기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CloudHSM 주요 스토어 컨셉
이 항목에서는 에서 사용되는 몇 가지 개념을 설명합니다. AWS CloudHSM 키 스토어.
AWS CloudHSM 키 스토어
AWS CloudHSM 키 스토어는 다음과 관련된 사용자 지정 키 스토어입니다. AWS CloudHSM 소유하고 관리하는 클러스터. AWS CloudHSM 클러스터는 FIPS140-2 레벨 3 인증을 받은 하드웨어 보안 모듈 (HSMs) 으로 뒷받침됩니다.
에서 KMS 키를 생성할 때 AWS CloudHSM 키 스토어, AWS KMS 내보낼 수 없는 256비트 영구 고급 암호화 표준 (AES) 대칭 키를 관련 키에 생성합니다. AWS CloudHSM 클러스터. 이 키 자료는 암호화되지 않은 상태로 절대 남지 않습니다. HSMs KMS키를 사용하는 경우 AWS CloudHSM 키 저장소의 암호화 작업은 HSMs 클러스터에서 수행됩니다.
AWS CloudHSM 키 스토어는 편리하고 포괄적인 키 관리 인터페이스를 결합합니다. AWS KMS 에서 제공하는 추가 제어 기능을 통해 AWS CloudHSM 내 클러스터 AWS 계정. 이 통합 기능을 통해 KMS 키를 생성, 관리 및 사용할 수 있습니다. AWS KMS 동시에 클러스터 관리, 백업 등 주요 자료를 HSMs 저장하는 영역에 대한 완전한 제어를 유지합니다. HSMs 다음을 사용할 수 있습니다. AWS KMS 콘솔 및 APIs 관리 AWS CloudHSM 키 스토어 및 KMS 키. 다음을 사용할 수도 있습니다. AWS CloudHSM 콘솔APIs, 클라이언트 소프트웨어 및 관련 소프트웨어 라이브러리를 사용하여 연결된 클러스터를 관리합니다.
다음을 보고 관리할 수 있습니다. AWS CloudHSM 키 스토어, 속성 편집, 관련 키와의 연결 및 연결 해제 AWS CloudHSM 클러스터. 삭제해야 하는 경우 AWS CloudHSM 키 스토어의 KMS 키를 먼저 삭제해야 합니다. AWS CloudHSM 삭제 일정을 잡고 유예 기간이 만료될 때까지 기다려 키를 저장합니다. 삭제 AWS CloudHSM 키 스토어가 리소스를 제거합니다. AWS KMS하지만 사용자 환경에는 영향을 미치지 않습니다. AWS CloudHSM 클러스터.
AWS CloudHSM cluster
모든 AWS CloudHSM 키 스토어는 하나와 연결되어 있습니다. AWS CloudHSM 클러스터. 를 생성할 때 AWS KMS key 당신의 안에 AWS CloudHSM 키 스토어, AWS KMS 관련 클러스터에서 키 자료를 생성합니다. 에서 KMS 키를 사용하는 경우 AWS CloudHSM 키 스토어의 암호화 작업은 관련 클러스터에서 수행됩니다.
각 AWS CloudHSM 클러스터는 하나만 연결할 수 있습니다. AWS CloudHSM 키 스토어. 선택한 클러스터를 다른 클러스터와 연결할 수 없습니다. AWS CloudHSM 백업 기록을 키 저장하거나 다른 클러스터와 연결된 클러스터와 공유 AWS CloudHSM 키 스토어. 클러스터가 초기화되고 활성화되어 있어야 하며 동일한 클러스터에 있어야 합니다. AWS 계정 그리고 지역은 AWS CloudHSM 키 스토어. 새 클러스터를 만들거나 기존 클러스터를 사용할 수 있습니다. AWS KMS 클러스터를 독점적으로 사용할 필요는 없습니다. 에서 KMS 키를 만들려면 AWS CloudHSM 키 스토어, 관련 클러스터에는 최소한 두 개의 활성 클러스터가 있어야 HSMs 합니다. 다른 모든 작업에는 하나만 필요합니다HSM.
다음을 지정합니다. AWS CloudHSM 클러스터를 생성할 때 AWS CloudHSM 키 스토어는 변경할 수 없으며 변경할 수 없습니다. 한편 다른 클러스터와 백업 기록을 공유하는 모든 클러스터를 대체할 수 있습니다. 이렇게 하면 필요 시 클러스터를 삭제하고 이를 백업 중 하나에서 생성된 클러스터로 바꿀 수 있습니다. 관련 항목에 대한 모든 권한은 귀하에게 있습니다. AWS CloudHSM 클러스터를 통해 사용자와 키를 관리하고, 백업을 생성 및 삭제하고HSMs, 사용 및 관리할 수 있습니다.
