CloudHSM 관리 유틸리티(CMU)를 사용하여 쿼럼 인증 관리(M/N 액세스 제어)

AWS CloudHSM 클러스터의 HSM은 N 중 M 액세스 제어라고도 하는 쿼럼 인증을 지원합니다. 쿼럼 인증의 경우, HSM의 단일 사용자는 HSM에서 쿼럼 제어 작업을 수행할 수 없습니다. 이러한 작업을 하려면 최소 숫자의 HSM 사용자(최소 2명)가 협력해야 합니다. 쿼럼 인증의 경우, 2명 이상의 HSM 사용자의 승인을 요구함으로써 보호 계층을 추가할 수 있습니다.

쿼럼 인증은 다음 작업을 제어할 수 있습니다.

• CO(Crypto Officer)의 HSM 사용자 관리 – HSM 사용자 생성 및 삭제, 다른 HSM 사용자의 암호 변경. 자세한 내용은 CO(Crypto Officer)의 쿼럼 인증 사용 섹션을 참조하십시오.

다음 주제에는 AWS CloudHSM의 쿼럼 인증에 대한 자세한 내용이 있습니다.

주제

• 쿼럼 인증 개요
• 쿼럼 인증에 대한 추가 세부 정보
• CO(Crypto Officer)에 대한 쿼럼 인증 사용: 최초 설정
• CO(Crypto Officer)의 쿼럼 인증 사용
• CO(Crypto Officer)의 쿼럼 최소값 변경

쿼럼 인증 개요

다음 단계는 쿼럼 인증 프로세스를 요약합니다. 구체적인 단계와 도구는 CO(Crypto Officer)의 쿼럼 인증 사용을 참조하십시오.

1. 각각의 HSM 사용자는 서명을 위한 비대칭 키를 생성합니다. 이 사용자들은 HSM 외부에서 이를 수행하며 키를 적절히 보호하기 위해 주의합니다.

2. 각 HSM 사용자는 HSM에 로그인하고 자신의 서명 키의 퍼블릭 부분(퍼블릭 키)을 HSM에 등록합니다.

3. HSM 사용자가 쿼럼 제어 작업을 수행하려는 경우, 각 사용자는 HSM에 로그인하고 쿼럼 토큰을 가져옵니다.

4. HSM 사용자는 한 명 이상의 다른 HSM 사용자에게 쿼럼 토큰을 제공하고 승인을 요청합니다.

5. 다른 HSM 사용자는 자신의 키를 사용하여 암호화된 방식으로 쿼럼 토큰에 서명함으로써 승인합니다. 이는 HSM 외부에서 이루어집니다.

6. HSM 사용자가 필요한 수의 승인을 받으면 동일한 사용자가 HSM에 로그인하여 쿼럼 토큰과 승인(서명)을 HSM에 제공합니다.

7. HSM은 각 서명자의 등록된 퍼블릭 키를 사용하여 서명을 확인합니다. 서명이 유효하면 HSM이 토큰을 승인합니다.

8. HSM 사용자는 이제 쿼럼 제어 작업을 할 수 있습니다.

쿼럼 인증에 대한 추가 세부 정보

AWS CloudHSM의 쿼럼 인증 사용에 대해 다음 내용을 추가로 참고하십시오.

• HSM 사용자는 자신의 쿼럼 토큰에 서명할 수 있습니다. 즉, 요청한 사용자는 쿼럼 인증에 필요한 승인 중 하나를 제공할 수 있습니다.

• 쿼럼 제어 작업을 위한 최소 숫자의 쿼럼 승인자를 선택합니다. 선택할 수 있는 최소 숫자는 2이고, 선택할 수 있는 최대 수는 8입니다.

• HSM은 최대 1024개의 쿼럼 토큰을 저장할 수 있습니다. 새 토큰을 생성하려고 할 때 HSM에 이미 1024개의 토큰이 있는 경우, HSM은 만료된 토큰 중 하나를 삭제합니다. 기본적으로 토큰은 생성 10분 후에 만료됩니다.

• 클러스터는 쿼럼 인증과 2단계 인증(2FA)에 동일한 키를 사용합니다. 쿼럼 인증 및 2FA 사용에 대한 자세한 내용은 쿼럼 인증 및 2FA를 참조하십시오.