클러스터 생성 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클러스터 생성

클러스터는 개별 HSM의 모음입니다. AWS CloudHSM 각 클러스터의 HSM을 동기화하여 논리적 단위로 작동하도록 합니다. AWS CloudHSM hsm1.medium과 hsm2m.medium이라는 두 가지 유형의 HSM을 제공합니다. 클러스터를 생성할 때 두 클러스터 중 어느 것을 클러스터에 포함할지 선택합니다. 각 HSM 유형과 클러스터 모드 간의 차이점에 대한 자세한 내용은 을 참조하십시오AWS CloudHSM 클러스터 모드 및 HSM 유형.

클러스터를 생성할 때 사용자 대신 클러스터의 보안 그룹을 AWS CloudHSM 생성합니다. 이 보안 그룹은 클러스터의 HSM에 대한 네트워크 액세스를 제어합니다. 보안 그룹에 있는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서만 인바운드 연결을 허용합니다. 기본적으로 해당 보안 그룹은 어떠한 인스턴스도 포함하지 않습니다. 나중에 클라이언트 인스턴스를 시작하고 클러스터의 보안 그룹을 구성하여 HSM과의 통신 및 연결을 허용합니다.

중요

클러스터를 생성하면 라는 서비스 연결 역할이 AWS CloudHSM 생성됩니다. AWSServiceRoleForCloudHSM 역할을 생성할 AWS CloudHSM 수 없거나 역할이 아직 없는 경우 클러스터를 생성하지 못할 수 있습니다. 자세한 정보는 클러스터 생성 실패 해결을 참조하세요. 서비스 연결 역할에 대한 자세한 내용은 서비스 연결 역할은 다음과 같습니다. AWS CloudHSM 단원을 참조하십시오.

AWS CloudHSM 콘솔, AWS CLI(AWS Command Line Interface ) 또는 AWS CloudHSM API에서 클러스터를 생성할 수 있습니다.

참고

클러스터 인수 및 API에 대한 자세한 내용은 AWS CLI 명령 참조를 참조하십시오 create-cluster.

클러스터(콘솔) 생성

  1. https://console.aws.amazon.com/cloudhsm/home 에서 AWS CloudHSM 콘솔을 엽니다.

  2. 탐색 표시줄에서 지역 선택기를 사용하여 현재 지원되는AWS 지역 AWS CloudHSM 중 하나를 선택합니다.

  3. 클러스터 생성을 선택합니다.

  4. 클러스터 구성 단원에서 다음을 수행합니다.

    1. VPC의 경우, Virtual Private Cloud(VPC) 생성에서 앞서 생성한 VPC를 선택합니다.

    2. 가용 영역의 각 가용 영역 옆에서 생성된 프라이빗 서브넷을 선택합니다.

      참고

      특정 가용 영역에서 AWS CloudHSM 지원되지 않더라도 클러스터의 모든 HSM에서 AWS CloudHSM 자동으로 로드 밸런싱되므로 성능에 영향을 미치지 않아야 합니다. 가용 AWS CloudHSM 영역 지원을 AWS 일반 참조보려면 의 지역 및 엔드포인트를 참조하십시오. AWS CloudHSM

    3. HSM 유형의 경우 클러스터에서 생성할 수 있는 HSM 유형과 원하는 클러스터 모드를 선택합니다. 각 지역에서 지원되는 HSM 유형을 확인하려면 AWS CloudHSM 요금 계산기 를 참조하십시오.

      중요

      클러스터를 생성한 후에는 HSM 유형과 클러스터 모드를 변경할 수 없습니다. 사용 사례에 적합한 유형 및 모드에 대한 자세한 내용은 을 참조하십시오AWS CloudHSM 클러스터 모드 및 HSM 유형.

    4. 클러스터 소스의 경우 새 클러스터를 생성할지 기존 백업에서 복원할지를 지정합니다.

      • 비 FIPS 모드의 클러스터 백업은 비 FIPS 모드에 있는 클러스터를 복원하는 데만 사용할 수 있습니다.

      • FIPS 모드의 클러스터 백업은 FIPS 모드에 있는 클러스터를 복원하는 데만 사용할 수 있습니다.

  5. 다음을 선택합니다.

  6. 서비스에서 백업을 보존해야 하는 기간을 지정하십시오.

    참고

    기본 보존 기간인 90일을 그대로 사용하거나 7일에서 379일 사이의 새 값을 입력합니다. 이 서비스는 여기에 지정한 값보다 오래된 이 클러스터의 백업을 자동으로 삭제합니다. 나중에 변경할 수 있습니다. 자세한 내용은 백업 보존 정책 구성 단원을 참조하십시오.

  7. 다음을 선택합니다.

  8. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 클러스터에 두 개 이상의 태그를 추가하려면 태그 추가를 선택합니다.

  9. 검토를 선택합니다.

  10. 클러스터 구성을 검토한 다음 클러스터 생성을 선택합니다.

클러스터 생성 방법(AWS CLI​​​)

  • 명령 프롬프트에서 create-cluster 명령을 실행합니다. HSM 인스턴스 유형, 백업 보존 기간 및 HSM을 생성할 서브넷의 서브넷 ID를 지정합니다. 생성된 프라이빗 서브넷의 서브넷 ID를 사용합니다. 가용 영역당 하나의 서브넷만 지정합니다.

    $ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID>

{
    "Cluster": {
        "BackupPolicy": "DEFAULT",
        "BackupRetentionPolicy": {
            "Type": "DAYS",
            "Value": 90
         },
        "VpcId": "vpc-50ae0636",
        "SubnetMapping": {
            "us-west-2b": "subnet-49a1bc00",
            "us-west-2c": "subnet-6f950334",
            "us-west-2a": "subnet-fd54af9b"
        },
        "SecurityGroup": "sg-6cb2c216",
        "HsmType": "hsm1.medium",
        "Certificates": {},
        "State": "CREATE_IN_PROGRESS",
        "Hsms": [],
        "ClusterId": "cluster-igklspoyj5v",
        "ClusterMode": "FIPS",
        "CreateTimestamp": 1502423370.069
    }
}
    참고

    ClusterMode지정하지 않을 경우 FIPS 모드가 기본값입니다. 비 FIPS 클러스터를 생성하려면 다음 파라미터를 포함해야 합니다. --mode 

    $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
  				--backup-retention-policy Type=DAYS,Value=<number of days> \
  				--subnet-ids <subnet ID> \
				--mode NON_FIPS
클러스터 (AWS CloudHSM API) 를 만들려면

  • CreateCluster 요청을 보냅니다. HSM 인스턴스 유형, 백업 보존 정책, HSM을 생성할 서브넷의 서브넷 ID를 지정합니다. 생성된 프라이빗 서브넷의 서브넷 ID를 사용합니다. 가용 영역당 하나의 서브넷만 지정합니다.

클러스터 생성 시도가 실패할 경우 AWS CloudHSM 서비스 연결 역할에 문제가 있는 것일 수 있습니다. 실패 해결에 도움을 받으려면 클러스터 생성 실패 해결 단원을 참조하십시오.