기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS CloudHSM 관리 유틸리티(CMU) **cloudhsm\$1mgmt\$1util** 명령줄 도구는 암호화 책임자가 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSMs)에서 사용자를 관리하는 데 도움이 됩니다. AWS CloudHSM 관리 유틸리티(CMU)에는 사용자를 생성, 삭제 및 나열하고 사용자 암호를 변경하는 도구가 포함되어 있습니다. CMU 및 키 관리 유틸리티(KMU)는 [클라이언트 SDK 3 제품군](choose-client-sdk.md)의 일부입니다. Client SDK 3 및 관련 명령줄 도구(키 관리 유틸리티 및 CloudHSM 관리 유틸리티)는 HSM 유형 *hsm1.medium*에서만 사용할 수 있습니다. cloudhsm\$1mgmt\$1util에는 CU(Crypto User)가 키를 공유하거나 키 속성을 가져오고 설정할 수 있는 명령도 포함됩니다. 이러한 명령은 프라이머리 키 관리 도구 [key\$1mgmt\$1util](key_mgmt_util.md)의 키 관리 명령을 보완합니다. 빠른 시작은 [AWS CloudHSM 관리 유틸리티(CMU) 시작하기](cloudhsm_mgmt_util-getting-started.md) 섹션을 참조하십시오. cloudhsm\$1mgmt\$1util 명령 및 명령 사용 예제에 대한 자세한 내용은 [AWS CloudHSM 관리 유틸리티 명령에 대한 참조](cloudhsm_mgmt_util-reference.md) 섹션을 참조하십시오. **Topics** + [지원하는 플랫폼](cmu-support.md) + [시작하기](cloudhsm_mgmt_util-getting-started.md) + [클라이언트 설치(Linux)](cmu-install-and-configure-client-linux.md) + [클라이언트 설치(Windows)](cmu-install-and-configure-client-win.md) + [레퍼런스](cloudhsm_mgmt_util-reference.md) # AWS CloudHSM 관리 유틸리티에 지원되는 플랫폼 이 주제에서는 AWS CloudHSM 관리 유틸리티(CMU)가 지원하는 Linux 및 Windows 플랫폼에 대해 설명합니다. ## Linux 지원 + Amazon Linux + Amazon Linux 2 + CentOS 6.10\$1 + CentOS 7.3\$1 + CentOS 8 + Red Hat Enterprise Linux(RHEL) 6.10\$1 + Red Hat Enterprise Linux(RHEL) 7.9\$1 + Red Hat Enterprise Linux(RHEL) 8 + Ubuntu 16.04 LTS + Ubuntu 18.04 LTS ## 윈도우 지원 + Microsoft Windows Server 2012 + Microsoft Windows Server 2012 R2 + Microsoft Windows Server 2016 + Microsoft Windows Server 2019 # AWS CloudHSM 관리 유틸리티(CMU) 시작하기 AWS CloudHSM 관리 유틸리티(CMU)를 사용하면 하드웨어 보안 모듈(HSM) 사용자를 관리할 수 있습니다. 이 주제를 사용하여 사용자 생성, 사용자 등록 및 CMU를 클러스터에 연결하는 등 기본적인 HSM 사용자 관리 태스크를 시작할 수 있습니다. 1. CMU를 사용하려면 먼저 구성 도구를 사용하여 클러스터에 있는 HSM 중 하나의 `--cmu` 파라미터와 IP 주소로 로컬 CMU 구성을 업데이트해야 합니다. CMU를 사용할 때마다 이 작업을 수행하여 클러스터의 모든 HSM에서 HSM 사용자를 관리하고 있는지 확인하십시오. ------ #### [ Linux ] ``` $ sudo /opt/cloudhsm/bin/configure --cmu ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu ``` ------ 1. 다음 명령을 사용하여 대화형 모드에서 CLI를 시작합니다. ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg ``` ------ 보유한 HSM의 수에 따라 다음과 같이 출력됩니다. ``` Connecting to the server(s), it may take time depending on the server(s) load, please wait... Connecting to server '10.0.2.9': hostname '10.0.2.9', port 2225... Connected to server '10.0.2.9': hostname '10.0.2.9', port 2225. Connecting to server '10.0.3.11': hostname '10.0.3.11', port 2225... Connected to server '10.0.3.11': hostname '10.0.3.11', port 2225. Connecting to server '10.0.1.12': hostname '10.0.1.12', port 2225... Connected to server '10.0.1.12': hostname '10.0.1.12', port 2225. ``` 프롬프트는 cloudhsm\$1mgmt\$1util이 실행 중일 때 `aws-cloudhsm>`로 변경됩니다. 1. **loginHSM** 명령을 사용하여 클러스터에 로그인합니다. 모든 유형의 사용자가 이 명령을 사용하여 클러스터에 로그인할 수 있습니다. 다음 예시의 명령은 기본 [crypto officer (CO)](understanding-users-cmu.md)인 *관리자(admin)*에 로그인합니다. 클러스터를 활성화한 경우에만 이 사용자의 암호를 설정할 수 있습니다. `-hpswd` 파라미터를 사용하여 비밀번호를 숨길 수 있습니다. ``` aws-cloudhsm>loginHSM CO admin -hpswd ``` 시스템이 암호를 묻는 메시지를 표시합니다. 암호를 입력하면 시스템이 암호를 숨기고 출력에는 명령이 성공적으로 수행되었으며 클러스터의 모든 HSM에 연결되었음이 표시됩니다. ``` Enter password: loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11) loginHSM success on server 2(10.0.1.12) ``` 1. 클러스터의 모든 사용자를 나열하는 데 **listUsers**을 사용합니다. ``` aws-cloudhsm>listUsers ``` CMU는 클러스터의 모든 사용자를 나열합니다. ``` Users on server 0(10.0.2.9): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO ``` 1. **password1**의 암호를 사용하여 **example\$1user**라는 이름의 CU 사용자를 생성하기 위해 **createUser**을 사용합니다. 애플리케이션에서 CU 사용자를 사용하여 암호화 및 키 관리 작업을 수행합니다. 3단계에서 CO 사용자로 로그인했기 때문에 CU 사용자를 생성할 수 있습니다. CO 사용자만 CMU를 사용하여 사용자 생성 및 삭제, 다른 사용자의 암호 변경과 같은 사용자 관리 태스크를 수행할 수 있습니다. ``` aws-cloudhsm>createUser CU example_user password1 ``` CMU는 사용자 생성 작업에 대한 메시지를 표시합니다. ``` *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)? ``` 1. CU 사용자 **example\$1user**을 생성하려면 **y**를 입력합니다. 1. **listUsers**을 사용하여 클러스터의 모든 사용자를 나열합니다. ``` aws-cloudhsm>listUsers ``` CMU는 방금 생성한 새 CU 사용자를 포함하여 클러스터의 모든 사용자를 나열합니다. ``` Users on server 0(10.0.2.9): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU example_user NO 0 NO Users on server 1(10.0.3.11): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU example_user NO 0 NO Users on server 2(10.0.1.12): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU example_user NO 0 NO ``` 1. **logoutHSM** 명령을 사용하여 HSM에서 로그아웃합니다. ``` aws-cloudhsm>logoutHSM logoutHSM success on server 0(10.0.2.9) logoutHSM success on server 1(10.0.3.11) logoutHSM success on server 2(10.0.1.12) ``` 1. **quit** 명령을 사용하여 cloudhsm\$1mgmt\$1util를 중지합니다. ``` aws-cloudhsm>quit disconnecting from servers, please wait... ``` # CMU용 AWS CloudHSM 클라이언트 설치 및 구성(Linux) cloudhsm\$1mgmt\$1util(CMU)을 사용하여 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSM)과 상호 작용하려면 Linux용 AWS CloudHSM 클라이언트 소프트웨어가 필요합니다. 이전에 생성한 Linux Amazon EC2 클라이언트 인스턴스에 설치해야 합니다. Windows를 사용하는 경우에도 클라이언트를 설치할 수 있습니다. 자세한 내용은 [CMU용 AWS CloudHSM 클라이언트 설치 및 구성(Windows)](cmu-install-and-configure-client-win.md) 섹션을 참조하십시오. **Topics** + [1단계. AWS CloudHSM 클라이언트 및 명령줄 도구 설치](#cmu-install-client) + [2단계. 클라이언트 구성 편집](#cmu-edit-client-configuration) ## 1단계. AWS CloudHSM 클라이언트 및 명령줄 도구 설치 클라이언트 인스턴스에 연결하고 다음 명령을 실행하여 AWS CloudHSM 클라이언트 및 명령줄 도구를 다운로드하고 설치합니다. ------ #### [ Amazon Linux ] ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-client-latest.el6.x86_64.rpm ``` ``` sudo yum install ./cloudhsm-client-latest.el6.x86_64.rpm ``` ------ #### [ Amazon Linux 2 ] ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-client-latest.el7.x86_64.rpm ``` ``` sudo yum install ./cloudhsm-client-latest.el7.x86_64.rpm ``` ------ #### [ CentOS 7 ] ``` sudo yum install wget ``` ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-client-latest.el7.x86_64.rpm ``` ``` sudo yum install ./cloudhsm-client-latest.el7.x86_64.rpm ``` ------ #### [ CentOS 8 ] ``` sudo yum install wget ``` ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-client-latest.el8.x86_64.rpm ``` ``` sudo yum install ./cloudhsm-client-latest.el8.x86_64.rpm ``` ------ #### [ RHEL 7 ] ``` sudo yum install wget ``` ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-client-latest.el7.x86_64.rpm ``` ``` sudo yum install ./cloudhsm-client-latest.el7.x86_64.rpm ``` ------ #### [ RHEL 8 ] ``` sudo yum install wget ``` ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-client-latest.el8.x86_64.rpm ``` ``` sudo yum install ./cloudhsm-client-latest.el8.x86_64.rpm ``` ------ #### [ Ubuntu 16.04 LTS ] ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-client_latest_amd64.deb ``` ``` sudo apt install ./cloudhsm-client_latest_amd64.deb ``` ------ #### [ Ubuntu 18.04 LTS ] ``` wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-client_latest_u18.04_amd64.deb ``` ``` sudo apt install ./cloudhsm-client_latest_u18.04_amd64.deb ``` ------ ## 2단계. 클라이언트 구성 편집 AWS CloudHSM 클라이언트를 사용하여 클러스터에 연결하려면 먼저 클라이언트 구성을 편집해야 합니다. **클라이언트 구성을 편집하려면** 1. cloudhsm\$1mgmt\$1util에 클라이언트 SDK 3을 설치하는 경우 다음 단계를 완료하여 클러스터의 모든 노드가 동기화되는지 확인합니다. 