사용할 준비가 되면 AWS CloudHSM 키 스토어를 관련 스토어에 연결합니다. AWS CloudHSM 클러스터. 언제든지 사용자 지정 키 스토어를 연결 및 연결 해제할 수 있습니다. 사용자 지정 키 스토어가 연결되면 해당 KMS 키를 생성하여 사용할 수 있습니다. 연결이 끊긴 경우 다음을 보고 관리할 수 있습니다. AWS CloudHSM 키 스토어 및 해당 KMS 키. 하지만 새 KMS 키를 만들거나 키에 있는 KMS 키를 사용할 수는 없습니다. AWS CloudHSM 암호화 작업을 위한 키 저장소.
kmsuser
암호화 사용자(CU)
관련 자료의 키 자료를 생성하고 관리합니다. AWS CloudHSM 사용자를 대신하여 클러스터링하세요. AWS KMS
전용 사용 AWS CloudHSM 이름이 지정된 kmsuser
클러스터의 암호화 사용자 (CU) kmsuser
CU는 클러스터의 모든 계정과 자동으로 동기화되고 클러스터 HSMs 백업에 저장되는 표준 CU 계정입니다.
생성하기 전에 AWS CloudHSM 키 스토어에 kmsuser CU 계정을 생성하십시오. AWS CloudHSM 클라우드에서 사용자 생성 명령을 사용하여 HSM CLI 클러스터링합니다. 그런 다음 생성하면 AWS CloudHSM 키 스토어에 kmsuser
계정 비밀번호를 입력합니다. AWS KMS. 사용자 지정 키 스토어를 연결하면 AWS KMS 클러스터에 kmsuser
CU로 로그인하고 암호를 교체합니다. AWS KMS kmsuser
암호를 안전하게 저장하기 전에 암호화합니다. 암호가 교체되면 새 암호가 암호화되어 동일한 방식으로 저장됩니다.
AWS KMS 다음과 kmsuser
같은 기간 동안에는 로그인 상태를 유지합니다. AWS CloudHSM 키 스토어가 연결되었습니다. 이러한 CU 계정을 다른 목적으로 사용해서는 안 됩니다. 그러나 kmsuser
CU 계정에 대한 궁극적인 제어권은 보유할 수 있습니다. kmsuser
소유한 키는 언제든지 찾을 수 있습니다. 필요한 경우 사용자 지정 키 스토어의 연결을 해제하고, kmsuser
암호를 변경하고, kmsuser로 클러스터에 로그인하고, kmsuser
가 소유하는 키를 조회하고 및 관리할 수 있습니다.
kmsuser
CU 계정 생성에 대한 지침은 kmsuser CU(Crypto User) 생성을 참조하세요.
KMS안에 들어 있는 열쇠 AWS CloudHSM 키 스토어
사용할 수 있습니다. AWS KMS 또는 AWS KMS API만들려면 AWS KMS keys안에 AWS CloudHSM 키 스토어. 모든 KMS 키에 사용하는 것과 동일한 기법을 사용합니다. 유일한 차이점은 식별해야 한다는 것입니다. AWS CloudHSM 키를 저장하고 키 자료의 출처가 다음과 같음을 지정합니다. AWS CloudHSM 클러스터.
에서 KMS 키를 생성할 때 AWS CloudHSM 키 스토어, AWS KMS 에서 KMS 키를 생성합니다. AWS KMS 그리고 관련 클러스터에서 내보낼 수 없는 256비트의 영구 고급 암호화 표준 (AES) 대칭 키 자료를 생성합니다. 를 사용하는 경우 AWS KMS 암호화 작업에서 키를 사용하는 경우 작업은 다음 위치에서 수행됩니다. AWS CloudHSM 클러스터 기반 키를 사용하는 클러스터. AES 하지만 AWS CloudHSM 다양한 유형의 대칭 및 비대칭 키를 지원합니다. AWS CloudHSM 키 스토어는 AES 대칭 암호화 키만 지원합니다.
에서 KMS 키를 볼 수 있습니다. AWS CloudHSM 내 키 스토어 AWS KMS 콘솔을 선택하고 콘솔 옵션을 사용하여 사용자 지정 키 스토어 ID를 표시합니다. DescribeKey작업을 사용하여 다음을 찾을 수도 있습니다. AWS CloudHSM 키 스토어 ID 및 AWS CloudHSM 클러스터 ID.
안에 들어 있는 KMS 키 AWS CloudHSM 키 스토어는 다른 KMS 키처럼 작동합니다. AWS KMS. 인증된 사용자가 KMS 키를 사용하고 관리하려면 동일한 권한이 필요합니다. 동일한 콘솔 절차와 API 작업을 사용하여 KMS 키를 보고 관리할 수 있습니다. AWS CloudHSM 키 스토어. 여기에는 KMS 키 활성화 및 비활성화, 태그와 별칭 생성 및 사용, 키 정책 설정 IAM 및 변경 등이 포함됩니다. KMS키는 다음과 같이 사용할 수 있습니다. AWS CloudHSM 암호화 작업을 위한 키 저장소, 통합 기능과 함께 사용 AWS 고객 관리 키 사용을 지원하는 서비스이지만 자동 키 교체를 활성화하거나 키 자료를 키에 가져올 수는 없습니다. KMS AWS CloudHSM 키 스토어.
또한 동일한 프로세스를 사용하여 KMS 키 삭제를 예약할 수 있습니다. AWS CloudHSM 키 스토어. 대기 기간이 만료된 후, AWS KMS 에서 KMS 키를 삭제합니다. KMS 그런 다음 관련 키에서 해당 키의 키 자료를 삭제하기 위해 최선을 다합니다. KMS AWS CloudHSM 클러스터. 하지만 클러스터 및 백업에서 수동으로 불필요한 키 구성 요소를 삭제하고 싶어할 수 있습니다.