CloudHSM 관리 유틸리티(CMU)를 통한 HSM 사용자 관리 - AWS CloudHSM
HSM 사용자 이해HSM 사용자 권한 테이블

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudHSM 관리 유틸리티(CMU)를 통한 HSM 사용자 관리

AWS CloudHSM에서는 CloudHSM CLI 또는 CloudHSM 관리 유틸리티 (CMU) 명령줄 도구를 사용하여 HSM에서 사용자를 생성하고 관리해야 합니다. CloudHSM CLI는 최신 SDK와 함께 사용하도록 설계되었으며 CMU는 이전 SDK와 함께 사용하도록 설계되었습니다.

주제

HSM 사용자 이해

HSM에서 수행하는 대부분의 작업에는 HSM 사용자의 보안 인증이 필요합니다. HSM은 각 HSM 사용자를 인증하며, 각 HSM 사용자에게는 해당 사용자로서 HSM에서 수행할 수 있는 작업을 결정하는 유형이 있습니다.

참고

HSM 사용자는 IAM 사용자와 다릅니다. 올바른 자격 증명을 보유한 IAM 사용자는 AWS API를 통해 리소스와 상호 작용하여 HSM을 생성할 수 있습니다. HSM을 생성한 후에는 HSM 사용자 자격 증명을 사용하여 HSM에서의 작업을 인증해야 합니다.

PRESCO(Precrypto Officer)

클라우드 관리 유틸리티 (CMU) 와 키 관리 유틸리티 (KMU) 모두에서 PRECO는 AWS CloudHSM 클러스터의 첫 번째 HSM에만 존재하는 임시 사용자입니다. 새 클러스터의 첫 번째 HSM에는 이 클러스터가 활성화된 적이 없음을 나타내는 PRECO 사용자가 포함되어 있습니다. 클러스터를 활성화하려면 cloudhsm-cli를 실행하고 cluster activate 명령을 실행합니다. HSM에 로그인하고 PRECO 암호를 변경합니다. 암호를 변경하면 이 사용자가 CO(Crypto Officer)가 됩니다.

CO(Crypto Officer)

클라우드 관리 유틸리티(CMU)와 키 관리 유틸리티(KMU) 모두에서 CO(Crypto Officer)는 사용자 관리 작업을 수행할 수 있습니다. 예를 들어, 사용자를 생성 및 삭제하고 사용자 암호를 변경할 수 있습니다. CO 사용자에 대한 자세한 내용은 HSM 사용자 권한 테이블 단원을 참조하십시오. 새 클러스터를 활성화하면 사용자가 PRECO(Precrypto Officer)에서 CO(Crypto Officer)로 바뀝니다.

CU(Crypto User)

CU(Crypto User)는 다음 키 관리 및 암호화 작업을 수행할 수 있습니다.

  • 키 관리 – 암호화 키 생성, 삭제, 공유, 가져오기 및 내보내기

  • 암호화 작업 – 암호화, 암호화 해제, 사인, 확인 등에 암호호화 키 사용

자세한 내용은 HSM 사용자 권한 테이블 단원을 참조하십시오.

AU(Appliance User)

어플라이언스 사용자 (AU) 는 클러스터의 HSM에서 복제 및 동기화 작업을 수행할 수 있습니다. AWS CloudHSM AU를 사용하여 클러스터의 HSM을 동기화합니다. AWS CloudHSM AU는 에서 제공하는 모든 HSM에 AWS CloudHSM존재하며 권한이 제한되어 있습니다. 자세한 내용은 HSM 사용자 권한 테이블을 참조하세요.

AWS HSM에서는 어떤 작업도 수행할 수 없습니다. AWS 사용자 또는 키를 보거나 수정할 수 없으며 해당 키를 사용하여 암호화 작업을 수행할 수 없습니다.

HSM 사용자 권한 테이블

다음 테이블에는 작업을 수행할 수 있는 HSM 사용자 또는 세션 유형별로 정렬된 HSM 작업이 나열되어 있습니다.

CO(Crypto Officer) CU(Crypto User) AU(Appliance User) 인증된 세션
기본 클러스터 정보 가져오기
자체 암호 변경 해당 사항 없음
사용자의 암호 변경 아니요 아니요 아니요
사용자 추가 및 제거 아니요 아니요 아니요
동기화 상태 가져오기 아니요
마스킹 처리된 객체 추출 및 삽입³ 아니요
키 관리 기능⁴ 아니요 아니요 아니요
암호화 및 암호 해독 아니요 아니요 아니요
사인 및 확인 아니요 아니요 아니요
다이제스트 및 HMAC 생성 아니요 아니요 아니요

  • [1] 기본 클러스터 정보에는 클러스터의 HSM 수와 각 HSM의 IP 주소, 모델, 일련 번호, 디바이스 ID, 펌웨어 ID 등이 포함됩니다.

  • [2] 사용자는 HSM의 키에 해당하는 다이제스트(해시) 집합을 얻을 수 있습니다. 애플리케이션은 이러한 다이제스트 세트를 비교해서 클러스터에서 HSM의 동기화 상태를 파악할 수 있습니다.

  • [3] 마스킹 처리된 객체는 HSM을 떠나기 전에 암호화가 되는 키입니다. HSM 밖에서는 암호를 해독할 수 없습니다. 키가 추출된 HSM과 같은 클러스터에 있는 HSM에 삽입된 후에만 암호가 해독됩니다. 애플리케이션은 마스킹 처리된 객체를 추출 및 삽입하여 클러스터에서 HSM을 동기화할 수 있습니다.

  • [4] 키 관리 함수에는 키 속성 생성, 삭제, 래핑, 언래핑, 수정이 포함됩니다.