1. **configure -a ****를 실행합니다. 1. 클라이언트 서비스를 다시 시작합니다. 1. **configure -m**를 실행합니다. 1. 발급 인증서 복사 - [클러스터 인증서에 서명하는 데 사용한 인증서](initialize-cluster.md#sign-csr)를 클라이언트 인스턴스의 `/opt/cloudhsm/etc/customerCA.crt` 위치에 복사합니다. 인증서를 이 위치로 복사하려면 클라이언트 인스턴스에 대해 인스턴스 루트 사용자 권한이 필요합니다. 1. 다음 [configure](configure-tool.md) 명령을 사용하여 AWS CloudHSM 클라이언트 및 명령줄 도구의 구성 파일을 업데이트하고 클러스터에 있는 HSM의 IP 주소를 지정합니다. HSM의 IP 주소를 가져오려면 [AWS CloudHSM 콘솔](https://console.aws.amazon.com/cloudhsm/)에서 클러스터를 보거나 **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** AWS CLI 명령을 실행합니다. 명령의 출력에서 HSM의 IP 주소는 `EniIp` 필드의 값입니다. HSM이 두 개 이상인 경우 임의 HSM의 IP 주소를 선택합니다. ``` sudo /opt/cloudhsm/bin/configure -a Updating server config in /opt/cloudhsm/etc/cloudhsm_client.cfg Updating server config in /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg ``` 1. [에서 클러스터 활성화 AWS CloudHSM](activate-cluster.md)로 이동합니다. # CMU용 AWS CloudHSM 클라이언트 설치 및 구성(Windows) cloudhsm\$1mgmt\$1util(CMU)을 사용하여 Windows의 AWS CloudHSM 클러스터에서 하드웨어 보안 모듈(HSM)을 사용하려면 Windows용 AWS CloudHSM 클라이언트 소프트웨어가 필요합니다. 이전에 생성한 Windows 서버 인스턴스에 설치해야 합니다. **참고** 클라이언트를 업데이트하려는 경우, 이전 설치의 기존 구성 파일을 덮어쓰지 *않습니다*. Windows용 AWS CloudHSM 클라이언트 설치 관리자는 암호화 API: 차세대(CNG) 및 키 스토리지 공급자(KSP)를 자동으로 등록합니다. 클라이언트를 제거하려면 설치 프로그램을 다시 실행하고 제거 지침을 따르십시오. Linux를 사용하는 경우, Linux 클라이언트를 설치할 수 있습니다. 자세한 내용은 [CMU용 AWS CloudHSM 클라이언트 설치 및 구성(Linux)](cmu-install-and-configure-client-linux.md) 단원을 참조하십시오. **최신 Windows 클라이언트 및 명령줄 도구를 설치(또는 업데이트)하려면** 1. Windows 서버 인스턴스에 연결합니다. 1. [AWSCloudHSMClient-latest.msi 설치 관리자](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMClient-latest.msi)를 다운로드합니다. 1. cloudhsm\$1mgmt\$1util에 클라이언트 SDK 3을 설치하는 경우 다음 단계를 완료하여 클러스터의 모든 노드가 동기화되는지 확인합니다. 1. **configure.exe -a ****를 실행합니다. 1. 클라이언트 서비스를 다시 시작합니다. 1. **configure.exe -m**를 실행합니다. 1. 다운로드 위치로 이동하여 관리자 권한으로 설치 프로그램(**AWSCloudHSMClient-latest.msi**)을 실행합니다. 1. 설치 프로그램 지침을 따르고 설치 프로그램이 완료되면 **닫기**를 선택합니다. 1. 자체 서명된 발급 인증서 복사 - [클러스터 인증서에 서명하는 데 사용된 인증서](initialize-cluster.md#sign-csr)를 `C:\ProgramData\Amazon\CloudHSM` 폴더로 복사합니다. 1. 다음 명령을 실행하여 구성 파일을 업데이트합니다. 업데이트하려면 재구성 중에 클라이언트를 중지했다 시작해야 합니다. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" -a ``` 1. [에서 클러스터 활성화 AWS CloudHSM](activate-cluster.md)로 이동합니다. # AWS CloudHSM 관리 유틸리티 명령에 대한 참조 AWS CloudHSM cloudhsm\$1mgmt\$1util 명령줄 도구는 암호화 책임자가 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSMs)에서 사용자를 관리하는 데 도움이 됩니다. 이 도구에는 CU(Crypto User)가 키를 공유하거나 키 속성을 가져오고 설정할 수 있는 명령도 포함됩니다. 이러한 명령은 [key\$1mgmt\$1util](key_mgmt_util.md) 명령줄 도구의 프라이머리 키 관리 명령을 보완합니다. 빠른 시작은 [AWS CloudHSM 관리 유틸리티(CMU) 시작하기](cloudhsm_mgmt_util-getting-started.md) 섹션을 참조하십시오. cloudhsm\$1mgmt\$1util 명령을 실행하기 전에 cloudhsm\$1mgmt\$1util을 시작하고 HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 계정 유형으로 로그인해야 합니다. 모든 cloudhsm\$1mgmt\$1util 명령을 나열하려면 다음 명령을 실행합니다. ``` aws-cloudhsm> help ``` cloudhsm\$1mgmt\$1util 명령의 구문을 가져오려면 다음 명령을 실행합니다. ``` aws-cloudhsm> help ``` **참고** 설명서에 따라 구문을 사용합니다. 기본 제공 소프트웨어 도움말이 추가 옵션을 제공하기도 하지만 이 옵션이 꼭 지원되는 것은 아니므로 프로덕션 코드에 활용해서는 안 됩니다. 명령을 실행하려면 명령 이름을 입력하거나 다른 cloudhsm\$1mgmt\$1util 명령의 이름과 구별하는 데 충분한 정도의 이름을 입력합니다. 예를 들어, HSM의 사용자 목록을 가져오려면 **listUsers** 또는 **listU**를 입력합니다. ``` aws-cloudhsm> listUsers ``` cloudhsm\$1mgmt\$1util 세션을 종료하려면 다음 명령을 실행합니다. ``` aws-cloudhsm> quit ``` 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md) 섹션을 참조하십시오. 다음 주제에서는 cloudhsm\$1mgmt\$1util의 명령에 대해 설명합니다. **참고** key\$1mgmt\$1util과 cloudhsm\$1mgmt\$1util의 일부 명령은 이름이 같습니다. 하지만 일반적으로 명령은 구문, 출력 및 기능이 조금씩 다릅니다. | 명령 | 설명 | 사용자 유형 | | --- | --- | --- | | [changePswd](cloudhsm_mgmt_util-changePswd.md) | HSM 사용자의 암호를 변경합니다. 모든 사용자는 본인의 암호를 변경할 수 있습니다. CO는 모든 사용자의 암호를 변경할 수 있습니다. | CO | | [createUser](cloudhsm_mgmt_util-createUser.md) | HSM에서 모든 유형의 사용자를 생성합니다. | CO | | [deleteUser](cloudhsm_mgmt_util-deleteUser.md) | HSM에서 모든 유형의 사용자를 삭제합니다. | CO | | [findAllKeys](cloudhsm_mgmt_util-findAllKeys.md) | 사용자가 소유하거나 공유하는 키를 가져옵니다. 또한 각 HSM의 모든 키에 대한 키 소유권 및 공유 데이터의 해시를 가져옵니다. | CO, AU | | [getAttribute](cloudhsm_mgmt_util-getAttribute.md) | AWS CloudHSM 키의 속성 값을 가져와서 파일 또는 stdout(표준 출력)에 씁니다. | CU | | [getHSMInfo](cloudhsm_mgmt_util-getHSMInfo.md) | 특정 HSM이 실행되는 하드웨어에 대한 정보를 가져옵니다. | 모두. 로그인은 필요하지 않습니다. | | [getKeyInfo](cloudhsm_mgmt_util-getKeyInfo.md) | 키의 소유자, 공유 사용자 및 쿼럼 인증 상태를 가져옵니다. | 모두. 로그인은 필요하지 않습니다. | | [info](cloudhsm_mgmt_util-info.md) | HSM에 대한 정보를 가져옵니다(IP 주소, 호스트 이름, 포트, 현재 사용자 등). | 모두. 로그인은 필요하지 않습니다. | | [listUsers](cloudhsm_mgmt_util-listUsers.md) | 각 HSM의 사용자, 해당 사용자 유형/ID 및 기타 속성을 가져옵니다. | 모두. 로그인은 필요하지 않습니다. | | [loginHSM 및 logoutHSM](cloudhsm_mgmt_util-loginLogout.md) | HSM에 로그인하고 로그아웃합니다. | 모두. | | [quit](cloudhsm_mgmt_util-quit.md) | cloudhsm\$1mgmt\$1util을 종료합니다. | 모두. 로그인은 필요하지 않습니다. | | [서버](cloudhsm_mgmt_util-server.md) | HSM에서 서버 모드에 들어가고 나옵니다. | 모두. | | [registerQuorumPubKey](cloudhsm_mgmt_util-registerQuorumPubKey.md) | HSM 사용자를 비대칭 RSA-2048 키 페어와 연결합니다. | CO | | [setAttribute](cloudhsm_mgmt_util-setAttribute.md) | 기존 키의 레이블, 암호화, 암호 해독, 래핑 및 언래핑 속성의 값을 변경합니다. | CU | | [shareKey](cloudhsm_mgmt_util-shareKey.md) | 기존 키를 다른 사용자와 공유합니다. | CU | | [syncKey](cloudhsm_mgmt_util-syncKey.md) | 복제된 AWS CloudHSM 클러스터 간에 키를 동기화합니다. | CU, CO | | [syncUser](cloudhsm_mgmt_util-syncUser.md) | 복제된 AWS CloudHSM 클러스터에서 사용자를 동기화합니다. | CO | # CMU를 사용하여 사용자의 암호 변경 AWS CloudHSM cloudhsm\$1mgmt\$1util(CMU)의 **changePswd** 명령을 사용하여 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSM)에서 기존 사용자의 암호를 변경합니다. 모든 사용자는 본인의 암호를 변경할 수 있습니다. 또한 Crypto Officer(CO 및 PCO)는 다른 CO 또는 Crypto User(CU)의 암호를 변경할 수 있습니다. 변경하기 위해 현재 암호를 입력할 필요는 없습니다. **참고** 현재 AWS CloudHSM 클라이언트 또는 key\$1mgmt\$1util에 로그인한 사용자의 암호는 변경할 수 없습니다. ## changePswd 문제를 해결하려면 CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자가 이 명령을 실행할 수 있습니다. + Crypto officers(CO) + 암호화 사용자(Crypto User) ## 구문 구문 다이어그램에 지정된 순서대로 인수를 입력합니다. `-hpswd` 파라미터를 사용하여 암호를 숨길 수 있습니다. CO 사용자에 대해 2단계 인증(2FA)를 활성화하려면 `-2fa` 파라미커를 사용하고 파일 경로를 포함합니다. 자세한 내용은 [인수](#changePswd-params) 단원을 참조하십시오. ``` changePswd [-2fa ] ``` ## 예제 다음 예제에서는 **changePassword**를 사용하여 HSM의 현재 사용자나 다른 사용자의 암호를 재설정하는 방법을 보여줍니다. **Example : 사용자의 암호 변경** HSM의 모든 사용자는 **changePswd**를 사용하여 자신의 암호를 변경할 수 있습니다. 암호를 변경하기 전에 [info](cloudhsm_mgmt_util-info.md)를 사용하여 로그인한 사용자의 사용자 이름 및 사용자 유형을 비롯해 클러스터의 각 HSM에 대한 정보를 가져오십시오. 다음 출력은 Bob이 현재 CU(Crypto User)로 로그인되어 있음을 보여줍니다. ``` aws-cloudhsm> info server 0 Id Name Hostname Port State Partition LoginState 0 10.1.9.193 10.1.9.193 2225 Connected hsm-jqici4covtv Logged in as 'bob(CU)' aws-cloudhsm> info server 1 Id Name Hostname Port State Partition LoginState 1 10.1.10.7 10.1.10.7 2225 Connected hsm-ogi3sywxbqx Logged in as 'bob(CU)' ``` 암호를 변경하기 위해 Bob은 **changePswd**, 사용자 유형, 사용자 이름 및 새 암호 순서로 실행합니다. ``` aws-cloudhsm> changePswd CU bob newPassword *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for bob(CU) on 2 nodes ``` **Example : 다른 사용자의 암호 변경하기** HSM에서 다른 CO 또는 CU의 암호를 변경하려면 CO 또는 PCO여야 합니다. 