AWS IoT Greengrass Version 1 는 2023년 6월 30일에 수명 연장 단계에 들어갔습니다. AWS IoT Greengrass V1 관리형 정책에 대한 자세한 정보는 섹션을 참조하세요. 이 날짜 이후에는 기능, 개선 사항, 버그 수정 또는 보안 패치를 제공하는 업데이트를 릴리스하지 AWS IoT Greengrass V1 않습니다. 에서 실행되는 디바이스는 중단 AWS IoT Greengrass V1 되지 않고 계속 작동하며 클라우드에 연결됩니다. 로 마이그레이션 AWS IoT Greengrass Version 2하는 것이 좋습니다. 이 마이그레이션하면 추가 플랫폼 에 대한 중요한 새 기능과 지원이 추가됩니다. https://docs.aws.amazon.com/greengrass/v2/developerguide/operating-system-feature-support-matrix.html
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
하드웨어 보안 통합
이 기능은 AWS IoT Greengrass Core v1.7 이상에서 사용할 수 있습니다.
AWS IoT Greengrass 개인 키의 안전한 저장 및 오프로드를 위해 PKCS#11 인터페이스를 통해 하드웨어 보안 모듈 (HSM) 사용을 지원합니다. 그러면 키가 노출되거나 소프트웨어에서 중복되는 경우를 방지할 수 있습니다. 개인 키는 신뢰할 수 있는 플랫폼 모듈 (TPM) 또는 기타 암호화 요소와 같은 HSMs 하드웨어 모듈에 안전하게 저장할 수 있습니다.
AWS Partner 장치 카탈로그
다음 다이어그램은 AWS IoT Greengrass 코어의 하드웨어 보안 아키텍처를 보여줍니다.
표준 설치에서는 두 개의 개인 키를 AWS IoT Greengrass 사용합니다. Greengrass 코어가 AWS IoT 연결될 때 전송 계층 보안 () 핸드셰이크 중에 클라이언트 (IoT 클라이언트TLS) 구성 요소가 키 하나를 사용합니다. AWS IoT Core이 키는 코어 프라이빗 키라고도 합니다. 다른 키는 로컬 MQTT 서버에서 사용되며, 이를 통해 Greengrass 장치가 Greengrass 코어와 통신할 수 있습니다. 두 구성 요소에 하드웨어 보안을 사용하려는 경우 공유 프라이빗 키 또는 개별 프라이빗 키를 사용할 수 있습니다. 자세한 내용은 하드웨어 보안을 위한 프로비저닝 방법 AWS IoT Greengrass 단원을 참조하십시오.
참고
표준 설치 시 로컬 보안 관리자도 해당 암호화 프로세스에 IoT 클라이언트 키를 사용하지만 사용자가 자신의 프라이빗 키를 사용할 수 있습니다. 최소 길이가 2048비트인 RSA 키여야 합니다. 자세한 내용은 암호 암호화를 위한 프라이빗 키 지정 단원을 참조하십시오.
요구 사항
Greengrass 코어에 대한 하드웨어 보안을 구성하려면 다음 항목이 있어야 합니다.
-
IoT 클라이언트, 로컬 MQTT 서버 및 로컬 비밀 관리자 구성 요소에 대한 대상 개인 키 구성을 지원하는 하드웨어 보안 모듈 (HSM). 구성에는 구성 요소에서 키를 공유하도록 구성했는지 여부에 따라 하드웨어 기반 프라이빗 키가 한 개, 두 개 또는 세 개 포함될 수 있습니다. 프라이빗 키 지원에 대한 자세한 내용은 AWS IoT Greengrass 핵심 보안 원칙 단원을 참조하십시오.
RSA키의 경우: RSA -2048 키 크기 (또는 그 이상) 및 PKCS#1 v1.5 서명 체계.
EC 키의 경우: NIST P-256 또는 NIST P-384 커브.
참고
AWS Partner 장치 카탈로그
에서 이 기능에 적합한 장치를 검색하십시오. -
libdl을 사용하여 런타임 시 로드할 수 있고 PKCS#11 함수를 제공하는 PKCS #11 공급자 라이브러리입니다.
-
하드웨어 모듈은 #11 사양에 정의된 대로 슬롯 레이블로 확인할 수 있어야 합니다. PKCS
-
공급업체가 HSM 제공한 프로비저닝 도구를 사용하여 개인 키를 생성하고 에 로드해야 합니다.
