AWS CloudHSM 클러스터 관리 - AWS CloudHSM
클러스터 아키텍처클러스터 동기화클러스터 고가용성 및 로드 밸런싱

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 클러스터 관리

AWS CloudHSM 콘솔이나AWS SDK 또는 명령줄 도구 중 하나에서 AWS CloudHSM 클러스터를 관리할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.

클러스터를 생성하려면 시작하기 단원을 참조하십시오.

클러스터 아키텍처

클러스터를 생성할 때 AWS 계정에 Amazon VPC (Virtual Private Cloud) 를 지정하고 해당 VPC에 하나 이상의 서브넷을 지정합니다. 선택한 지역의 각 가용 영역 (AZ) 에 서브넷을 하나씩 생성하는 것이 좋습니다. AWS VPC를 생성할 때 프라이빗 서브넷을 생성할 수 있습니다. 자세한 내용은 Virtual Private Cloud(VPC) 생성 단원을 참조하십시오.

HSM을 생성할 때마다 HSM에 대한 클러스터 및 가용 영역을 지정합니다. 서로 다른 가용 영역에 HSM을 배치하면 하나의 가용 영역을 사용할 수 없는 경우 중복성과 고가용성을 얻을 수 있습니다.

HSM을 생성할 때 계정의 지정된 서브넷에 ENI (Elastic Network Interface) 를 AWS CloudHSM 배치합니다. AWS 탄력적 네트워크 인터페이스는 HSM과의 상호 작용을 위한 인터페이스입니다. HSM은 소유한 AWS 계정의 별도 VPC에 있습니다. AWS CloudHSM HSM 및 해당 네트워크 인터페이스는 동일한 가용 영역에 있습니다.

클러스터의 HSM과 상호 작용하려면 클라이언트 소프트웨어가 필요합니다. AWS CloudHSM 일반적으로 클라이언트는 Amazon EC2 인스턴스에 설치합니다. 이 인스턴스는 다음 그림에 나와 있는 것처럼 HSM ENI와 동일한 VPC에 있는 클라이언트 인스턴스입니다. 기술적으로 반드시 여기에 설치해야 하는 것은 아니며, HSM ENI에 연결할 수 있다면 다른 호환 컴퓨터에 클라이언트를 설치해도 됩니다. 클라이언트는 클러스터의 개별 HSM과 해당 ENI를 통해 통신합니다.

다음 그림은 각각 VPC의 서로 다른 가용 영역에 있는 세 개의 HSM이 있는 AWS CloudHSM 클러스터를 나타냅니다.

HSM이 3개인 AWS CloudHSM 클러스터의 아키텍처.

클러스터 동기화

AWS CloudHSM 클러스터에서는 개별 HSM의 키를 동기화된 AWS CloudHSM 상태로 유지합니다. HSM의 키를 동기화하기 위해 아무 작업도 수행할 필요 없습니다. 각 HSM의 사용자와 정책을 동기화된 상태로 유지하려면 HSM 사용자를 관리하기 전에 AWS CloudHSM 클라이언트 구성 파일을 업데이트하십시오. 자세한 정보는 HSM 사용자의 동기화 유지을 참조하세요.

클러스터에 새 HSM을 추가하면 기존 HSM의 모든 키, 사용자, 정책을 백업합니다. AWS CloudHSM 그런 다음 새 HSM에서 백업을 복원합니다. 이렇게 하면 두 HSM이 동기화 상태로 유지됩니다.

클러스터의 HSM이 동기화되지 않는 경우 HSM을 AWS CloudHSM 자동으로 재동기화합니다. 이를 활성화하려면 어플라이언스 사용자의 자격 증명을 AWS CloudHSM 사용합니다. 이 사용자는 에서 제공하는 모든 HSM에 AWS CloudHSM 존재하며 제한된 권한을 가집니다. HSM에서 객체의 해시를 가져올 수 있으며, 마스킹 처리된(암호화된) 객체를 추출하고 삽입할 수 있습니다. AWS 는 사용자 또는 키를 보거나 수정할 수 없으며 해당 키를 사용하여 암호화 작업을 수행할 수 없습니다.

클러스터 고가용성 및 로드 밸런싱

두 개 이상의 HSM으로 AWS CloudHSM 클러스터를 생성하면 자동으로 부하 분산이 이루어집니다. 로드 밸런싱은 AWS CloudHSM 클라이언트가 추가 처리를 위해 각 HSM의 용량을 기준으로 클러스터의 모든 HSM에 대해 암호화 작업을 배포한다는 것을 의미합니다.

서로 다른 가용 영역에 HSM을 생성하면 자동으로 AWS 고가용성이 확보됩니다. 고가용성은 개별 HSM이 단일 장애 지점이 아니기 때문에 더 높은 안정성을 얻는다는 것을 의미합니다. 각 클러스터에는 최소 두 개의 HSM을 설치하고 각 HSM은 지역 내 서로 다른 가용 영역에 두는 것이 좋습니다. AWS

예를 들어 다음 그림은 2개 가용 영역에 분산된 Oracle 데이터베이스 애플리케이션을 보여 줍니다. 데이터베이스 인스턴스는 각 가용 영역에 HSM이 포함된 클러스터에 마스터 키를 저장합니다. AWS CloudHSM 키를 두 HSM에 자동으로 동기화하여 두 HSM에 즉시 액세스하고 중복되도록 합니다.

고가용성을 위해 애플리케이션과 AWS CloudHSM 클러스터를 두 가용 영역에 배포합니다.