다른 사용자의 암호를 변경하기 전에 [info](cloudhsm_mgmt_util-info.md) 명령을 사용하여 사용자 유형이 CO 또는 PCO임을 확인하십시오. 다음 출력에서는 CO인 Alice가 현재 로그인되어 있음을 확인합니다. ``` aws-cloudhsm>info server 0 Id Name Hostname Port State Partition LoginState 0 10.1.9.193 10.1.9.193 2225 Connected hsm-jqici4covtv Logged in as 'alice(CO)' aws-cloudhsm>info server 1 Id Name Hostname Port State Partition LoginState 0 10.1.10.7 10.1.10.7 2225 Connected hsm-ogi3sywxbqx Logged in as 'alice(CO)' ``` Alice는 다른 사용자 John의 암호를 재설정하려고 합니다. 암호를 변경하기 전 [listUsers](cloudhsm_mgmt_util-listUsers.md) 명령을 사용하여 John의 사용자 유형을 확인합니다. 다음 출력에 John이 CO 사용자로 나열됩니다. ``` aws-cloudhsm> listUsers Users on server 0(10.1.9.193): Number of users found:5 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU jane NO 0 NO 3 CU bob NO 0 NO 4 CU alice NO 0 NO 5 CO john NO 0 NO Users on server 1(10.1.10.7): Number of users found:5 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU jane NO 0 NO 3 CU bob NO 0 NO 4 CO alice NO 0 NO 5 CO john NO 0 NO ``` 암호를 변경하기 위해 Alice는 **changePswd**, John의 사용자 유형, 사용자 이름 및 새 암호 순서로 실행합니다. ``` aws-cloudhsm>changePswd CO john newPassword *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for john(CO) on 2 nodes ``` ## 인수 구문 다이어그램에 지정된 순서대로 인수를 입력합니다. `-hpswd` 파라미터를 사용하여 암호를 숨길 수 있습니다. CO 사용자에 대해 2FA를 활성화하려면 `-2fa` 파라미터를 사용하고 파일 경로를 포함하십시오. 2FA 작업에 대한 자세한 내용은 [사용자 2FA 관리](manage-2fa.md) 섹션을 참조하세요. ``` changePswd [-2fa ] ``` **** 암호를 변경할 사용자의 현재 유형을 지정합니다. **changePswd**를 사용하여 사용자 유형을 변경할 수는 없습니다. 유효한 값은 `CO`, `CU`, `PCO` 및 `PRECO`입니다. 사용자 유형을 가져오려면 [listUsers](cloudhsm_mgmt_util-listUsers.md)를 사용합니다. HSM에서의 사용자 유형에 대한 자세한 내용은 [AWS CloudHSM 관리 유틸리티의 HSM 사용자 유형](understanding-users-cmu.md) 섹션을 참조하십시오. 필수 항목 여부: 예 **** 사용자의 표시 이름을 지정합니다. 이 파라미터는 대소문자를 구분하지 않습니다. **changePswd**를 사용하여 사용자 이름을 변경할 수는 없습니다. 필수 항목 여부: 예 **** 사용자의 새 암호를 지정합니다. 7\$132자의 문자열을 입력합니다. 이 값은 대소문자를 구분합니다. 암호를 입력하면 일반 텍스트로 암호가 나타납니다. 암호를 숨기려면 암호 대신 `-hpswd` 파라미터를 사용하고 표시되는 프롬프트를 따르십시오. 필수 항목 여부: 예 **[-2fa ]** 이 CO 사용자에 대해 2FA를 활성화하도록 지정합니다. 2FA 설정에 필요한 데이터를 가져오려면 파일 시스템의 위치에 대한 경로를 `-2fa` 파라미터 뒤에 파일 이름과 함께 포함시키십시오. 2FA 작업에 대한 자세한 내용은 [사용자 2FA 관리](manage-2fa.md) 섹션을 참조하세요. 필수 여부: 아니요 ## 관련 주제 + [info](cloudhsm_mgmt_util-info.md) + [listUsers](cloudhsm_mgmt_util-listUsers.md) + [createUser](cloudhsm_mgmt_util-createUser.md) + [deleteUser](cloudhsm_mgmt_util-deleteUser.md) # CMU를 사용하여 AWS CloudHSM 사용자 생성 cloudhsm\$1mgmt\$1util(CMU)의 **createUser** 명령을 사용하여 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSM)에 사용자를 생성합니다. crypto officer (CO 및 PRECO)만이 이 명령을 실행할 수 있습니다. 명령이 성공하면 클러스터의 모든 HSM에서 사용자가 생성됩니다. ## CreateUser 문제를 해결하려면 하지만 HSM 구성이 정확하지 않으면 일부 HSM에서 사용자가 생성되지 않을 수 있습니다. 사용자가 누락된 HSM에 사용자를 추가하려면 이 사용자가 누락된 HSM에서만 [syncUser](cloudhsm_mgmt_util-syncUser.md) 또는 [createUser](#cloudhsm_mgmt_util-createUser) 명령을 사용하십시오. 구성 오류를 방지하려면 옵션과 함께 [구성](configure-tool.md) 도구를 실행하십시오. `-m` CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + crypto officers (CO, PRECO) ## 구문 구문 다이어그램에 지정된 순서대로 인수를 입력합니다. `-hpswd` 파라미터를 사용하여 암호를 숨길 수 있습니다. 2단계 인증 (2FA) 을 사용하는 CO 사용자를 만들려면 `-2fa` 매개변수를 사용하고 파일 경로를 포함하세요. 자세한 내용은 [인수](#createUser-params) 단원을 참조하십시오. ``` createUser |-hpswd> [-2fa ] ``` ## 예제 다음 예제에서는 **createUser**를 사용하여 HSM에서 새 사용자를 생성하는 방법을 보여 줍니다. **Example : crypto officer 생성** 이 예제에서는 클러스터의 HSM에서 CO(Crypto Officer)를 생성합니다. 첫 번째 명령은 [loginHSM](cloudhsm_mgmt_util-loginLogout.md)을 사용하여 HSM에 CO(Crypto Officer)로 로그인합니다. ``` aws-cloudhsm> loginHSM CO admin 735782961 loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3) ``` 두 번째 명령은 **createUser** 명령을 사용하여 HSM에서 새 CO(Crypto Officer)인 `alice`를 생성합니다. 주의 메시지에서는 명령이 클러스터의 모든 HSM에서 사용자를 생성한다고 설명합니다. 하지만 명령이 실패하는 HSM이 있는 경우, 해당 HSM에는 사용자가 존재하지 않습니다. 계속하려면 `y`를 입력합니다. 출력은 클러스터의 3개 HSM 모두에서 새 사용자가 생성되었음을 보여 줍니다. ``` aws-cloudhsm> createUser CO alice 391019314 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes ``` 명령이 완료되면 `alice`는 HSM의 사용자 암호 변경 등 `admin` CO 사용자와 동일한 권한을 HSM에서 갖습니다. 마지막 명령은 [listUsers](cloudhsm_mgmt_util-listUsers.md) 명령을 사용하여 `alice`가 클러스터의 3개 HSM 모두에 존재함을 확인합니다. 출력은 `alice`에게 사용자 ID `3`이 할당되었다는 것도 보여 줍니다.`.` 사용자 ID를 사용하여 [findAllKeys와](cloudhsm_mgmt_util-findAllKeys.md) 같은 다른 `alice` 명령에서 식별할 수 있습니다. ``` aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO ``` **Example : crypto user 생성** 이 예제는 HSM에서 CU(crypto user)인 `bob`을 생성합니다. crypto user는 키를 생성하고 관리할 수 있지만 사용자를 관리할 수는 없습니다. 주의 메시지에 응답하여 `y`를 입력한 후 출력은 클러스터의 3개 HSM 모두에서 `bob`이 생성되었음을 보여 줍니다. 새 CU는 HSM에 로그인하여 키를 생성하고 관리할 수 있습니다. 이 명령에서 사용한 암호 값은 `defaultPassword`입니다. 나중에 `bob` 또는 아무 CO나 [changePswd](cloudhsm_mgmt_util-changePswd.md) 명령을 사용하여 bob의 암호를 변경할 수 있습니다. ``` aws-cloudhsm> createUser CU bob defaultPassword *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes ``` ## 인수 구문 다이어그램에 지정된 순서대로 인수를 입력합니다. `-hpswd` 파라미터를 사용하여 암호를 숨길 수 있습니다. 2FA가 활성화된 CO 사용자를 생성하려면 `-2fa` 매개변수를 사용하고 파일 경로를 포함하십시오. 2FA에 대한 자세한 내용은 [사용자 2FA 관리](manage-2fa.md) 단원을 참조하세요. ``` createUser |-hpswd> [-2fa ] ``` **** 사용자 유형을 지정합니다. 이 파라미터는 필수 사항입니다. HSM에서의 사용자 유형에 대한 자세한 내용은 [AWS CloudHSM 관리 유틸리티의 HSM 사용자 유형](understanding-users-cmu.md) 섹션을 참조하십시오. 유효값: + **CO**: Crypto officer는 사용자를 관리할 수 있지만 키를 관리할 수는 없습니다. + **CU**: crypto user는 키를 관리하고 암호화 작업에서 키를 사용할 수 있습니다. PRECO는 [HSM 활성화](activate-cluster.md) 도중 암호를 할당할 때 CO로 변환됩니다. 필수 항목 여부: 예 **** 사용자의 친숙한 이름을 지정합니다. 최대 길이는 31자입니다. 허용되는 유일한 특수 문자는 밑줄( \$1 )입니다. 사용자를 생성한 후에는 사용자 이름을 변경할 수 없습니다. cloudhsm\$1mgmt\$1util 명령에서 사용자 유형과 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다. 필수 항목 여부: 예 **** 사용자의 암호를 지정합니다. 7\$132자의 문자열을 입력합니다. 이 값은 대소문자를 구분합니다. 암호를 입력하면 일반 텍스트로 암호가 나타납니다. 암호를 숨기려면 암호 대신 `-hpswd` 파라미터를 사용하고 표시되는 프롬프트를 따르십시오. 사용자 암호를 변경하려면 [changePswd](cloudhsm_mgmt_util-changePswd.md)를 사용합니다. HSM 사용자는 자신의 암호를 변경할 수 있지만, CO 사용자는 HSM에 있는(유형 불문하고) 모든 사용자의 암호를 변경할 수 있습니다. 필수 항목 여부: 예 **[-2fa ]** 2FA가 활성화된 CO 사용자 생성을 지정합니다. 2FA 인증을 설정하는 데 필요한 데이터를 가져오려면 파일 시스템의 특정 위치에 대한 경로를 매개변수 뒤에 파일 이름과 함께 포함시키십시오. `-2fa` 2FA로 작업 및 설정하는 법에 대한 자세한 내용은 [사용자 2FA 관리](manage-2fa.md) 단원을 참조하십시오. 필수 여부: 아니요 ## 관련 주제 + [listUsers](cloudhsm_mgmt_util-listUsers.md) + [deleteUser](cloudhsm_mgmt_util-deleteUser.md) + [syncUser](cloudhsm_mgmt_util-syncUser.md) + [changePswd](cloudhsm_mgmt_util-changePswd.md) # CMU를 사용하여 AWS CloudHSM 사용자 삭제 AWS CloudHSM cloudhsm\$1mgmt\$1util(CMU)의 **deleteUser** 명령을 사용하여 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSM)에서 사용자를 삭제합니다. crypto officers(CO)만이 이 명령을 실행할 수 있습니다. 현재 HSM에 로그인한 사용자는 삭제할 수 없습니다. 사용자 삭제에 대한 자세한 내용은 [HSM 사용자 삭제 방법을](delete-user.md) 참조하십시오. **작은 정보** 키를 소유한 CU(Crypto User)는 삭제할 수 없습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + CO ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` deleteUser ``` ## 예제 이 예제는 클러스터의 HSM에서 CO(Crypto Officer)를 삭제합니다. 첫 번째 명령은 [listUsers](cloudhsm_mgmt_util-listUsers.md)를 사용하여 HSM의 모든 사용자를 나열합니다. 출력은 사용자 `3`인 `alice`가 HSM에서 CO임을 보여줍니다. ``` aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO ``` 두 번째 명령은 **deleteUser** 명령을 사용하여 HSM에서 `alice`를 삭제합니다. 