-
프라이빗 키는 객체 레이블로 확인할 수 있어야 합니다.
-
코어 장치 인증서. 프라이빗 키에 해당하는 IoT 클라이언트 인증서입니다.
-
Greengrass OTA 업데이트 에이전트를 사용하는 경우 Open SSL libp11 PKCS #11
래퍼 라이브러리를 설치해야 합니다. 자세한 내용은 업데이트에 대한 지원을 구성합니다. over-the-air 단원을 참조하십시오.
또한 다음 조건을 충족하는지 확인하십시오.
-
개인 키와 연결된 IoT 클라이언트 인증서가 AWS IoT 등록되고 활성화됩니다. AWS IoT 콘솔의 관리에서 이를 확인하고, 모든 장치를 확장하고, 사물을 선택하고, 핵심 사물에 대한 인증서 탭을 선택할 수 있습니다.
-
시작하기 자습서의 모듈 2에 설명된 대로 Core 소프트웨어 v1.7 이상이 코어 장치에 설치됩니다. AWS IoT Greengrass 서버용 EC 키를 사용하려면 버전 1.9 이상이 필요합니다. MQTT
-
인증서가 Greengrass 코어에 연결되어 있어야 합니다. AWS IoT 콘솔의 핵심 기능에 대한 관리 페이지에서 이를 확인할 수 있습니다.
참고
현재는 CA 인증서 또는 IoT 클라이언트 인증서를 에서 직접 로드하는 것을 AWS IoT Greengrass 지원하지 않습니다HSM. 인증서는 파일 시스템에서 Greengrass가 읽을 수 있는 위치에 일반 텍스트 파일로 로드해야 합니다.
AWS IoT Greengrass 코어의 하드웨어 보안 구성
하드웨어 보안은 Greengrass 구성 파일에 구성됩니다. 이 config.json 파일은 /
디렉터리에 위치합니다.greengrass-root
/config
참고
순수 소프트웨어 구현을 사용하여 HSM 구성을 설정하는 프로세스를 살펴보려면 을 참조하십시오모듈 7: 하드웨어 보안 통합 시뮬레이션.
중요
이 예제의 시뮬레이션된 구성에서는 어떠한 보안 이점도 제공하지 않습니다. 향후 하드웨어 기반 HSM 소프트웨어를 사용할 계획이라면 PKCS #11 사양에 대해 알아보고 소프트웨어의 초기 테스트를 수행할 수 있도록 하기 위한 것입니다.
에서 하드웨어 보안을 AWS IoT Greengrass구성하려면 에서 개체를 편집합니다. crypto
config.json
하드웨어 보안을 사용하는 경우 다음 예제와 같이 crypto
객체를 사용하여 코어에 있는 PKCS #11 공급자 라이브러리의 인증서, 개인 키 및 자산에 대한 경로를 지정합니다.
"crypto": { "PKCS11" : { "OpenSSLEngine" : "/
path-to-p11-openssl-engine
", "P11Provider" : "/path-to-pkcs11-provider-so
", "slotLabel" : "crypto-token-name
", "slotUserPin" : "crypto-token-user-pin
" }, "principals" : { "IoTCertificate" : { "privateKeyPath" : "pkcs11:object=core-private-key-label
;type=private", "certificatePath" : "file:///path-to-core-device-certificate
" }, "MQTTServerCertificate" : { "privateKeyPath" : "pkcs11:object=server-private-key-label
;type=private" }, "SecretsManager" : { "privateKeyPath": "pkcs11:object=core-private-key-label
;type=private" } }, "caPath" : "file:///path-to-root-ca
"
crypto
객체는 다음 속성을 포함하고 있습니다.
