AWS CloudHSM
사용 설명서

HSM 사용자

HSM에서 수행하는 대부분의 작업에는 HSM 사용자의 자격 증명이 필요합니다. HSM은 사용자 이름과 암호로 각 HSM 사용자를 인증합니다.

각 HSM 사용자에게는 사용자가 HSM에서 수행할 수 있는 작업을 확인하는 유형이 있습니다. 다음 주제에서는 HSM 사용자의 유형에 대해 설명합니다.

PRECO(Precrypto Officer)

PRECO(Precrypto Officer)는 AWS CloudHSM 클러스터의 첫 번째 HSM에만 존재하는 임시 사용자입니다. 새 클러스터의 최초 HSM에는 기본 사용자 이름과 암호를 가진 PRECO 사용자가 포함됩니다. 클러스터를 활성화하려면 HSM에 로그인하여 PRECO 사용자 암호를 변경합니다. 암호를 변경하면 PRECO 사용자가 CO(Crypto Officer)가 됩니다. PRECO 사용자는 자체 암호만 변경할 수 있으며 HSM에서 읽기 전용 작업을 수행할 수 있습니다.

CO(Crypto Officer)

CO(Crypto Officer)는 사용자 관리 작업을 수행할 수 있습니다. 예를 들어 CO는 사용자를 생성 및 삭제하고 사용자 암호를 변경할 수 있습니다. 자세한 내용은 HSM 사용자 권한 테이블 단원을 참조하십시오. 새 클러스터를 활성화하면 사용자가 PRECO(Precrypto Officer)에서 CO(Crypto Officer)로 바뀝니다.

CU(Crypto User)

CU(Crypto User)는 다음 키 관리 및 암호화 작업을 수행할 수 있습니다.

  • 키 관리 – 암호화 키 생성, 삭제, 공유, 가져오기 및 내보내기

  • 암호화 작업 – 암호화, 암호화 해제, 서명, 확인 등에 암호화 키 사용

자세한 내용은 HSM 사용자 권한 테이블 단원을 참조하십시오.

AU(어플라이언스 사용자)

AU(어플라이언스 사용자)는 복제 및 동기화 작업을 수행할 수 있습니다. AWS CloudHSM는 AU를 사용하여 AWS CloudHSM 클러스터에서 HSM을 동기화합니다. AU는 AWS CloudHSM이 제공하는 모든 HSM에 존재하며 제한된 권한을 가집니다. 자세한 내용은 HSM 사용자 권한 테이블 단원을 참조하십시오.

AWS는 AU를 사용하여 클러스터의 HSM에서 복제 및 동기화 작업을 수행합니다. AWS는 AU와 인증되지 않은 사용자에게 부여된 권한을 제외하고 HSM에서 어떤 작업도 수행할 수 없습니다. AWS는 사용자 또는 키를 보거나 수정할 수 없으며 해당 키를 사용하여 암호화 작업을 수행할 수 없습니다.

HSM 사용자 권한 테이블

다음 표에서는 HSM 작업 및 각 유형의 HSM 사용자가 해당 작업을 수행할 수 있는지 여부를 나열합니다.

CO(Crypto Officer) CU(Crypto User) AU(어플라이언스 사용자) 인증되지 않은 사용자
기본 클러스터 정보 가져오기¹
HSM 초기화²
자체 암호 변경 해당 사항 없음
사용자의 암호 변경 아니요 아니요 아니요
사용자 추가 및 제거 아니요 아니요 아니요
동기화 상태 가져오기³ 아니요
마스킹 처리된 객체 추출 및 삽입⁴ 아니요
키 관리 기능⁵ 아니요 아니요 아니요
암호화 및 암호 해독 아니요 아니요 아니요
서명 및 확인 아니요 아니요 아니요
다이제스트 및 HMAC 생성 아니요 아니요 아니요

¹기본 클러스터 정보에는 클러스터의 HSM 수와 각 HSM의 IP 주소, 모델, 일련 번호, 디바이스 ID, 펌웨어 ID 등이 포함됩니다.

²HSM이 초기화되면 HSM의 모든 키, 인증서 및 기타 데이터가 삭제됩니다. 클러스터의 보안 그룹을 사용하여 인증되지 않은 사용자가 HSM을 초기화하지 못하게 방지할 수 있습니다. 자세한 내용은 클러스터 생성 단원을 참조하십시오.

³사용자는 HSM의 키에 해당하는 다이제스트(해시) 집합을 얻을 수 있습니다. 애플리케이션은 이러한 다이제스트 세트를 비교해서 클러스터에서 HSM의 동기화 상태를 파악할 수 있습니다.

⁴마스킹 처리된 객체는 HSM을 떠나기 전에 암호화가 되는 키입니다. HSM 밖에서는 암호를 해독할 수 없습니다. 키가 추출된 HSM과 같은 클러스터에 있는 HSM에 삽입된 후에만 암호가 해독됩니다. 애플리케이션은 마스킹 처리된 객체를 추출 및 삽입하여 클러스터에서 HSM을 동기화할 수 있습니다.

⁵키 관리 함수에는 키 속성 생성, 삭제, 래핑, 언래핑, 수정이 포함됩니다.