출력은 클러스터의 3개 HSM 모두에서 명령이 성공했음을 보여줍니다. ``` aws-cloudhsm> deleteUser CO alice Deleting user alice(CO) on 3 nodes deleteUser success on server 0(10.0.0.1) deleteUser success on server 0(10.0.0.2) deleteUser success on server 0(10.0.0.3) ``` 마지막 명령은 **listUsers** 명령을 사용하여 `alice`가 클러스터의 3개 HSM 모두에서 삭제되었음을 확인합니다. ``` aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO Users on server 1(10.0.0.2): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO Users on server 1(10.0.0.3): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` deleteUser ``` **** 사용자 유형을 지정합니다. 이 파라미터는 필수 사항입니다. 키를 소유한 CU(Crypto User)는 삭제할 수 없습니다. 유효한 값은 **CO**, **CU**입니다. 사용자 유형을 가져오려면 [listUsers](cloudhsm_mgmt_util-listUsers.md)를 사용합니다. HSM에서의 사용자 유형에 대한 자세한 내용은 [AWS CloudHSM 관리 유틸리티의 HSM 사용자 유형](understanding-users-cmu.md) 섹션을 참조하십시오. 필수 항목 여부: 예 **** 사용자의 친숙한 이름을 지정합니다. 최대 길이는 31자입니다. 허용되는 유일한 특수 문자는 밑줄( \$1 )입니다. 사용자를 생성한 후에는 사용자 이름을 변경할 수 없습니다. cloudhsm\$1mgmt\$1util 명령에서 사용자 유형과 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다. 필수: 예 ## 관련 주제 + [listUsers](cloudhsm_mgmt_util-listUsers.md) + [createUser](cloudhsm_mgmt_util-createUser.md) + [syncUser](cloudhsm_mgmt_util-syncUser.md) + [changePswd](cloudhsm_mgmt_util-changePswd.md) # CMU를 사용하여 AWS CloudHSM 암호화 사용자가 소유한 키 나열 AWS CloudHSM cloudhsm\$1mgmt\$1util(CMU)의 **findAllKeys** 명령을 사용하여의 지정된 CU(Crypto User)가 AWS CloudHSM 소유하거나 공유하는 키를 가져옵니다. 명령은 또한 각각의 HSM에 있는 사용자 데이터의 해시를 반환합니다. 해시를 사용하면 사용자, 키 소유권, 키 공유 데이터가 클러스터의 모든 HSM에서 동일한지 한눈에 확인할 수 있습니다. 출력에서, 사용자가 소유한 키는 `(o)`에 의해 주석이 첨부되고 공유 키는 `(s)`에 의해 주석이 첨부됩니다. HSM의 모든 CU는 어떤 퍼블릭 키도 사용할 수 있지만, **findAllKeys**는 지정된 CU가 키를 소유할 때만 퍼블릭 키를 반환합니다. 이 동작은 모든 CU 사용자에 대해 퍼블릭 키를 반환하는 key\$1mgmt\$1util의 [FindKey](key_mgmt_util-findKey.md)와 다릅니다. Crypto Officer(CO 및 PCO)와 AU(어플라이언스 사용자)만 이 명령을 실행할 수 있습니다. CU(Crypto User)는 다음 명령을 실행할 수 있습니다. + [listUsers](cloudhsm_mgmt_util-listUsers.md) - 모든 사용자 찾기 + 사용할 수 있는 키를 찾을 수 있는 key\$1mgmt\$1util의 [findKey](key_mgmt_util-findKey.md) + 소유하거나 공유하는 특정 키의 소유자 및 공유 사용자를 찾기 위한 key\$1mgmt\$1util의 [getKeyInfo](key_mgmt_util-getKeyInfo.md) CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자가 이 명령을 실행할 수 있습니다. + crypto officer(CO, PCO) + 어플라이언스 사용자(AU) ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` findAllKeys [] ``` ## 예제 이러한 예제는 `findAllKeys`를 사용하여 사용자의 모든 키를 찾는 방법과 각 HSM에서 키 사용자 정보 해시를 가져오는 방법을 보여 줍니다. **Example : CU의 키 찾기** 이 예제는 **findAllKeys**를 사용하여 사용자 4가 소유하고 공유하는 HSM의 키를 찾습니다. 이 명령은 두 번째 인수에 `0` 값을 사용하여 해시 값을 억제합니다. 이 명령은 선택적 파일 이름을 생략하기 때문에 stdout에 씁니다(표준 출력). 출력은 사용자 4가 8, 9, 17, 262162, 19, 31 등 여섯 개의 키를 사용할 수 있음을 보여 줍니다. 출력은 `(s)`를 사용하여 사용자가 명시적으로 공유하는 키를 나타냅니다. 사용자가 소유한 키는 `(o)`으로 표시되며 사용자가 공유하지 않는 대칭 및 프라이빗 키와 모든 crypto user가 사용할 수 있는 퍼블릭 키를 포함합니다. ``` aws-cloudhsm> findAllKeys 4 0 Keys on server 0(10.0.0.1): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.2) Keys on server 1(10.0.0.3): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.3) ``` **Example : 사용자 데이터가 동기화되어 있는지 확인하기** 이 예제는 **findAllKeys**를 사용하여 클러스터의 모든 HSM에 동일한 사용자, 키 소유권, 키 공유 값이 포함되어 있다는 것을 확인합니다. 이를 위해 각 HSM에서 키 사용자 데이터 해시를 가져와 해시 값을 비교합니다. 이 명령은 키 해시를 가져오기 위해 두 번째 인수에서 `1` 값을 사용합니다. 선택적 파일 이름이 생략되기 때문에 이 명령은 키 해시를 stdout에 씁니다. 예제는 사용자 `6`을 지정하지만 HSM에 있는 키를 소유하거나 공유하는 모든 사용자에게 해시 값은 동일합니다. 지정된 사용자가 CO와 같이 키를 소유하지 않거나 공유하지 않는 경우, 명령은 해시 값을 반환하지 않습니다. 출력은 클러스터의 두 HSM 모두에서 키 해시가 동일함을 보여 줍니다. HSM 중 하나에 다른 사용자, 다른 키 소유자 또는 다른 공유 사용자가 있는 경우, 키 값이 동일하지 않습니다. ``` aws-cloudhsm> findAllKeys 6 1 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11,17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11(o),17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2) ``` 이 명령은 해시 값이 HSM의 모든 키에 대한 사용자 데이터를 나타냄을 보여 줍니다. 이 명령은 사용자 3에 대해 **findAllKeys**를 사용합니다. 3개의 키만 소유하거나 공유하는 사용자 6과는 달리 사용자 3은 17개의 키를 소유 또는 공유하지만 키 해시 값은 동일합니다. ``` aws-cloudhsm> findAllKeys 3 1 Keys on server 0(10.0.0.1): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2) ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` findAllKeys [] ``` **** 지정된 사용자가 소유하거나 공유하는 모든 키를 가져옵니다. HSM에 있는 사용자의 사용자 ID를 입력합니다. 모든 사용자의 사용자 ID를 찾으려면 [listUsers](cloudhsm_mgmt_util-listUsers.md)를 사용하십시오. 모든 사용자 ID가 유효하지만 `findAllKeys`는 CU(Crypto User)에 대해서만 키를 반환합니다. 필수 항목 여부: 예 **** 각 HSM의 모든 키에 대한 사용자 소유권 및 공유 데이터의 해시를 포함(`1`)하거나 제외(`0`)합니다. `user id` 인수가 키를 소유 또는 공유하는 사용자를 나타내는 경우, 키 해시가 채워집니다. HSM에서 키를 소유하거나 공유하는 모든 사용자의 경우, 서로 다른 키를 소유하고 공유하더라도 키 해시 값은 동일합니다. 하지만 `user id`가 CO와 같이 아무 키도 소유 또는 공유하지 않는 사용자를 나타내는 경우, 해시 값이 채워지지 않습니다. 필수 항목 여부: 예 **** 지정된 파일에 출력을 기록합니다. 필수 여부: 아니요 기본값: Stdout ## 관련 주제 + [changePswd](cloudhsm_mgmt_util-changePswd.md) + [deleteUser](cloudhsm_mgmt_util-deleteUser.md) + [listUsers](cloudhsm_mgmt_util-listUsers.md) + [syncUser](cloudhsm_mgmt_util-syncUser.md) + key\$1mgmt\$1util의 [findKey](key_mgmt_util-findKey.md) + key\$1mgmt\$1util의 [getKeyInfo](key_mgmt_util-getKeyInfo.md) # CMU를 사용하여 AWS CloudHSM 키 속성 값 가져오기 AWS CloudHSM cloudhsm\$1mgmt\$1util(CMU)의 **getAttribute** 명령을 사용하여 AWS CloudHSM 클러스터의 모든 하드웨어 보안 모듈(HSM)에서 키에 대한 속성 값 하나를 가져와 stdout(표준 출력) 또는 파일에 씁니다. CU(Crypto User)만 이 명령을 실행할 수 있습니다. *키 속성*은 키의 특성입니다. 여기에는 키 유형, 클래스, 레이블, ID 같은 특성과 암호화, 복호화, 래핑, 서명, 확인 등 키에서 수행할 수 있는 작업을 나타내는 값이 포함됩니다. 사용자가 소유 및 공유하는 키에 대해서만 **getAttribute**를 사용할 수 있습니다. 이 명령이나 키의 속성 값 중 하나 또는 전부를 파일에 기록하는 key\$1mgmt\$1util에서 [getAttribute](#cloudhsm_mgmt_util-getAttribute) 명령을 실행할 수 있습니다. 속성과 각 속성을 나타내는 상수의 목록을 가져오려면 [listAttributes](key_mgmt_util-listAttributes.md) 명령을 사용합니다. 기존 키의 속성 값을 변경하려면 key\$1mgmt\$1util에서 [setAttribute](key_mgmt_util-setAttribute.md)를 사용하고 cloudhsm\$1mgmt\$1util에서 [setAttribute](cloudhsm_mgmt_util-setAttribute.md)를 사용합니다. 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md)을 참조하십시오. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자가 이 명령을 실행할 수 있습니다. + 암호화 사용자(Crypto User) ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` getAttribute [] ``` ## 예제 이 예제는 HSM의 키에서 추출 가능 속성의 값을 가져옵니다. 이러한 명령을 사용하여 HSM에서 키를 내보낼 수 있는지 여부를 확인할 수 있습니다. 첫 번째 명령은 [listAttributes](cloudhsm_mgmt_util-listAttributes.md)를 사용하여 추출 가능 속성을 나타내는 상수를 찾습니다. 출력은 `OBJ_ATTR_EXTRACTABLE` 상수가 `354`임을 보여줍니다. 또한 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md)의 속성 및 해당 값에 대한 설명을 사용하여 이 정보를 찾을 수 있습니다. ``` aws-cloudhsm> listAttributes Following are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512 ``` 두 번째 명령은 **getAttribute**를 사용하여 HSM에서 키 핸들이 `262170`인 키의 추출 가능 속성 값을 가져옵니다. 추출 가능 속성을 지정하기 위해 이 명령은 해당 속성을 나타내는 상수인 `354`를 사용합니다. 이 명령은 파일 이름을 지정하지 않기 때문에 **getAttribute**는 출력을 stdout에 기록합니다. 출력은 모든 HSM에서 추출 가능 속성의 값이 1임을 보여 줍니다. 이 값은 키의 소유자가 키를 내보낼 수 있음을 나타냅니다. 값이 0(0x0)이라면 키를 HSM에서 내보낼 수 없습니다. 키를 생성할 때 추출 가능 속성의 값을 설정하지만 값을 변경할 수는 없습니다. ``` aws-cloudhsm> getAttribute 262170 354 Attribute Value on server 0(10.0.1.10): OBJ_ATTR_EXTRACTABLE 0x00000001 Attribute Value on server 1(10.0.1.12): OBJ_ATTR_EXTRACTABLE 0x00000001 Attribute Value on server 2(10.0.1.7): OBJ_ATTR_EXTRACTABLE 0x00000001 ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` getAttribute [] ``` **** 대상 키의 키 핸들을 지정합니다. 