필드 | 설명 | 참고 |
---|---|---|
caPath |
AWS IoT 루트 CA의 절대 경로. |
URI:형식의 파일이어야 참고엔드포인트는 해당 인증서 유형과 일치해야 합니다. |
PKCS11 |
||
OpenSSLEngine |
선택 사항입니다. Open에서 PKCS #11 지원을 활성화하기 위한 오픈 SSL 엔진 |
파일 시스템에서는 파일에 대한 경로여야 합니다. 이 속성은 하드웨어 보안이 적용된 Greengrass OTA 업데이트 에이전트를 사용하는 경우 필요합니다. 자세한 내용은 업데이트에 대한 지원을 구성합니다. over-the-air 단원을 참조하십시오. |
P11Provider |
PKCS#11 구현의 libdl-load 가능 라이브러리의 절대 경로입니다. |
파일 시스템에서는 파일에 대한 경로여야 합니다. |
slotLabel |
하드웨어 모듈을 식별하는 데 사용되는 슬롯 모듈입니다. |
#11 라벨 사양을 준수해야 합니다. PKCS |
slotUserPin |
모듈의 Greengrass 코어를 인증하는 데 사용되는 PIN 사용자입니다. |
구성된 프라이빗 키를 사용하여 C_Sign을 수행하려면 충분한 권한이 있어야 합니다. |
principals |
||
IoTCertificate |
코어에서 AWS IoT에 대한 요청을 만들기 위해 사용하는 인증서 및 프라이빗 키입니다. | |
IoTCertificate .privateKeyPath
|
코어 프라이빗 키의 경로입니다. |
파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 합니다. HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 |
IoTCertificate .certificatePath |
코어 장치 인증서의 절대 경로입니다. |
: URI |
MQTTServerCertificate |
선택 사항입니다. 코어가 인증서와 조합하여 MQTT 서버 또는 게이트웨이 역할을 하는 데 사용하는 개인 키입니다. |
|
MQTTServerCertificate .privateKeyPath |
로컬 MQTT 서버 개인 키의 경로. |
이 값을 사용하여 로컬 MQTT 서버의 자체 개인 키를 지정할 수 있습니다. 파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 이 속성을 생략하면 회전 설정에 따라 키가 AWS IoT Greengrass 회전합니다. 지정된 경우, 고객이 키 교체를 책임집니다. |
SecretsManager |
암호화에 사용되는 데이터 키를 보호하는 프라이빗 입니다. 자세한 내용은 AWS IoT Greengrass 코어에 암호 배포 단원을 참조하십시오. | |
SecretsManager .privateKeyPath |
로컬 보안 관리자 프라이빗 키의 경로입니다. |
RSA키만 지원됩니다. 파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 |
필드 | 설명 | 참고 |
---|---|---|
caPath |
AWS IoT 루트 CA의 절대 경로. |
URI:형식의 파일이어야 참고엔드포인트는 해당 인증서 유형과 일치해야 합니다. |
PKCS11 |
||
OpenSSLEngine |
선택 사항입니다. Open에서 PKCS #11 지원을 활성화하기 위한 오픈 SSL 엔진 |
파일 시스템에서는 파일에 대한 경로여야 합니다. 이 속성은 하드웨어 보안이 적용된 Greengrass OTA 업데이트 에이전트를 사용하는 경우 필요합니다. 자세한 내용은 업데이트에 대한 지원을 구성합니다. over-the-air 단원을 참조하십시오. |
P11Provider |
PKCS#11 구현의 libdl-load 가능 라이브러리의 절대 경로입니다. |
파일 시스템에서는 파일에 대한 경로여야 합니다. |
slotLabel |
하드웨어 모듈을 식별하는 데 사용되는 슬롯 모듈입니다. |
#11 라벨 사양을 준수해야 합니다. PKCS |
slotUserPin |
모듈의 Greengrass 코어를 인증하는 데 사용되는 PIN 사용자입니다. |
구성된 프라이빗 키를 사용하여 C_Sign을 수행하려면 충분한 권한이 있어야 합니다. |
principals |
||
IoTCertificate |
코어에서 AWS IoT에 대한 요청을 만들기 위해 사용하는 인증서 및 프라이빗 키입니다. | |
IoTCertificate .privateKeyPath
|
코어 프라이빗 키의 경로입니다. |
파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 합니다. HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 |
IoTCertificate .certificatePath |
코어 장치 인증서의 절대 경로입니다. |
: URI |
