AWS CloudHSM 키 스토어 연결 - AWS Key Management Service
AWS CloudHSM 키 스토어에 연결 및 재연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudHSM 키 스토어 연결

새 AWS CloudHSM 키 스토어가 연결되지 않았습니다. AWS CloudHSM 키 스토어 AWS KMS keys 에서 를 생성하고 사용하려면 먼저 연결된 AWS CloudHSM 클러스터에 연결해야 합니다. 언제든지 AWS CloudHSM 키 스토어를 연결 및 연결 해제하고 해당 연결 상태 를 볼 수 있습니다.

AWS CloudHSM 키 스토어를 연결할 필요는 없습니다. AWS CloudHSM 키 스토어를 연결 해제된 상태로 무기한 두고 사용해야 하는 경우에만 연결할 수 있습니다. 하지만 설정이 올바른지, 연결이 가능한지 확인하기 위해 정기적으로 연결을 테스트하고 싶을 수 있습니다.

참고

AWS CloudHSM 키 스토어는 키 스토어가 DISCONNECTED 연결되지 않았거나 명시적으로 연결을 해제한 경우에만 연결 상태가 됩니다. AWS CloudHSM 키 스토어 연결 상태가 CONNECTED이지만 키 스토어 연결 상태를 사용하는 데 문제가 있는 경우 연결된 AWS CloudHSM 클러스터가 활성 상태이고 하나 이상의 활성 이 포함되어 있는지 확인합니다HSMs. 연결 실패에 대한 도움말은 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

AWS CloudHSM 키 스토어를 연결하면 연결된 AWS CloudHSM 클러스터를 AWS KMS 찾고, 해당 클러스터에 연결하고, kmsuser 암호화 사용자(CU)로 AWS CloudHSM 클라이언트에 로그인한 다음kmsuser, 암호를 교대합니다. AWS CloudHSM 키 스토어가 연결되어 있는 한 는 AWS CloudHSM 클라이언트에 로그인된 상태로 AWS KMS 유지됩니다.

연결을 설정하려면 클러스터의 가상 프라이빗 클라우드(VPC)kms-<custom key store ID>에 라는 보안 그룹을 AWS KMS 생성합니다. 보안 그룹에는 클러스터 보안 그룹의 인바운드 트래픽을 허용하는 단일 규칙이 있습니다. AWS KMS 또한 클러스터의 프라이빗 서브넷의 각 가용 영역에 탄력적 네트워크 인터페이스(ENI)를 생성합니다. 는 클러스터ENIs의 kms-<cluster ID> 보안 그룹 및 보안 그룹에 를 AWS KMS 추가합니다. 각 에 대한 설명은 ENI입니다KMS managed ENI for cluster <cluster-ID>.

연결 프로세스를 완료하는 데 최대 20분이 걸릴 수 있습니다.

AWS CloudHSM 키 스토어를 연결하기 전에 키 스토어가 요구 사항을 충족하는지 확인합니다.

  • 연결된 AWS CloudHSM 클러스터에는 활성 가 하나 이상 포함되어야 합니다HSM. 클러스터HSMs에서 의 수를 찾으려면 AWS CloudHSM 콘솔에서 클러스터를 보거나 DescribeClusters 작업을 사용합니다. 필요한 경우 를 추가할 HSM수 있습니다.

  • 클러스터에는 kmsuser 암호화 사용자(CU) 계정이 있어야 하지만 AWS CloudHSM 키 스토어를 연결할 때 해당 CU를 클러스터에 로그인할 수 없습니다. 로그아웃에 대한 도움말은 로그아웃 및 재연결 방법 단원을 참조하십시오.

  • AWS CloudHSM 키 스토어의 연결 상태는 DISCONNECTING 또는 일 수 없습니다FAILED. 연결 상태를 보려면 AWS KMS 콘솔 또는 DescribeCustomKeyStores 응답을 사용합니다. 연결 상태가 FAILED면 사용자 지정 키 스토어를 연결 해제하고 문제를 수정한 다음 다시 연결합니다.

연결 실패에 대한 도움말은 연결 오류를 수정하는 방법 단원을 참조하십시오.

AWS CloudHSM 키 스토어가 연결되면 KMS 키가 생성되고 암호화 작업 에서 기존 KMS 키를 사용할 수 있습니다.

AWS CloudHSM 키 스토어에 연결 및 재연결

AWS KMS 콘솔에서 또는 ConnectCustomKeyStore 작업을 사용하여 AWS CloudHSM 키 스토어를 연결하거나 다시 연결할 수 있습니다.