각 명령에서 키를 하나만 지정할 수 있습니다. 키의 키 핸들을 가져오려면 key\$1mgmt\$1util에서 [findKey](key_mgmt_util-findKey.md)를 사용합니다. 사용자가 지정된 키를 소유 또는 공유해야 합니다. 키의 사용자를 찾으려면 key\$1mgmt\$1util에서 [getKeyInfo](key_mgmt_util-getKeyInfo.md)를 사용하세요. 필수 항목 여부: 예 **** 속성을 식별합니다. 모든 속성을 나타내는 상수, 즉 모든 속성을 나타내는 `512`를 입력합니다. 예를 들어 키 유형을 가져오려면 `OBJ_ATTR_KEY_TYPE` 속성의 상수인 `256`을 입력합니다. 속성과 해당 상수를 나열하려면 [listAttributes](key_mgmt_util-listAttributes.md)를 사용합니다. 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md) 섹션을 참조하십시오. 필수 항목 여부: 예 **** 지정된 파일에 출력을 기록합니다. 파일 경로를 입력합니다. 지정된 파일이 존재하면 **getAttribute**가 경고 없이 파일을 덮어씁니다. 필수 여부: 아니요 기본값: Stdout ## 관련 주제 + key\$1mgmt\$1util의 [getAttribute](key_mgmt_util-getAttribute.md) + [listAttributes](cloudhsm_mgmt_util-listAttributes.md) + cloudhsm\$1mgmt\$1util의 [setAttribute](cloudhsm_mgmt_util-setAttribute.md) + key\$1mgmt\$1util의 [setAttribute](key_mgmt_util-setAttribute.md) + [키 속성 참조](key-attribute-table.md) # CMU를 사용하여 AWS CloudHSM 클러스터의 각 HSM에 대한 하드웨어 정보 가져오기 AWS CloudHSM cloudhsm\$1mgmt\$1util(CMU)의 **getHSMInfo** 명령을 사용하여 모델, 일련 번호, FIPS 상태, 메모리, 온도, 하드웨어 및 펌웨어의 버전 번호를 포함하여 각 하드웨어 보안 모듈(HSM)이 실행되는 하드웨어에 대한 정보를 가져옵니다. 정보에는 cloudhsm\$1mgmt\$1util이 HSM을 참조하기 위해 사용하는 서버 ID도 포함한다. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + 모든 사용자. 이 명령을 실행하기 위해 로그인할 필요는 없습니다. ## 구문 이 명령에는 파라미터가 없습니다. ``` getHSMInfo ``` ## 예제 이 예제는 **getHSMInfo**를 사용하여 클러스터의 HSM에 대한 정보를 가져옵니다. ``` aws-cloudhsm> getHSMInfo Getting HSM Info on 3 nodes *** Server 0 HSM Info *** Label :cavium Model :NITROX-III CNN35XX-NFBE Serial Number :3.0A0101-ICM000001 HSM Flags :0 FIPS state :2 [FIPS mode with single factor authentication] Manufacturer ID : Device ID :10 Class Code :100000 System vendor ID :177D SubSystem ID :10 TotalPublicMemory :560596 FreePublicMemory :294568 TotalPrivateMemory :0 FreePrivateMemory :0 Hardware Major :3 Hardware Minor :0 Firmware Major :2 Firmware Minor :03 Temperature :56 C Build Number :13 Firmware ID :xxxxxxxxxxxxxxx ... ``` ## 관련 주제 + [info](cloudhsm_mgmt_util-info.md) # CMU를 사용하여 키에 대한 AWS CloudHSM 사용자 정보 가져오기 AWS CloudHSM key\$1mgmt\$1util(KMU)의 **getKeyInfo** 명령을 사용하여 키가 공유되는 소유자 및 암호화 사용자(CU)를 포함하여 키를 사용할 수 있는 사용자의 하드웨어 보안 모듈(HSM) 사용자 IDs를 반환합니다. 키에서 쿼럼 인증이 활성화되면 **getKeyInfo**는 키를 사용하는 암호화 작업을 승인해야 하는 사용자의 수도 반환합니다. **getKeyInfo**는 소유한 키 및 공유된 키에서만 실행할 수 있습니다. 퍼블릭 키에서 **getKeyInfo**를 실행하면 HSM의 모든 사용자가 퍼블릭 키를 사용할 수 있더라도 **getKeyInfo**는 키 소유자만 반환합니다. HSM에 있는 사용자의 HSM 사용자 ID를 찾으려면 [listUsers](key_mgmt_util-listUsers.md)를 사용하십시오. 특정 사용자의 키를 찾으려면 key\$1mgmt\$1util의 [findKey](key_mgmt_util-findKey.md) `-u`를 사용합니다. Crypto officers는 cloudhsm\$1mgmt\$1util의 [FindAllkeys](cloudhsm_mgmt_util-findAllKeys.md)를 사용할 수 있습니다. 생성하는 키는 본인의 소유입니다. 키를 생성하면 다른 사용자와 공유할 수 있습니다. 그런 다음 기존 키를 공유하거나 공유 해제하려면 cloudhsm\$1mgmt\$1util에서 [shareKey](cloudhsm_mgmt_util-shareKey.md)를 사용합니다. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + 암호화 사용자(Crypto User) ## 구문 ``` getKeyInfo -k [] ``` ## 예제 이러한 예제에서는 **getKeyInfo**를 사용하여 키의 사용자에 대한 정보를 가져오는 방법을 보여 줍니다. **Example : 비대칭 키의 사용자 가져오기** 이 명령은 키 핸들이 `262162`인 AES(비대칭) 키를 사용할 수 있는 사용자를 가져옵니다. 출력은 사용자 3이 키를 소유하고 사용자 4 및 6과 공유함을 보여 줍니다. 사용자 3, 4, 6만이 키 262162에서 **getKeyInfo**를 실행할 수 있습니다. ``` aws-cloudhsm>getKeyInfo 262162 Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 2 user(s): 4 6 Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 2 user(s): 4 6 ``` **Example : 대칭 키 쌍의 사용자 가져오기** 이러한 명령은 **getKeyInfo**를 사용하여 [ECC(대칭) 키 페어](key_mgmt_util-genSymKey.md)에서 키를 사용할 수 있는 사용자를 가져옵니다. 퍼블릭 키에는 키 핸들 `262179`이 있습니다. 프라이빗 키에는 키 핸들 `262177`이 있습니다. 프라이빗 키(`262177`)에서 **getKeyInfo**를 실행하면 키 소유자(3)와 키가 공유되는 CU(Crypto User) 4가 반환됩니다. ``` aws-cloudhsm>getKeyInfo -k 262177 Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 ``` 퍼블릭 키(`262179`)에서 **getKeyInfo**를 실행하면 키 소유자인 사용자 `3`만 반환됩니다. ``` aws-cloudhsm>getKeyInfo -k 262179 Key Info on server 0(10.0.3.10): Token/Flash Key, Owned by user 3 Key Info on server 1(10.0.3.6): Token/Flash Key, Owned by user 3 ``` 사용자 4가 퍼블릭 키(및 HSM의 모든 퍼블릭 키)를 사용할 수 있는지 확인하려면 `-u`에서 [findKey](key_mgmt_util-findKey.md)의 파라미터를 사용하십시오. 출력은 사용자 4가 키 페어의 퍼블릭 키(`262179`)와 프라이빗 키(`262177`)를 모두 사용할 수 있음을 보여 줍니다. 사용자 4는 다른 모든 퍼블릭 키 및 생성되거나 공유된 어떤 프라이빗 키도 사용할 수 있습니다. ``` Command: findKey -u 4 Total number of keys present 8 number of keys matched from start index 0::7 11, 12, 262159, 262161, 262162, 19, 20, 21, 262177, 262179 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS ``` **Example : 키의 쿼럼 인증 값(m\$1value) 가져오기** 이 예제는 키의 `m_value`를 가져오는 방법을 보여 줍니다. m\$1value는 키를 사용하는 암호화 작업과 키를 공유 또는 공유 해제하는 작업을 승인해야 하는 쿼럼 내 사용자의 수입니다. 키에서 쿼럼 인증이 활성화되면 사용자들의 쿼럼은 해당 키를 사용하는 모든 암호화 작업을 승인해야 합니다. 쿼럼 인증을 활성화하고 쿼럼 크기를 설정하려면 키를 생성할 때 `-m_value` 파라미터를 사용합니다. 이 명령은 [genSymKey](key_mgmt_util-genSymKey.md)를 사용하여 사용자 4와 공유되는 256비트 AES 키를 생성합니다. 이 명령은 `m_value` 파라미터를 사용하여 쿼럼 인증을 활성화하고 쿼럼 크기를 2명의 사용자로 설정합니다. 사용자의 수는 필요한 승인을 제공할 수 있을 만큼 커야 합니다. 출력은 명령이 키 10을 생성했음을 보여 줍니다. ``` Command: genSymKey -t 31 -s 32 -l aes256m2 -u 4 -m_value 2 Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 10 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS ``` 이 명령은 cloudhsm\$1mgmt\$1util의 **getKeyInfo**를 사용하여 키 `10`의 사용자에 대한 정보를 가져옵니다. 출력은 이 키를 사용자 `3`이 소유하고 사용자 `4`와 공유하고 있음을 보여 줍니다. 또한 2명의 사용자로 이루어진 쿼럼이 해당 키를 사용하는 모든 암호화 작업을 승인해야 함을 보여 줍니다. ``` aws-cloudhsm>getKeyInfo 10 Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` getKeyInfo -k ``` **** HSM에서 한 키의 키 핸들을 지정합니다. 소유하거나 공유하는 키의 키 핸들을 입력합니다. 이 파라미터는 필수 사항입니다. 필수 항목 여부: 예 **** stdout 대신 지정된 파일에 출력을 기록합니다. 파일이 존재하는 경우, 이 명령은 경고 없이 파일에 덮어씁니다. 필수 여부: 아니요 기본값: stdout ## 관련 주제 + key\$1mgmt\$1util의 [getKeyInfo](key_mgmt_util-getKeyInfo.md) + key\$1mgmt\$1util의 [findKey](key_mgmt_util-findKey.md) + cloudhsm\$1mgmt\$1util의 [findAllKeys](cloudhsm_mgmt_util-findAllKeys.md) + [listUsers](cloudhsm_mgmt_util-listUsers.md) + [shareKey](cloudhsm_mgmt_util-shareKey.md) # CMU를 사용하여 AWS CloudHSM 클러스터의 각 HSM에 대한 정보 가져오기 AWS CloudHSM cloudhsm\$1mgmt\$1util(CMU)의 **info** 명령을 사용하여 HSM에서 cloudhsm\$1mgmt\$1util에 로그인한 사용자의 호스트 이름, 포트, IP 주소, 이름과 유형을 포함하여 AWS CloudHSM 클러스터의 각 하드웨어 보안 모듈(HSM)에 대한 정보를 가져옵니다. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + 모든 사용자. 이 명령을 실행하기 위해 로그인할 필요는 없습니다. ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` info server ``` ## 예제 이 예제는 **info**를 사용하여 클러스터의 HSM에 대한 정보를 가져옵니다. 이 명령은 클러스터의 첫 번째 HSM을 가리키는 데 0을 사용합니다. 출력은 IP 주소, 포트 및 현재 사용자의 유형과 이름을 보여 줍니다. ``` aws-cloudhsm> info server 0 Id Name Hostname Port State Partition LoginState 0 10.0.0.1 10.0.0.1 2225 Connected hsm-udw0tkfg1ab Logged in as 'testuser(CU)' ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` info server ``` **** HSM의 서버 ID를 지정합니다. HSM에는 0부터 시작해 클러스터에 추가되는 순서를 나타내는 서수가 할당됩니다. HSM의 서버 ID를 찾으려면 getHSMInfo를 사용하십시오. 필수: 예 ## 관련 주제 + [getHSMInfo](cloudhsm_mgmt_util-getHSMInfo.md) + [loginHSM 및 logoutHSM](cloudhsm_mgmt_util-loginLogout.md) # CMU를 사용하여 AWS CloudHSM 키의 속성 나열 AWS CloudHSM cloudhsm\$1mgmt\$1util(CMU)의 **listAttributes** 명령을 사용하여 AWS CloudHSM 키의 속성과 이를 나타내는 상수를 나열합니다. 