MQTTServerCertificate |
선택 사항입니다. 코어가 인증서와 조합하여 MQTT 서버 또는 게이트웨이 역할을 하는 데 사용하는 개인 키입니다. |
|
MQTTServerCertificate .privateKeyPath |
로컬 MQTT 서버 개인 키의 경로. |
이 값을 사용하여 로컬 MQTT 서버의 자체 개인 키를 지정할 수 있습니다. 파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 이 속성을 생략하면 회전 설정에 따라 키가 AWS IoT Greengrass 회전합니다. 지정된 경우, 고객이 키 교체를 책임집니다. |
SecretsManager |
암호화에 사용되는 데이터 키를 보호하는 프라이빗 입니다. 자세한 내용은 AWS IoT Greengrass 코어에 암호 배포 단원을 참조하십시오. | |
SecretsManager .privateKeyPath |
로컬 보안 관리자 프라이빗 키의 경로입니다. |
RSA키만 지원됩니다. 파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 |
필드 | 설명 | 참고 |
---|---|---|
caPath |
AWS IoT 루트 CA의 절대 경로. |
URI:형식의 파일이어야 참고엔드포인트는 해당 인증서 유형과 일치해야 합니다. |
PKCS11 |
||
OpenSSLEngine |
선택 사항입니다. Open에서 PKCS #11 지원을 활성화하기 위한 오픈 SSL 엔진 |
파일 시스템에서는 파일에 대한 경로여야 합니다. 이 속성은 하드웨어 보안이 적용된 Greengrass OTA 업데이트 에이전트를 사용하는 경우 필요합니다. 자세한 내용은 업데이트에 대한 지원을 구성합니다. over-the-air 단원을 참조하십시오. |
P11Provider |
PKCS#11 구현의 libdl-load 가능 라이브러리의 절대 경로입니다. |
파일 시스템에서는 파일에 대한 경로여야 합니다. |
slotLabel |
하드웨어 모듈을 식별하는 데 사용되는 슬롯 모듈입니다. |
#11 라벨 사양을 준수해야 합니다. PKCS |
slotUserPin |
모듈의 Greengrass 코어를 인증하는 데 사용되는 PIN 사용자입니다. |
구성된 프라이빗 키를 사용하여 C_Sign을 수행하려면 충분한 권한이 있어야 합니다. |
principals |
||
IoTCertificate |
코어에서 AWS IoT에 대한 요청을 만들기 위해 사용하는 인증서 및 프라이빗 키입니다. | |
IoTCertificate .privateKeyPath
|
코어 프라이빗 키의 경로입니다. |
파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 합니다. HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 |
IoTCertificate .certificatePath |
코어 장치 인증서의 절대 경로입니다. |
: URI |
MQTTServerCertificate |
선택 사항입니다. 코어가 인증서와 조합하여 MQTT 서버 또는 게이트웨이 역할을 하는 데 사용하는 개인 키입니다. |
|
MQTTServerCertificate .privateKeyPath |
로컬 MQTT 서버 개인 키의 경로. |
이 값을 사용하여 로컬 MQTT 서버의 자체 개인 키를 지정할 수 있습니다. 파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 이 속성을 생략하면 회전 설정에 따라 키가 AWS IoT Greengrass 회전합니다. 지정된 경우, 고객이 키 교체를 책임집니다. |
SecretsManager |
암호화에 사용되는 데이터 키를 보호하는 프라이빗 입니다. 자세한 내용은 AWS IoT Greengrass 코어에 암호 배포 단원을 참조하십시오. | |
SecretsManager .privateKeyPath |
로컬 보안 관리자 프라이빗 키의 경로입니다. |
RSA키만 지원됩니다. 파일 시스템 스토리지의 경우 다음 형식의 URI 파일이어야 HSM스토리지의 경우 개체 레이블을 지정하는 RFC7512 PKCS #11 |
하드웨어 보안을 위한 프로비저닝 방법 AWS IoT Greengrass
다음은 보안 및 성능 관련 프로비저닝 연습입니다.
- 보안
-
-
내부 하드웨어 난수 생성기를 HSM 사용하여 에서 직접 개인 키를 생성합니다.
참고
하드웨어 공급업체의 지침에 따라 이 기능에 사용할 개인 키를 구성하는 경우, AWS IoT Greengrass 현재는 로컬 암호의 암호화 및 복호화를 위한 PKCS1 v1.5 패딩 메커니즘만 지원한다는 점에 유의하십시오. AWS IoT Greengrass 최적 비대칭 암호화 패딩 () 을 지원하지 않습니다. OAEP
-
내보내기를 금지하도록 프라이빗 키를 구성합니다.
