통신할 수 있습니다.

주의

• 클러스터 보안 그룹에 채워진 사전 구성 TCP 규칙을 삭제하거나 수정하지 마십시오. 이 규칙으로 HSM 무단 액세스 및 연결 문제를 방지할 수 있습니다.

• 클러스터 보안 그룹은 HSM에 대한 무단 액세스를 방지합니다. 보안 그룹의 인스턴스에 액세스할 수 있는 사용자는 누구나 HSM에 액세스할 수 있습니다. 대부분의 작업에서 사용자가 HSM에 로그인해야 합니다. 하지만 인증 없이 HSM을 초기화하면 키 자료, 인증서 및 기타 데이터가 삭제될 수 있습니다. 이 경우 가장 최근에 백업한 후에 생성되거나 수정된 데이터는 손실되며 복구할 수 없습니다. 무단 액세스를 방지하려면 신뢰할 수 있는 관리자만 기본 보안 그룹에 있는 인스턴스를 수정하거나 액세스할 수 있게 하십시오.

다음 단계에서는 Amazon EC2 인스턴스를 시작하고 클러스터 보안 그룹을 연결하여 이 인스턴스를 HSM에 연결할 수 있습니다.