이러한 상수를 사용하여 [getAttribute](cloudhsm_mgmt_util-getAttribute.md) 및 [setAttribute](cloudhsm_mgmt_util-setAttribute.md) 명령에서 속성을 식별합니다. 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md) 섹션을 참조하십시오. key\$1mgmt\$1util 명령을 실행하기 전에 [key\$1mgmt\$1util을 시작](key_mgmt_util-setup.md#key_mgmt_util-start)하고 암호화 사용자(Crypto User)로 HSM에 [로그인](key_mgmt_util-log-in.md)해야 합니다. ## 사용자 유형 다음 사용자가 이 명령을 실행할 수 있습니다. + 모든 사용자. 이 명령을 실행하기 위해 로그인할 필요는 없습니다. ## 구문 ``` listAttributes [-h] ``` ## 예제 이 명령은 key\$1mgmt\$1util에서 가져오고 변경할 수 있는 키 속성과 속성을 나타내는 상수를 나열합니다. 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md)을 참조하십시오. 모든 속성을 나타내려면 `512`을 사용합니다. ``` Command: listAttributes Description =========== The following are all of the possible attribute values for getAttribute. OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512 ``` ## 파라미터 **-h** 명령에 대한 도움말을 표시합니다. 필수: 예 ## 관련 주제 + [getAttribute](cloudhsm_mgmt_util-getAttribute.md) + [setAttribute](cloudhsm_mgmt_util-setAttribute.md) + [키 속성 참조](key-attribute-table.md) # CMU를 사용하여 모든 AWS CloudHSM 사용자 나열 AWS CloudHSM cloudhsm\$1mgmt\$1util의 **listUsers** 명령을 사용하여 각 하드웨어 보안 모듈(HSM)의 사용자를 사용자 유형 및 기타 속성과 함께 가져옵니다. 모든 사용자 유형이 이 명령을 실행할 수 있습니다. 이 명령을 실행하기 위해 cloudhsm\$1mgmt\$1util에 로그인할 필요도 없습니다. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + 모든 사용자. 이 명령을 실행하기 위해 로그인할 필요는 없습니다. ## 구문 이 명령에는 파라미터가 없습니다. ``` listUsers ``` ## 예제 이 명령은 클러스터에 있는 각 HSM에서 사용자를 나열하고 그 속성을 표시합니다. `User ID` 속성을 사용하여 **deleteUser**, **changePswd**, **findAllKeys** 같은 다른 명령에서 사용자를 식별할 수 있습니다. ``` aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:6 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO 3 CU crypto_user1 NO 0 NO 4 CU crypto_user2 NO 0 NO 5 CO officer1 YES 0 NO 6 CO officer2 NO 0 NO Users on server 1(10.0.0.2): Number of users found:5 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin YES 0 NO 2 AU app_user NO 0 NO 3 CU crypto_user1 NO 0 NO 4 CU crypto_user2 NO 0 NO 5 CO officer1 YES 0 NO ``` 출력에는 다음의 사용자 속성이 포함됩니다. + **User ID**: key\$1mgmt\$1util 및 [cloudhsm\$1mgmt\$1util](cloudhsm_mgmt_util.md) 명령에서 사용자를 식별합니다. + [User type](understanding-users.md): 사용자가 HSM에서 수행할 수 있는 작업을 결정합니다. + **User Name**: 해당 사용자의 사용자 정의 표시 이름을 표시합니다. + **MofnPubKey**: 사용자가 [쿼럼 인증 토큰](quorum-authentication.md) 서명을 위해 키 페어를 등록했는지 여부를 표시합니다. + **LoginFailureCnt**: 사용자가 로그인에 실패한 횟수를 표시합니다. + **2FA**: 사용자가 멀티 팩터 인증을 활성화했는지 여부를 나타냅니다. ## 관련 주제 + key\$1mgmt\$1util의 [listUsers](key_mgmt_util-listUsers.md) + [createUser](cloudhsm_mgmt_util-createUser.md) + [deleteUser](cloudhsm_mgmt_util-deleteUser.md) + [changePswd](cloudhsm_mgmt_util-changePswd.md) # AWS CloudHSM 관리 유틸리티를 사용하여 HSM 로그인 및 로그아웃 AWS CloudHSM cloudhsm\$1mgmt\$1util에서 **loginHSM** 및 **logoutHSM** 명령을 사용하여 클러스터의 각 HSM에 로그인 및 로그아웃합니다. 모든 유형의 사용자는 이러한 명령을 사용할 수 있습니다. **참고** 잘못된 로그인 시도 횟수가 5회를 초과하면 계정이 잠깁니다. 계정 잠금을 해제하려면 CO(암호화 관리자)가 cloudhsm\$1mgmt\$1util의 [changePswd](cloudhsm_mgmt_util-changePswd.md) 명령을 사용하여 암호를 재설정해야 합니다. ## loginHSM 및 logoutHSM 문제를 해결하려면 이러한 cloudhsm\$1mgmt\$1util 명령을 실행하기 전에 cloudhsm\$1mgmt\$1util을 시작해야 합니다. HSMs 추가하거나 삭제하는 경우 AWS CloudHSM 클라이언트와 명령줄 도구가 사용하는 구성 파일을 업데이트합니다. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. 클러스터에 HSM이 둘 이상인 경우 계정이 잠기기 전에 잘못된 로그인 시도가 추가로 허용될 수 있습니다. 이는 CloudHSM 클라이언트가 다양한 HSM 간에 로드 균형을 조정하기 때문입니다. 따라서 매번 동일한 HSM에서 로그인 시도가 시작되지 않을 수 있습니다. 이 기능을 테스트하는 경우 활성화된 HSM이 하나 뿐인 클러스터에서 수행하는 것이 좋습니다. 2018년 2월 이전에 클러스터를 만든 경우 로그인 시도가 20회 실패한 후에 계정이 잠깁니다. ## 사용자 유형 다음 사용자가 이러한 명령을 실행할 수 있습니다. + PRECO(Pre-crypto Officer) + CO(Crypto Officer) + CU(Crypto User) ## 구문 구문 다이어그램에 지정된 순서대로 인수를 입력합니다. `-hpswd` 파라미터를 사용하여 암호를 숨길 수 있습니다. 2단계 인증(2FA)으로 로그인하려면 `-2fa` 파라미터를 사용하고 파일 경로를 포함하십시오. 자세한 내용은 [인수](#loginLogout-params) 섹션을 참조하십시오. ``` loginHSM |-hpswd> [-2fa ] ``` ``` logoutHSM ``` ## 예제 이러한 예제에서는 **loginHSM** 및 **logoutHSM**을 사용하여 클러스터의 모든 HSM에 로그인/로그아웃하는 방법을 보여줍니다. **Example : 클러스터의 HSM에 로그인** 이 명령은 자격 증명으로 CO 사용자 `admin` 및 암호 `co12345`를 사용하여 클러스터의 모든 HSM에 로그인합니다. 이 출력은 명령이 성공적으로 수행되었으며 사용자가 HSM(이 경우, `server 0` 및 `server 1`)에 연결되었음을 보여줍니다. ``` aws-cloudhsm>loginHSM CO admin co12345 loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11) ``` **Example : 숨겨진 암호로 로그인** 이 명령은 시스템이 암호를 숨기도록 지정한다는 점을 제외하면 위의 예와 동일합니다. ``` aws-cloudhsm>loginHSM CO admin -hpswd ``` 시스템이 암호를 묻는 메시지를 표시합니다. 암호를 입력하면 시스템은 암호를 숨기며 출력에는 명령이 성공했고 HSM에 연결되었다는 메시지가 표시됩니다. ``` Enter password: loginHSM success on server 0(10.0.2.9) loginHSM success on server 1(10.0.3.11) aws-cloudhsm> ``` **Example : HSM에서 로그아웃** 이 명령은 현재 로그인되어 있는 HSM(이 경우, `server 0` 및 `server 1`)에서 로그아웃합니다. 이 출력은 명령이 성공적으로 수행되었고 사용자가 HSM에서 연결 해제되었음을 보여줍니다. ``` aws-cloudhsm>logoutHSM logoutHSM success on server 0(10.0.2.9) logoutHSM success on server 1(10.0.3.11) ``` ## 인수 구문 다이어그램에 지정된 순서대로 인수를 입력합니다. `-hpswd` 파라미터를 사용하여 암호를 숨길 수 있습니다. 2단계 인증(2FA)으로 로그인하려면 `-2fa` 파라미터를 사용하고 파일 경로를 포함하십시오. 2FA 작업에 대한 자세한 내용은 [사용자 2FA 관리](manage-2fa.md) 섹션을 참조하세요. ``` loginHSM |-hpswd> [-2fa ] ``` **** HSM에 로그인 중인 사용자의 유형을 지정합니다. 자세한 내용은 위의 [사용자 유형](#chmu-loginLogout-userType)을 참조하십시오. 필수 항목 여부: 예 **** HSM에 로그인 중인 사용자의 사용자 이름을 지정합니다. 필수 항목 여부: 예 **** HSM에 로그인 중인 사용자의 암호를 지정합니다. 암호를 숨기려면 암호 대신 `-hpswd` 파라미터를 사용하고 프롬프트를 따르십시오. 필수 항목 여부: 예 **[-2fa ]** 시스템이 두 번째 요소를 사용하여 이 2FA 지원 CO 사용자를 인증하도록 지정합니다. 2FA로 로그인하는 데 필요한 데이터를 가져오려면 `-2fa` 파라미터 뒤에 파일 이름이 있는 파일 시스템의 위치에 대한 경로를 포함시키십시오. 2FA 작업에 대한 자세한 내용은 [사용자 2FA 관리](manage-2fa.md) 섹션을 참조하십시오. 필수 여부: 아니요 ## 관련 주제 + [cloudhsm\$1mgmt\$1util 시작하기](cloudhsm_mgmt_util-getting-started.md) + [클러스터 활성화](activate-cluster.md) # CMU를 사용하여 AWS CloudHSM 사용자를 키와 연결 AWS CloudHSM cloudhsm\$1mgmt\$1util의 **registerQuorumPubKey** 명령을 사용하여 하드웨어 보안 모듈(HSM) 사용자를 비대칭 RSA-2048 키 페어와 연결합니다. HSM 사용자를 키에 연결하면 해당 사용자가 프라이빗 키를 사용하여 쿼럼 요청을 승인하고 클러스터는 등록된 퍼블릭 키를 사용하여 사용자의 서명이 맞는지 확인할 수 있습니다. 쿼럼 인증에 대한 자세한 내용은 [쿼럼 인증 관리](quorum-authentication.md)(N의 M 액세스 제어)를 참조하십시오. **작은 정보** AWS CloudHSM 설명서에서 쿼럼 인증은 때때로 N의 M(MofN)이라고 하며, 이는 총 *N*명의 승인자 중 최소 *M*명의 승인자를 의미합니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + Crypto officers(CO) ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` registerQuorumPubKey ``` ## 예제 이 예제에서는 쿼럼 인증 요청에 대해 CO(Crypto Officer)를 승인자로 등록하는 데 **registerQuorumPubKey**를 사용하는 방법을 보여줍니다. 이 명령을 실행하려면 비대칭 RSA-2048 키 페어, 서명된 토큰 및 서명되지 않은 토큰이 있어야 합니다. 이러한 요구 사항에 대한 자세한 내용은 [인수](#registerQuorumPubKey-params) 단원을 참조하십시오. **Example : 쿼럼 인증을 위한 HSM 사용자 등록** 이 예에서는 `quorum_officer`이라는 CO를 쿼럼 인증 승인자로 등록합니다. ``` aws-cloudhsm> registerQuorumPubKey CO *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y registerQuorumPubKey success on server 0(10.0.0.1) ``` 마지막 명령은 [listUsers](cloudhsm_mgmt_util-listUsers.md) 명령을 사용하여 `quorum_officer`가 MofN 사용자로 등록되었는지 확인합니다. ``` aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO quorum_officer YES 0 NO ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` registerQuorumPubKey ``` **** 사용자 유형을 지정합니다. 이 파라미터는 필수 사항입니다. HSM에서의 사용자 유형에 대한 자세한 내용은 [AWS CloudHSM 관리 유틸리티의 HSM 사용자 유형](understanding-users-cmu.md) 섹션을 참조하십시오. 