AWS CloudHSM 클러스터 관리 - AWS CloudHSM
클러스터 아키텍처클러스터 동기화클러스터 고가용성 및 로드 밸런싱

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 클러스터 관리

AWS CloudHSM 콘솔이나AWS SDK 또는 명령줄 도구 중 하나에서 AWS CloudHSM 클러스터를 관리할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.

클러스터를 생성하려면 시작하기 단원을 참조하십시오.

클러스터 아키텍처

클러스터를 생성할 때 AWS 계정에 Amazon VPC (Virtual Private Cloud) 를 지정하고 해당 VPC에 하나 이상의 서브넷을 지정합니다. 선택한 지역의 각 가용 영역 (AZ) 에 서브넷을 하나씩 생성하는 것이 좋습니다. AWS VPC를 생성할 때 프라이빗 서브넷을 생성할 수 있습니다. 자세한 내용은 Virtual Private Cloud(VPC) 생성 단원을 참조하십시오.

HSM을 생성할 때마다 HSM에 대한 클러스터 및 가용 영역을 지정합니다. 서로 다른 가용 영역에 HSM을 배치하면 하나의 가용 영역을 사용할 수 없는 경우 중복성과 고가용성을 얻을 수 있습니다.

HSM을 생성할 때 계정의 지정된 서브넷에 ENI (Elastic Network Interface) 를 AWS CloudHSM 배치합니다. AWS 탄력적 네트워크 인터페이스는 HSM과의 상호 작용을 위한 인터페이스입니다. HSM은 소유한 AWS 계정의 별도 VPC에 있습니다. AWS CloudHSM HSM 및 해당 네트워크 인터페이스는 동일한 가용 영역에 있습니다.

클러스터의 HSM과 상호 작용하려면 클라이언트 소프트웨어가 필요합니다. AWS CloudHSM 일반적으로 클라이언트는 Amazon EC2 인스턴스에 설치합니다. 이 인스턴스는 다음 그림에 나와 있는 것처럼 HSM ENI와 동일한 VPC에 있는 클라이언트 인스턴스입니다. 기술적으로 반드시 여기에 설치해야 하는 것은 아니며, HSM ENI에 연결할 수 있다면 다른 호환 컴퓨터에 클라이언트를 설치해도 됩니다. 클라이언트는 클러스터의 개별 HSM과 해당 ENI를 통해 통신합니다.

다음 그림은 각각 VPC의 서로 다른 가용 영역에 있는 세 개의 HSM이 있는 AWS CloudHSM 클러스터를 나타냅니다.

세 개의 HSM이 있는 AWS CloudHSM 클러스터의 아키텍처.

클러스터 동기화

AWS CloudHSM 클러스터에서는 개별 HSM의 키를 동기화된 AWS CloudHSM 상태로 유지합니다. HSM의 키를 동기화하기 위해 아무 작업도 수행할 필요 없습니다. 각 HSM의 사용자와 정책을 동기화된 상태로 유지하려면 HSM 사용자를 관리하기 전에 AWS CloudHSM 클라이언트 구성 파일을 업데이트하십시오. 자세한 정보는 HSM 사용자의 동기화 유지을 참조하세요.

클러스터에 새 HSM을 추가하면 기존 HSM의 모든 키, 사용자, 정책을 백업합니다. AWS CloudHSM 그런 다음 새 HSM에서 백업을 복원합니다. 이렇게 하면 두 HSM이 동기화 상태로 유지됩니다.

클러스터의 HSM이 동기화되지 않는 경우 HSM을 AWS CloudHSM 자동으로 재동기화합니다. 이를 활성화하려면 어플라이언스 사용자의 자격 증명을 AWS CloudHSM 사용합니다. 이 사용자는 에서 제공하는 모든 HSM에 AWS CloudHSM 존재하며 제한된 권한을 가집니다. HSM에서 객체의 해시를 가져올 수 있으며, 마스킹 처리된(암호화된) 객체를 추출하고 삽입할 수 있습니다. AWS 는 사용자 또는 키를 보거나 수정할 수 없으며 해당 키를 사용하여 암호화 작업을 수행할 수 없습니다.

클러스터 고가용성 및 로드 밸런싱

두 개 이상의 HSM으로 AWS CloudHSM 클러스터를 생성하면 자동으로 부하 분산이 이루어집니다. 로드 밸런싱은 AWS CloudHSM 클라이언트가 추가 처리를 위해 각 HSM의 용량을 기준으로 클러스터의 모든 HSM에 대해 암호화 작업을 배포한다는 것을 의미합니다.

서로 다른 가용 영역에 HSM을 생성하면 자동으로 AWS 고가용성이 확보됩니다. 고가용성은 개별 HSM이 단일 장애 지점이 아니기 때문에 더 높은 안정성을 얻는다는 것을 의미합니다. 각 클러스터에는 최소 두 개의 HSM을 설치하고 각 HSM은 지역 내 서로 다른 가용 영역에 두는 것이 좋습니다. AWS

예를 들어 다음 그림은 2개 가용 영역에 분산된 Oracle 데이터베이스 애플리케이션을 보여 줍니다. 데이터베이스 인스턴스는 각 가용 영역에 HSM이 포함된 클러스터에 마스터 키를 저장합니다. AWS CloudHSM 키를 두 HSM에 자동으로 동기화하여 두 HSM에 즉시 액세스하고 중복되도록 합니다.

고가용성을 위해 애플리케이션과 AWS CloudHSM 클러스터를 두 가용 영역에 배포합니다.