AWS CloudHSM에서 HSM 사용자 관리 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM에서 HSM 사용자 관리

InAWS CloudHSM를 사용해야 하는CloudHSM 관리 유틸리티(CMU), HSM에서 사용자를 만들고 관리할 수 있는 명령줄 도구입니다. 쿼럼 인증을 설정할 수도 있습니다. 사용 가능한 사용자 유형 및 이러한 사용자가 수행할 수 있는 작업에 대한 자세한 내용은HSM 사용자 이해.

HSM 사용자 이해

HSM에서 수행하는 대부분의 작업에는 HSM 사용자의 자격 증명이 필요합니다. HSM은 각 HSM 사용자를 인증하고 각 HSM 사용자는유형에서 해당 사용자로 HSM에서 수행할 수 있는 작업을 결정합니다.

PRECO(Precrypto Officer)

PRECO(Precrypto Officer)는 AWS CloudHSM 클러스터의 첫 번째 HSM에만 존재하는 임시 사용자입니다. 새 클러스터의 최초 HSM에는 기본 사용자 이름과 암호를 가진 PRECO 사용자가 포함됩니다. PRECO 사용자는 자체 암호만 변경할 수 있으며 HSM에서 읽기 전용 작업을 수행할 수 있습니다. PRECO 사용자를 사용 하 여 클러스터를 활성화 합니다. 클러스터를 활성화하려면 HSM에 로그인하여 PRECO 사용자 암호를 변경합니다. 암호를 변경하면 PRECO 사용자가 기본 PCO (PCrypto Officer) 가 됩니다.

Crypto Officer (CO | PCO)

CO(Crypto Officer)는 사용자 관리 작업을 수행할 수 있습니다. 예를 들어 CO는 사용자를 생성 및 삭제하고 사용자 암호를 변경할 수 있습니다. PCO는 생성하는 첫 번째 CO인 기본 CO에 대한 지정입니다. CO 사용자에 대한 자세한 내용은 단원을 참조하십시오.HSM 사용자 권한 테이블. 새 클러스터를 활성화하면 사용자가 PRECO(Precrypto Officer)에서 CO(Crypto Officer)로 바뀝니다.

CU(Crypto User)

CU(Crypto User)는 다음 키 관리 및 암호화 작업을 수행할 수 있습니다.

  • 키 관리— 암호화 키 생성, 삭제, 공유, 가져오기 및 내보내기

  • 암호화 작업— 암호화, 암호화 해제, 서명, 확인 등에 암호화 키를 사용합니다.

자세한 내용은 HSM 사용자 권한 테이블 섹션을 참조하세요.

AU(어플라이언스 사용자)

AU(어플라이언스 사용자)는 복제 및 동기화 작업을 수행할 수 있습니다. AWS CloudHSM는 AU를 사용하여 AWS CloudHSM 클러스터에서 HSM을 동기화합니다. AU는 AWS CloudHSM이 제공하는 모든 HSM에 존재하며 제한된 권한을 가집니다. 자세한 내용은 HSM 사용자 권한 테이블 섹션을 참조하세요.

AWS는 AU를 사용하여 클러스터의 HSM에서 복제 및 동기화 작업을 수행합니다. AWS는 AU와 인증되지 않은 사용자에게 부여된 권한을 제외하고 HSM에서 어떤 작업도 수행할 수 없습니다. AWS는 사용자 또는 키를 보거나 수정할 수 없으며 해당 키를 사용하여 암호화 작업을 수행할 수 없습니다.

HSM 사용자 권한 테이블

다음 표에서는 작업을 수행할 수 있는 HSM 사용자 또는 세션의 유형별로 정렬된 HSM 작업을 나열합니다.

CO(Crypto Officer) CU(Crypto User) AU(어플라이언스 사용자) 인증되지 않은 세션
기본 클러스터 정보 가져오기¹
HSM² 제로화
자체 암호 변경 해당 사항 없음
사용자의 암호 변경 아니요 아니요 아니요
사용자 추가 및 제거 아니요 아니요 아니요
동기화 상태 가져오기³ 아니요
마스킹 처리된 객체 추출 및 삽입⁴ 아니요
키 관리 기능⁵ 아니요 아니요 아니요
암호화 및 암호 해독 아니요 아니요 아니요
서명 및 확인 아니요 아니요 아니요
다이제스트 및 HMAC 생성 아니요 아니요 아니요
  • 기본 클러스터 정보에는 클러스터의 HSM 수와 각 HSM의 IP 주소, 모델, 일련 번호, 펌웨어 ID, 기본 클러스터 ID, 펌웨어 ID, 기본 클러스터 ID, 기타

  • [2] HSM이 초기화되면 HSM의 모든 키, 인증서 및 기타 데이터가 삭제됩니다. 클러스터의 보안 그룹을 사용하여 인증되지 않은 사용자가 HSM을 초기화하지 못하게 방지할 수 있습니다. 자세한 정보는 클러스터 생성을 참조하십시오.

  • [3] 사용자는 HSM의 키에 해당하는 다이제스트 (해시) 집합을 얻을 수 있습니다. 애플리케이션은 이러한 다이제스트 세트를 비교해서 클러스터에서 HSM의 동기화 상태를 파악할 수 있습니다.

  • [4] 마스크 처리된 객체는 HSM을 떠나기 전에 암호화가 되는 키입니다. HSM 밖에서는 암호를 해독할 수 없습니다. 키가 추출된 HSM과 같은 클러스터에 있는 HSM에 삽입된 후에만 암호가 해독됩니다. 애플리케이션은 마스킹 처리된 객체를 추출 및 삽입하여 클러스터에서 HSM을 동기화할 수 있습니다.

  • [5] 키 관리 기능에는 키 속성 생성, 삭제, 래핑, 언래핑, 수정이 포함됩니다.