유효값: + **CO**: Crypto officer는 사용자를 관리할 수 있지만 키를 관리할 수는 없습니다. 필수: 예 **** 사용자의 친숙한 이름을 지정합니다. 최대 길이는 31자입니다. 허용되는 유일한 특수 문자는 밑줄( \$1 )입니다. 사용자를 생성한 후에는 사용자 이름을 변경할 수 없습니다. cloudhsm\$1mgmt\$1util 명령에서 사용자 유형과 암호는 대소문자를 구분하지만 사용자 이름은 대소문자를 구분하지 않습니다. 필수 항목 여부: 예 **** 서명되지 않은 등록 토큰이 포함된 파일의 경로를 지정합니다. 최대 파일 크기가 245바이트인 임의의 데이터를 포함할 수 있습니다. 서명되지 않은 등록 토큰을 만드는 방법에 대한 자세한 내용은 [등록 토큰 만들기 및 서명](quorum-authentication-crypto-officers-first-time-setup.md#mofn-registration-token)을 참조하십시오. 필수 항목 여부: 예 **** 등록 토큰의 SHA256\$1PKCS 메커니즘 서명 해시가 포함된 파일의 경로를 지정합니다. 자세한 내용은 [등록 토큰 생성 및 서명](quorum-authentication-crypto-officers-first-time-setup.md#mofn-registration-token)을 참조하십시오. 필수 항목 여부: 예 **** 비대칭 RSA-2048 키 페어의 퍼블릭 키가 포함된 파일의 경로를 지정합니다. 프라이빗 키를 사용하여 등록 토큰에 서명합니다. 자세한 내용은 [RSA 키 페어 생성](quorum-authentication-crypto-officers-first-time-setup.md#mofn-key-pair-create)을 참조하십시오. 필수 항목 여부: 예 클러스터는 쿼럼 인증과 2단계 인증(2FA)에 동일한 키를 사용합니다. 즉, **registerQuorumPubKey**를 사용하여 2FA를 활성화한 사용자에 대해서는 쿼럼 키를 교체할 수 없습니다. 키를 교체하려면 **changePswd**를 사용해야 합니다. 쿼럼 인증 및 2FA 사용에 대한 자세한 내용은 [쿼럼 인증 및 2FA](quorum-2fa.md)를 참조하십시오. ## 관련 주제 + [RSA 키 페어 생성](quorum-authentication-crypto-officers-first-time-setup.md#mofn-key-pair-create) + [등록 토큰 생성 및 서명](quorum-authentication-crypto-officers-first-time-setup.md#mofn-registration-token) + [HSM에 퍼블릭 키 등록](quorum-authentication-crypto-officers-first-time-setup.md#mofn-register-key) + [쿼럼 인증 관리(N의 M 액세스 제어)](quorum-authentication.md) + [쿼럼 인증 및 2FA](quorum-2fa.md) + [listUsers](cloudhsm_mgmt_util-listUsers.md) # CMU를 사용하여 AWS CloudHSM 클러스터에서 하나의 HSM과 상호 작용 AWS CloudHSM cloudhsm\$1mgmt\$1util의 **server** 명령을 사용하여 *서버 모드로* 전환하고 특정 하드웨어 보안 모듈(HSM) 인스턴스와 직접 상호 작용합니다. 일반적으로 cloudhsm\$1mgmt\$1util에서 명령을 실행하면 해당 명령은 지정된 클러스터에 있는 모든 HSM에 영향을 미칩니다(*글로벌 모드)* 하지만 단일 HSM에 대해 명령을 실행해야 하는 상황이 있을 수 있습니다. 예를 들어, 자동 동기화에 실패하는 경우 클러스터 전체에서 일관성을 유지하기 위해 HSM에서 키와 사용자를 동기화해야 할 수 있습니다. 성공적으로 시작하면 `aws-cloudhsm >` 명령 프롬프트가 `server >` 명령 프롬프트로 바뀝니다. 서버 모드에서 나가려면 `exit` 명령을 사용합니다. 성공적으로 종료하면 cloudhsm\$1mgmt\$1util 명령 프롬프트로 돌아갑니다. cloudhsm\$1mgmt\$1util 명령을 실행하기 전에 cloudhsm\$1mgmt\$1util을 시작해야 합니다. ## 사용자 유형 다음 사용자가 이 명령을 실행할 수 있습니다. + 모든 사용자. ## 사전 조건 서버 모드에 들어가려면 먼저 대상 HSM의 서버 번호를 알아야 합니다. 서버 번호는 시작할 때 cloudhsm\$1mgmt\$1util에서 생성된 추적 출력에 나열됩니다. 서버 번호는 구성 파일에 HSM이 나타나는 것과 동일한 순서대로 할당됩니다. 이 예제의 경우 `server 0`은 원하는 HSM에 해당하는 서버라고 가정합니다. ## 구문 서버 모드를 시작하려면: ``` server ``` 서버 모드를 종료하려면: ``` server> exit ``` ## 예제 이 명령은 서버 번호가 `0`인 HSM에서 서버 모드에 들어갑니다. ``` aws-cloudhsm> server 0 Server is in 'E2' mode... ``` 서버 모드에서 나가려면 **exit** 명령을 사용합니다. ``` server0> exit ``` ## 인수 ``` server ``` **** 대상 HSM의 서버 번호를 지정합니다. 필수 항목 여부: 예 `exit` 명령에 대한 인수는 없습니다. ## 관련 주제 + [syncKey](cloudhsm_mgmt_util-syncKey.md) + [createUser](cloudhsm_mgmt_util-createUser.md) + [deleteUser](cloudhsm_mgmt_util-deleteUser.md) # CMU를 사용하여 AWS CloudHSM 키의 속성 설정 AWS CloudHSM cloudhsm\$1mgmt\$1util의 **setAttribute** 명령을 사용하여 HSMs에서 키의 레이블, 암호화, 복호화, 래핑 및 언래핑 속성의 값을 변경합니다. key\$1mgmt\$1util에서 [setAttribute](key_mgmt_util-setAttribute.md) 명령을 사용하여 세션 키를 영구 키로 변환할 수도 있습니다. 본인이 소유한 키의 속성만 변경할 수 있습니다. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자가 이 명령을 실행할 수 있습니다. + 암호화 사용자(Crypto User) ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` setAttribute ``` ## 예제 이 예제는 대칭 키의 암호 해독 기능을 비활성화하는 방법을 보여줍니다. 이와 같은 명령을 사용하여 래핑 키를 구성할 수 있습니다. 래핑 키는 다른 키를 래핑 및 언래핑할 수 있지만 데이터를 암호화하거나 암호화 해제할 수 없습니다. 첫 번째 단계는 래핑 키를 생성하는 것입니다. 이 명령은 key\$1mgmt\$1util의 [genSymKey](key_mgmt_util-genSymKey.md)를 사용하여 256비트 AES 대칭 키를 생성합니다. 출력은 새 키에 키 핸들 14가 있음을 보여 줍니다. ``` $ genSymKey -t 31 -s 32 -l aes256 Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 14 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS ``` 다음으로 decrypt 속성의 현재 값을 확인합니다. decrypt 속성의 속성 ID를 가져오려면 [listAttributes](cloudhsm_mgmt_util-listAttributes.md)를 사용합니다. 출력은 `OBJ_ATTR_DECRYPT` 속성을 나타내는 상수가 `261`임을 보여줍니다. 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md) 섹션을 참조하십시오. ``` aws-cloudhsm> listAttributes Following are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512 ``` 키 14에 대한 암호 해독 속성의 현재 값을 가져오기 위해 다음 명령은 cloudhsm\$1mgmt\$1util의 [getAttribute](cloudhsm_mgmt_util-getAttribute.md)를 사용합니다. 출력은 클러스터의 두 HSM 모두에서 decrypt 속성의 값이 true(1)임을 보여 줍니다. ``` aws-cloudhsm> getAttribute 14 261 Attribute Value on server 0(10.0.0.1): OBJ_ATTR_DECRYPT 0x00000001 Attribute Value on server 1(10.0.0.2): OBJ_ATTR_DECRYPT 0x00000001 ``` 이 명령은 **setAttribute**를 사용하여 키 14의 decrypt 속성(속성 `261`) 값을 `0`으로 변경합니다. 이렇게 하면 키에서 암호화 해제 기능이 비활성화됩니다. 출력은 클러스터의 두 HSM 모두에서 명령이 성공했음을 보여 줍니다. ``` aws-cloudhsm> setAttribute 14 261 0 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)? y setAttribute success on server 0(10.0.0.1) setAttribute success on server 1(10.0.0.2) ``` 마지막 명령은 **getAttribute** 명령을 반복합니다. 이 경우에도 명령은 키 14의 decrypt 속성(속성 `261`)을 가져옵니다. 이번 출력은 클러스터에 있는 두 HSM 모두에서 decrypt 속성의 값이 false(0)임을 보여 줍니다. ``` aws-cloudhsm > getAttribute 14 261 Attribute Value on server 0(10.0.3.6): OBJ_ATTR_DECRYPT 0x00000000 Attribute Value on server 1(10.0.1.7): OBJ_ATTR_DECRYPT 0x00000000 ``` ## 인수 ``` setAttribute ** 소유하는 키의 키 핸들을 지정합니다. 각 명령에서 키를 하나만 지정할 수 있습니다. 키의 키 핸들을 가져오려면 key\$1mgmt\$1util에서 [findKey](key_mgmt_util-findKey.md)를 사용합니다. 키의 사용자를 찾으려면 [getKeyInfo](cloudhsm_mgmt_util-getKeyInfo.md)를 사용합니다. 필수 항목 여부: 예 **** 변경하려는 속성을 나타내는 상수를 지정합니다. 각 명령에서 하나의 속성만 지정할 수 있습니다. 속성과 해당 정수 값을 가져오려면 [listAttributes](key_mgmt_util-listAttributes.md)를 사용합니다. 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md) 섹션을 참조하십시오. 유효한 값: + **3** – `OBJ_ATTR_LABEL`. + **134** – `OBJ_ATTR_TRUSTED`. + **260** – `OBJ_ATTR_ENCRYPT`. + **261** – `OBJ_ATTR_DECRYPT`. + **262** – `OBJ_ATTR_WRAP`. + **263** – `OBJ_ATTR_UNWRAP`. + **264** – `OBJ_ATTR_SIGN`. + **266** – `OBJ_ATTR_VERIFY`. + **268** – `OBJ_ATTR_DERIVE`. + **370** – `OBJ_ATTR_DESTROYABLE`. + **528** – `OBJ_ATTR_WRAP_WITH_TRUSTED`. + **1073742353** – `OBJ_ATTR_WRAP_TEMPLATE`. + **1073742354** – `OBJ_ATTR_UNWRAP_TEMPLATE`. 필수: 예 ## 관련 주제 + key\$1mgmt\$1util의 [setAttribute](key_mgmt_util-setAttribute.md) + [getAttribute](cloudhsm_mgmt_util-getAttribute.md) + [listAttributes](cloudhsm_mgmt_util-listAttributes.md) + [키 속성 참조](key-attribute-table.md) # CMU 종료 AWS CloudHSM cloudhsm\$1mgmt\$1util에서 **quit** 명령을 사용하여 cloudhsm\$1mgmt\$1util을 종료합니다. 모든 유형의 사용자가 이 명령을 사용할 수 있습니다. cloudhsm\$1mgmt\$1util 명령을 실행하기 전에 cloudhsm\$1mgmt\$1util을 시작해야 합니다. ## 사용자 유형 다음 사용자가 이 명령을 실행할 수 있습니다. + 모든 사용자. 이 명령을 실행하기 위해 로그인할 필요는 없습니다. ## 구문 ``` quit ``` ## 예제 이 명령은 cloudhsm\$1mgmt\$1util을 종료합니다. 성공적으로 완료되면 일반 명령줄로 돌아갑니다. 이 명령에는 출력 파라미터가 없습니다. ``` aws-cloudhsm> quit disconnecting from servers, please wait... ``` ## 관련 주제 + [cloudhsm\$1mgmt\$1util 시작하기](cloudhsm_mgmt_util-getting-started.md) # CMU를 사용하여 AWS CloudHSM 키 공유 AWS CloudHSM cloudhsm\$1mgmt\$1util의 **shareKey** 명령을 사용하여 소유한 키를 다른 암호화 사용자와 공유하고 공유 해제합니다. 키 소유자만 키를 공유 및 공유 해제할 수 있습니다. 키를 생성할 때 키를 공유할 수도 있습니다. 