-
하드웨어 공급업체에서 제공하는 프로비저닝 도구를 사용하여 하드웨어로 보호되는 개인 키를 사용하여 인증서 서명 요청 (CSR) 을 생성한 다음 콘솔을 사용하여 클라이언트 인증서를 생성합니다. AWS IoT
참고
에서 개인 키를 생성한 경우에는 키를 교체하는 방법이 적용되지 않습니다. HSM
-
- 성능
-
다음 다이어그램은 AWS IoT Greengrass 코어의 IoT 클라이언트 구성 요소와 로컬 MQTT 서버를 보여줍니다. 두 구성 요소 모두에 HSM 구성을 사용하려는 경우 동일한 개인 키 또는 별도의 개인 키를 사용할 수 있습니다. 개별 키를 사용하는 경우 해당 키는 동일한 슬롯에 저장되어야 합니다.
참고
AWS IoT Greengrass 는 저장하는 키 수에 제한을 두지 않으므로 IoT 클라이언트HSM, MQTT 서버 및 비밀 관리자 구성 요소에 대한 개인 키를 저장할 수 있습니다. 하지만 일부 HSM 공급업체는 슬롯에 저장할 수 있는 키 수에 제한을 둘 수 있습니다.
일반적으로 IoT 클라이언트 키는 AWS IoT Greengrass Core 소프트웨어가 클라우드와의 연결을 오래 유지하기 때문에 자주 사용되지 않습니다. 하지만 MQTT 서버 키는 Greengrass 장치가 코어에 연결될 때마다 사용됩니다. 이러한 상호 작용은 성능에 직접적인 영향을 미칩니다.
MQTT서버 키가 에 저장되는 경우 장치가 연결할 수 있는 속도는 수행할 HSM 수 있는 초당 RSA 서명 작업 수에 따라 달라집니다. HSM 예를 들어 RSA -2048 개인 키에서 RSASSA PKCS1 -v1.5 서명을 수행하는 HSM 데 300밀리초가 걸린다면 초당 Greengrass 코어에 연결할 수 있는 기기는 3개뿐입니다. 연결이 이루어진 후에는 더 이상 사용되지 않으며 HSM 표준 할당량이 적용됩니다. AWS IoT Greengrass
성능 병목 현상을 완화하기 위해 MQTT 서버의 개인 키를 파일 시스템 대신 파일 시스템에 저장할 수 있습니다. HSM 이 구성을 사용하면 MQTT 서버가 하드웨어 보안이 설정되어 있지 않은 것처럼 동작합니다.
AWS IoT Greengrass IoT 클라이언트 및 MQTT 서버 구성 요소에 대한 다중 키 스토리지 구성을 지원하므로 보안 및 성능 요구 사항에 맞게 최적화할 수 있습니다. 다음 표에는 구성의 예가 포함되어 있습니다.
구성 IoT 키 MQTT키 성능 HSM공유 키 HSM: 키 A HSM: 키 A HSMOR에 의해 제한됨 CPU HSM개별 키 HSM: 키 A HSM: 키 B HSMOR에 의해 제한됨 CPU HSMIoT 전용 HSM: 키 A 파일 시스템: 키 B 에 의해 제한됨 CPU 레거시 파일 시스템: 키 A 파일 시스템: 키 B 에 의해 제한됨 CPU MQTT서버의 파일 시스템 기반 키를 사용하도록 Greengrass 코어를 구성하려면 에서 해당
principals.MQTTServerCertificate
섹션을 생략하거나 에서config.json
생성한 기본 키를 사용하지 않는 경우 키의 파일 기반 경로를 지정하십시오. AWS IoT Greengrass결과로 나온crypto
객체는 다음과 같습니다."crypto": { "PKCS11": { "OpenSSLEngine": "...", "P11Provider": "...", "slotLabel": "...", "slotUserPin": "..." }, "principals": { "IoTCertificate": { "privateKeyPath": "...", "certificatePath": "..." }, "SecretsManager": { "privateKeyPath": "..." } }, "caPath" : "..." }
하드웨어 보안 통합을 위해 지원되는 암호 제품군
AWS IoT Greengrass 코어가 하드웨어 보안을 위해 구성된 경우 암호 제품군 세트를 지원합니다. 이는 코어가 파일 기반 보안을 사용하도록 구성된 경우 지원되는 암호 제품군의 하위 세트입니다. 자세한 내용은 TLS 암호 그룹 지원 단원을 참조하십시오.