에서 AWS CloudHSM 키 스토어를 연결하려면 AWS Management Console먼저 사용자 지정 AWS CloudHSM 키 스토어 페이지에서 키 스토어를 선택합니다. 연결 프로세스가 완료되는 데 최대 20분이 걸릴 수 있습니다.

  1. 에 로그인 AWS Management Console 하고 /kms 에서 AWS Key Management Service (AWS KMS) 콘솔을 엽니다. https://console.aws.amazon.com

  2. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.

  3. 탐색 창에서 Custom key stores(사용자 지정 키 스토어), AWS CloudHSM key stores를 선택합니다.

  4. 연결하려는 AWS CloudHSM 키 스토어의 행을 선택합니다.

    AWS CloudHSM 키 스토어의 연결 상태가 실패인 경우 연결하기 전에 사용자 지정 키 스토어의 연결을 해제해야 합니다.

  5. Key store actions(키 스토어 작업) 메뉴에서 Connect(연결)를 선택합니다.

AWS KMS 는 사용자 지정 키 스토어를 연결하는 프로세스를 시작합니다. 또한 연결 AWS CloudHSM 클러스터를 찾고, 필요한 네트워크 인프라를 구축하여 연결하고, kmsuser CU로 AWS CloudHSM 클러스터에 로그인하고, kmsuser 암호를 교체합니다. 이 작업이 완료되면 연결 상태가 연결됨으로 변경됩니다.

작업이 실패하면 실패 원인을 설명하는 오류 메시지가 나타납니다. 다시 연결하기 전에 AWS CloudHSM 키 스토어의 연결 상태를 확인하세요. 연결 상태가 실패이면 다시 연결을 하기 앞서 사용자 지정 키 스토어의 연결을 해제해야 합니다. 도움이 필요한 경우 사용자 지정 키 스토어 문제 해결 단원을 참조하십시오.

다음: KMS 키 스토어에서 AWS CloudHSM 키 생성.

연결이 해제된 AWS CloudHSM 키 스토어를 연결하려면 ConnectCustomKeyStore 작업을 사용합니다. 연결된 AWS CloudHSM 클러스터에는 하나 이상의 활성 클러스터HSM가 포함되어야 하며 연결 상태는 일 수 없습니다FAILED.

연결 프로세스를 완료하는 데 최대 20분이 걸릴 수 있습니다. 빠르게 실패하지 않는 한 작업은 HTTP 200 응답과 속성이 없는 JSON 객체를 반환합니다. 하지만 이러한 초기 응답은 연결이 성공했음을 의미하지는 않습니다. 사용자 지정 키 스토어의 연결 상태를 확인하려면 DescribeCustomKeyStores 응답을 참조하세요.

이 섹션의 예제는 AWS Command Line Interface (AWS CLI)를 사용하지만, 지원되는 모든 프로그래밍 언어를 사용할 수 있습니다.

AWS CloudHSM 키 스토어를 식별하려면 사용자 지정 키 스토어 ID를 사용합니다. 콘솔의 사용자 지정 키 스토어 페이지에서 또는 파라미터가 없는 DescribeCustomKeyStores 작업을 사용하여 ID를 찾을 수 있습니다. 이 예제를 실행하기 앞서 예제 ID를 유효한 ID로 바꿉니다.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

AWS CloudHSM 키 스토어가 연결되어 있는지 확인하려면 DescribeCustomKeyStores 작업을 사용합니다. 기본적으로 이 작업은 계정 및 리전에서 모든 사용자 지정 키 스토어를 반환합니다. 그러나 CustomKeyStoreId 또는 CustomKeyStoreName 파라미터(둘 중 하나만)를 사용해서 특정한 사용자 지정 키 스토어로 응답을 제한할 수 있습니다. ConnectionState 값이 CONNECTED라는 것은 AWS CloudHSM 클러스터에 사용자 지정 키 스토어가 연결되어 있다는 것을 의미합니다.

참고

키 스토어와 외부 AWS CloudHSM 키 스토어를 구분하기 위해 CustomKeyStoreType 필드가 DescribeCustomKeyStores 응답에 추가되었습니다.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

ConnectionState 값이 실패인 경우, ConnectionErrorCode 요소는 실패 원인을 나타냅니다. 이 경우 계정에서 AWS CloudHSM 클러스터 ID가 인 클러스터를 찾을 수 AWS KMS 없습니다cluster-1a23b4cdefg. 클러스터를 삭제한 경우에는 원래 클러스터의 백업에서 이를 복원한 다음, 사용자 지정 키 스토어의 클러스터 ID를 편집할 수 있습니다. 연결 오류 코드에 대응하는 방법에 대한 도움말은 연결 오류를 수정하는 방법 섹션을 참조하세요.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}