AWS CloudHSM에서 HSM 사용자 관리 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM에서 HSM 사용자 관리

AWS CloudHSM 클러스터에 있는 HSM의 사용자를 관리하려면 cloudhsm_mgmt_util이라는 AWS CloudHSM 명령줄 도구를 사용합니다. 사용자를 관리하려면 먼저 cloudhsm_mgmt_util을 시작하고 종단 간 암호화를 활성화한 다음, HSM에 로그인해야 합니다. 자세한 내용은 cloudhsm_mgmt_util을(를) 참조하십시오.

HSM 사용자를 관리하려면 Cryptographic Officer(CO)의 사용자 이름과 암호로 HSM에 로그인합니다. CO만 다른 사용자를 관리할 수 있습니다. HSM에는 admin이라는 기본 CO가 포함됩니다. 클러스터를 활성화한 경우에만 이 사용자의 암호를 설정할 수 있습니다.

사용자 생성

HSM에서 사용자를 생성하려면 createUser 명령을 사용합니다. 다음 예제에서는 새로운 CO 및 CU 사용자를 각각 생성합니다. 사용자 유형에 대한 자세한 내용은 HSM 사용자 단원을 참조하십시오.

aws-cloudhsm>createUser CO example_officer <password> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. Cav server does NOT synchronize these changes with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Creating User example_officer(CO) on 3 nodes
aws-cloudhsm>createUser CU example_user <password> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. Cav server does NOT synchronize these changes with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Creating User example_user(CU) on 3 nodes

다음은 createUser 명령의 구문을 나타낸 것입니다. 사용자 유형과 암호는 cloudhsm_mgmt_util 명령에서 대소문자를 구분하지만, 사용자 이름은 대소문자를 구분하지 않습니다.

aws-cloudhsm>createUser <user type> <user name> <password>

사용자 나열

listUsers 명령을 사용하여 클러스터의 각 HSM 사용자를 나열합니다. 모든 HSM 사용자 유형은 이 명령을 사용할 수 있습니다. 즉, CO로 제한되지 않습니다.

PCO는 각 HSM에서 생성되는 첫 번째("primary") CO입니다. PCO는 HSM에서 다른 CO와 동일한 권한을 갖습니다.

aws-cloudhsm>listUsers Users on server 0(10.0.2.9): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:4 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO example_officer NO 0 NO 4 CU example_user NO 0 NO

사용자의 암호 변경

changePswd 명령을 사용하여 모든 사용자의 암호를 변경합니다. 모든 HSM 사용자 유형은 이 명령을 실행할 수 있지만 CO만 다른 사용자의 암호를 변경할 수 있습니다. CU(Crypto User) 및 AU(어플라이언스 사용자)는 자체 암호만 변경할 수 있습니다. 다음은 사용자 생성 예제에서 생성된 CO 및 CU 사용자의 암호를 변경하는 예제입니다.

aws-cloudhsm>changePswd CO example_officer <new password> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. Cav server does NOT synchronize these changes with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for example_officer(CO) on 3 nodes
aws-cloudhsm>changePswd CU example_user <new password> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. Cav server does NOT synchronize these changes with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for example_user(CU) on 3 nodes

다음은 changePswd 명령의 구문을 보여 줍니다. 사용자 유형 및 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다.

aws-cloudhsm>changePswd <user type> <user name> <new password>
주의

현재 로그인하고 있는 사용자(CO 또는 CU)의 암호는 변경할 수 없습니다.

사용자 삭제

deleteUser 명령을 사용하여 사용자를 삭제합니다. 다음은 사용자 생성 예제에서 생성된 CO 및 CU 사용자를 삭제하는 예제입니다.

aws-cloudhsm>deleteUser CO example_officer Deleting user example_officer(CO) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)
aws-cloudhsm>deleteUser CU example_user Deleting user example_user(CU) on 3 nodes deleteUser success on server 0(10.0.2.9) deleteUser success on server 1(10.0.3.11) deleteUser success on server 2(10.0.1.12)

다음은 deleteUser 명령의 구문을 보여 줍니다.

aws-cloudhsm>deleteUser <user type> <user name>
주의

CU 사용자를 삭제하면 해당 CU가 소유한 모든 키가 고립되어 사용할 수 없게 됩니다. 삭제하려는 사용자가 클러스터에서 여전히 키를 소유하고 있다는 경고는 제공되지 않습니다.