다른 사용자의 키를 공유하는 사용자는 해당 키를 암호화 작업에 사용할 수는 있지만 키에 대해 삭제, 내보내기, 공유, 공유 해제 또는 속성 변경을 할 수는 없습니다. 키에서 쿼럼 인증이 활성화되면 쿼럼이 해당 키를 공유 또는 공유 해제하는 모든 작업을 승인해야 합니다. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + 암호화 사용자(Crypto User) ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. **사용자 유형**: CU(Crypto User) ``` shareKey <(share/unshare key?) 1/0> ``` ## 예제 다음 예제는 **shareKey**를 사용하여 소유하는 키를 다른 Crypto User와 공유 및 공유 해제하는 방법을 보여줍니다. **Example : 키 공유하기** 이 예제에서는 **shareKey**를 사용하여 현재 사용자가 소유하는 [ECC 프라이빗 키](key_mgmt_util-genSymKey.md)를 HSM의 다른 Crypto User와 공유합니다. 퍼블릭 키는 HSM의 모든 사용자가 사용할 수 있으므로, 공유 또는 공유 해제할 필요가 없습니다. 첫 번째 명령은 [getKeyInfo](cloudhsm_mgmt_util-getKeyInfo.md)를 사용하여 HSM의 ECC 프라이빗 키인 키 `262177`의 사용자 정보를 가져옵니다. 출력은 키 `262177`을 사용자 3이 소유하지만 공유되지 않고 있음을 보여줍니다. ``` aws-cloudhsm>getKeyInfo 262177 Key Info on server 0(10.0.3.10): Token/Flash Key, Owned by user 3 Key Info on server 1(10.0.3.6): Token/Flash Key, Owned by user 3 ``` 이 명령은 **shareKey**를 사용하여 키 `262177`을 HSM의 다른 Crypto User인 사용자 `4`와 공유합니다. 마지막 인수는 값 `1`을 사용하여 공유 작업을 표시합니다. 출력은 클러스터의 두 HSM 모두에서 작업이 성공했음을 보여 줍니다. ``` aws-cloudhsm>shareKey 262177 4 1 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y shareKey success on server 0(10.0.3.10) shareKey success on server 1(10.0.3.6) ``` 작업이 성공했는지 확인하기 위해 예제에서는 첫 번째 **getKeyInfo** 명령을 반복합니다. 출력은 이제 키 `262177`가 사용자 `4`와 공유되고 있음을 보여 줍니다. ``` aws-cloudhsm>getKeyInfo 262177 Key Info on server 0(10.0.3.10): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 Key Info on server 1(10.0.3.6): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 ``` **Example : 키 공유 해제하기** 이 예제는 대칭 키를 공유 해제, 즉 키의 공유 사용자 목록에서 Crypto User를 제거합니다. 이 명령은 **shareKey**를 사용하여 키 `6`의 공유 사용자 목록에서 사용자 `4`를 제거합니다. 마지막 인수는 값 `0`을 사용하여 공유 해제 작업을 표시합니다. 출력은 두 HSM 모두에서 명령이 성공했음을 보여줍니다. 따라서 사용자 `4`는 더 이상 암호화 작업에 키 `6`을 사용할 수 없습니다. ``` aws-cloudhsm>shareKey 6 4 0 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y shareKey success on server 0(10.0.3.10) shareKey success on server 1(10.0.3.6) ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` shareKey <(share/unshare key?) 1/0> ``` **** 소유하는 키의 키 핸들을 지정합니다. 각 명령에서 키를 하나만 지정할 수 있습니다. 키의 키 핸들을 가져오려면 key\$1mgmt\$1util에서 [findKey](key_mgmt_util-findKey.md)를 사용합니다. 키의 소유자를 확인하려면 [getKeyInfo](cloudhsm_mgmt_util-getKeyInfo.md)를 사용합니다. 필수 항목 여부: 예 **** 키를 공유 또는 공유 해제하는 CU(Crypto User)의 사용자 ID를 지정합니다. 사용자의 사용자 ID를 찾으려면 [listUsers](cloudhsm_mgmt_util-listUsers.md)를 사용합니다. 필수 항목 여부: 예 **** 지정된 사용자와 키를 공유하려면 `1`을 입력합니다. 키를 공유 해제하려면, 즉 키의 공유 사용자 목록에서 지정된 사용자를 제거하려면 `0`을 입력합니다. 필수: 예 ## 관련 주제 + [getKeyInfo](cloudhsm_mgmt_util-getKeyInfo.md) # CMU를 사용하여 AWS CloudHSM 클러스터 간에 키 동기화 AWS CloudHSM cloudhsm\$1mgmt\$1util의 **syncKey** 명령을 사용하여 클러스터 내 HSM 인스턴스 또는 복제된 클러스터 간에 키를 수동으로 동기화합니다. 일반적으로는 클러스터에 있는 HSM 인스턴스가 자동으로 키를 동기화하므로 이 명령을 사용할 필요가 없습니다. 하지만 복제된 클러스터 간의 키 동기화는 수동으로 수행해야 합니다. 복제된 클러스터는 일반적으로 글로벌 규모 조정 및 재해 복구 프로세스를 간소화하기 위해 여러 AWS 리전에서 생성됩니다. **syncKey**를 사용하여 임의 클러스터 간에 키를 동기화할 수 없습니다. 클러스터 중 하나가 다른 클러스터의 백업에서 생성되어야 하기 때문입니다. 또한, 이 작업이 성공적으로 수행되려면 두 클러스터의 CO 및 CU 자격 증명이 일치해야 합니다. 자세한 내용은 [HSM 사용자](understanding-users-cmu.md) 단원을 참조하십시오. 를 사용하려면 먼저 [소스 클러스터에서 하나의 HSM을 지정하고 대상 클러스터에서 하나의 HSM을 지정하는 AWS CloudHSM 구성 파일을 생성](cloned-clusters.md)해야 **syncKey**합니다. 이렇게 하면 cloudhsm\$1mgmt\$1util은 두 HSM 인스턴스에 모두 연결할 수 있습니다. 이 구성 파일을 사용하여 cloudhsm\$1mgmt\$1util을 시작합니다. 그런 다음 동기화할 키를 소유하는 CO 또는 CU의 자격 증명을 사용하여 로그인합니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + Crypto officers(CO) + 암호화 사용자(Crypto User) **참고** CO는 모든 키에서 **syncKey**를 사용할 수 있는 반면, CU는 자신이 소유하는 키에 대해서만 이 명령을 사용할 수 있습니다. 자세한 내용은 [AWS CloudHSM 관리 유틸리티의 HSM 사용자 유형](understanding-users-cmu.md) 단원을 참조하십시오. ## 사전 조건 시작하기 전에 대상 HSM과 동기화할 소스 HSM에서 키의 `key handle`을 알아야 합니다. `key handle`을 찾으려면 [listUsers](cloudhsm_mgmt_util-listUsers.md) 명령을 사용하여 이름이 지정된 사용자에 대한 모든 식별자를 나열합니다. 그런 다음 [findAllKeys](cloudhsm_mgmt_util-findAllKeys.md) 명령을 사용하여 특정 사용자에게 속하는 모든 키를 찾습니다. 소스 및 대상 HSM에 할당된 `server IDs`도 알아야 합니다. 이러한 ID는 시작 시 cloudhsm\$1mgmt\$1util에서 반환하는 추적 출력에 표시됩니다. 이러한 ID는 HSM이 구성 파일에 나타나는 것과 동일한 순서대로 할당됩니다. [복제된 클러스터 간 CMU 사용](cloned-clusters.md) 지침에 따라 cloudhsm\$1mgmt\$1util을 새 구성 파일로 초기화합니다. 그런 다음 [server](cloudhsm_mgmt_util-server.md) 명령을 실행하여 소스 HSM에서 서버 모드로 들어갑니다. ## 구문 **참고** **syncKey**를 실행하려면 먼저 동기화할 키를 포함하는 HSM에서 서버 모드로 들어갑니다. 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. **사용자 유형**: CU(Crypto User) ``` syncKey ``` ## 예제 **server** 명령을 실행하여 소스 HSM에 로그인하고 서버 모드로 들어갑니다. 이 예제에서는 `server 0`을 소스 HSM으로 가정합니다. ``` aws-cloudhsm> server 0 ``` 이제 **syncKey** 명령을 실행합니다. 이 예제에서는 키 `261251`이 `server 1`에 동기화된다고 가정합니다. ``` aws-cloudhsm> syncKey 261251 1 syncKey success ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` syncKey ``` **** 동기화할 키의 key handle을 지정합니다. 각 명령에서 키를 하나만 지정할 수 있습니다. 키의 key handle을 가져오려면 HSM 서버에 로그인한 상태에서 [findAllKeys](cloudhsm_mgmt_util-findAllKeys.md)를 사용합니다. 필수 항목 여부: 예 **** 키를 동기화하려고 하는 서버의 번호를 지정합니다. 필수: 예 ## 관련 주제 + [listUsers](cloudhsm_mgmt_util-listUsers.md) + [findAllKeys](cloudhsm_mgmt_util-findAllKeys.md) + 의 [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI + [서버](cloudhsm_mgmt_util-server.md) # CMU를 사용하여 AWS CloudHSM 클러스터 전체에서 사용자 동기화 AWS CloudHSM cloudhsm\$1mgmt\$1util의 **syncUser** 명령을 사용하여 클러스터 내의 HSM 인스턴스 또는 복제된 클러스터에서 CUs(Crypto User) 또는 COs(Crypto Officer)를 수동으로 동기화합니다.는 사용자를 자동으로 동기화하지 AWS CloudHSM 않습니다. 일반적으로 클러스터의 모든 HSM이 함께 업데이트되도록 글로벌 모드에서 사용자를 관리합니다. 암호 변경 등의 이유로 잘못해서 HSM이 동기화 해제된 경우나 복제된 클러스터 간에 사용자 자격 증명을 교체하려는 경우 **syncUser**를 사용해야 할 수도 있습니다. 복제된 클러스터는 일반적으로 글로벌 규모 조정 및 재해 복구 프로세스를 간소화하기 위해 여러 AWS 리전에서 생성됩니다. CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다. ## 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. + Crypto officers(CO) ## 사전 조건 시작하기 전에 대상 HSM과 동기화할 소스 HSM에서 사용자의 `user ID`를 알아야 합니다. `user ID`를 찾으려면 [listUsers](cloudhsm_mgmt_util-listUsers.md) 명령을 사용하여 클러스터에 있는 HSM의 모든 사용자를 나열합니다. 소스 및 대상 HSM에 할당된 `server ID`도 알아야 합니다. 이러한 ID는 시작 시 cloudhsm\$1mgmt\$1util에서 반환하는 추적 출력에 표시됩니다. 이러한 ID는 HSM이 구성 파일에 나타나는 것과 동일한 순서대로 할당됩니다. 복제된 클러스터 간에 HSM을 동기화하는 경우 [복제된 클러스터 간에 CMU 사용](cloned-clusters.md) 지침에 따라 새 구성 파일로 cloudhsm\$1mgmt\$1util을 초기화합니다. **syncUser**를 실행할 준비가 되면 [**server**](cloudhsm_mgmt_util-server.md) 명령을 실행하여 소스 HSM에서 서버 모드로 들어갑니다. ## 구문 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` syncUser ``` ## 예제 **server** 명령을 실행하여 소스 HSM에 로그인하고 서버 모드로 들어갑니다. 이 예제에서는 `server 0`을 소스 HSM으로 가정합니다. ``` aws-cloudhsm> server 0 ``` 이제 **syncUser** 명령을 실행합니다. 이 예제에서는 사용자 `6`이 동기화될 사용자이고 `server 1`이 대상 HSM이라고 가정합니다. ``` server 0> syncUser 6 1 ExtractMaskedObject: 0x0 ! InsertMaskedObject: 0x0 ! syncUser success ``` ## 인수 이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다. ``` syncUser ``` **** 동기화할 사용자의 ID를 지정합니다. 각 명령에서 사용자를 하나만 지정할 수 있습니다. 사용자의 ID를 가져오려면 [listUsers](cloudhsm_mgmt_util-listUsers.md)를 사용합니다. 필수 항목 여부: 예 **** 사용자를 동기화하려고 하는 HSM의 서버 번호를 지정합니다. 필수: 예 ## 관련 주제 + [listUsers](cloudhsm_mgmt_util-listUsers.md) + 의 [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI + [서버](cloudhsm_mgmt_util-server.md)