참고
로컬 네트워크를 통해 Greengrass 장치에서 Greengrass 코어에 연결하는 경우 지원되는 암호 그룹 중 하나를 사용하여 연결해야 합니다. TLS
업데이트에 대한 지원을 구성합니다. over-the-air
하드웨어 보안을 사용할 때 AWS IoT Greengrass 코어 소프트웨어의 업데이트를 활성화 over-the-air (OTA) 하려면 OpenSC PKCSlibp11 #11 래퍼
Greengrass 데몬을 중지합니다.
cd /
greengrass-root
/ggc/core/ sudo ./greengrassd stop참고
greengrass-root
장치에 AWS IoT Greengrass Core 소프트웨어가 설치된 경로를 나타냅니다. 일반적으로 이는/greengrass
디렉터리입니다.오픈 SSL 엔진을 설치합니다. 오픈 SSL 1.0 또는 1.1이 지원됩니다.
sudo apt-get install libengine-pkcs11-openssl
시스템의 오픈 SSL 엔진 (
libpkcs11.so
) 경로 찾기:이 라이브러리에 대해 설치된 패키지 목록을 가져옵니다.
sudo dpkg -L libengine-pkcs11-openssl
libpkcs11.so
파일은engines
디렉터리에 있습니다.파일의 전체 경로를 복사합니다(예:
/usr/lib/ssl/engines/libpkcs11.so
).
Greengrass 구성 파일을 엽니다. config.json 파일은
/
디렉터리에 있습니다.greengrass-root
/config-
OpenSSLEngine
속성에libpkcs11.so
파일 경로를 입력합니다.{ "crypto": { "caPath" : "file:///
path-to-root-ca
", "PKCS11" : { "OpenSSLEngine" : "/path-to-p11-openssl-engine
", "P11Provider" : "/path-to-pkcs11-provider-so
", "slotLabel" : "crypto-token-name
", "slotUserPin" : "crypto-token-user-pin
" }, ... } ... }참고
PKCS11
객체에OpenSSLEngine
속성이 없으면 해당 속성을 추가합니다. Greengrass 데몬을 시작합니다.
cd /
greengrass-root
/ggc/core/ sudo ./greengrassd start
이전 버전의 AWS IoT Greengrass 핵심 소프트웨어와의 이전 버전과의 호환성
하드웨어 보안이 지원되는 AWS IoT Greengrass Core 소프트웨어는 v1.6 및 이전 버전용으로 생성된 config.json
파일과 완벽하게 호환됩니다. config.json
구성 파일에 crypto
개체가 없는 경우 파일 기반coreThing.certPath
, coreThing.keyPath
및 속성을 AWS IoT Greengrass 사용합니다. coreThing.caPath
이 이전 버전과의 호환성은 OTA Greengrass 업데이트에 적용되며, Greengrass 업데이트는 에서 지정한 파일 기반 구성을 덮어쓰지 않습니다. config.json
#11 지원이 없는 하드웨어 PKCS
PKCS#11 라이브러리는 일반적으로 하드웨어 공급업체에서 제공하거나 오픈 소스입니다. 예를 들어, 표준을 준수하는 하드웨어 (예: TPM1 .2) 를 사용하면 기존 오픈 소스 소프트웨어를 사용할 수 있습니다. 그러나 하드웨어에 해당하는 PKCS #11 라이브러리 구현이 없거나 사용자 지정 PKCS #11 공급자를 작성하려는 경우에는 AWS Enterprise Support 담당자에게 통합 관련 질문을 문의해야 합니다.
다음 사항도 참조하세요.
-
PKCS#11 암호화 토큰 인터페이스 사용 가이드 버전 2.40. John Leiseboer 및 Robert Griffin 편집. 2014년 11월 16일 OASIS위원회 노트 02. http://docs.oasis-open.org/pkcs11/pkcs11-ug/v2.40/cn02/pkcs11-ug-v2.40-cn02.html
. 최신 버전: http://docs.oasis-open.org/pkcs11/pkcs11-ug/v2.40/pkcs11-ug-v2.40.html .