기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudHSM 클라이언트 SDK 5 구성 도구
AWS CloudHSM 클라이언트 SDK 5 구성 도구를 사용하여 클라이언트 측 구성 파일을 업데이트합니다.
클라이언트 SDK 5의 각 구성 요소에는 구성 도구의 파일 이름에 구성 요소 표기가 있는 구성 도구가 포함되어 있습니다. 예를 들어 클라이언트 SDK 5용 PKCS \$111 라이브러리에는 Linux에는 `configure-pkcs11` 또는 Windows에는 `configure-pkcs11.exe`라는 구성 도구가 포함되어 있습니다.
**Topics**
+ [구문](configure-tool-syntax5.md)
+ [파라미터](configure-tool-params5.md)
+ [예제](configure-tool-examples5.md)
+ [OpenSSL 공급자 부트스트랩](configure-openssl-provider.md)
+ [고급 구성](configure-sdk5-advanced-configs.md)
+ [관련 주제](configure-tool-seealso5.md)
# AWS CloudHSM 클라이언트 SDK 5 구성 구문
다음 표는 클라이언트 SDK 5의 AWS CloudHSM 구성 파일 구문을 보여줍니다. 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md)를 참조하세요.
------
#### [ PKCS \$111 ]
```
Usage: configure-pkcs11[ .exe ] [OPTIONS]
Options:
--disable-certificate-storage
Disables Certificate Storage
--enable-certificate-storage
Enables Certificate Storage
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL ]
```
Usage: configure-dyn[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ KSP ]
```
Usage: configure-ksp.exe [OPTIONS]
Options:
-a ...
The address of the HSM instance
--server-client-cert-file
The client certificate used for TLS client-server mutual authentication
--server-client-key-file
The client private key used for TLS client-server mutual authentication
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
--enable-sdk3-compatibility-mode
Enables key file usage for KSP
--disable-sdk3-compatibility-mode
Disables key file usage for KSP
-h, --help
Print help
```
------
#### [ JCE ]
```
Usage: configure-jce[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ CloudHSM CLI ]
```
Usage: configure-cli[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL Provider ]
```
Usage: configure-openssl-provider[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
# AWS CloudHSM 클라이언트 SDK 5 구성 파라미터
다음은 AWS CloudHSM 클라이언트 SDK 5를 구성하기 위한 파라미터 목록입니다.
**-a ****
지정된 IP 주소를 클라이언트 SDK 5 구성 파일에 추가합니다. 클러스터에 있는 HSM의 모든 ENI IP 주소를 입력합니다. 이 옵션을 사용하는 방법에 관한 자세한 내용은 [클라이언트 SDK 5 부트스트랩](cluster-connect.md#sdk8-connect)을 참조하세요.
필수 항목 여부: 예
**--hsm-ca-cert ****
EC2 클라이언트 인스턴스를 클러스터에 연결하는 데 사용되는 CA(인증 기관) 인증서를 저장하는 디렉터리 경로입니다. 클러스터를 초기화할 때 이 파일을 생성합니다. 기본적으로 시스템은 다음 위치에서 이 파일을 찾습니다.
Linux
```
/opt/cloudhsm/etc/customerCA.crt
```
Windows
```
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
```
클러스터를 초기화하거나 인증서를 배치하는 방법에 대한 자세한 내용은 [발급 인증서를 각 EC2 인스턴스에 배치합니다.](cluster-connect.md#place-hsm-cert) 및 [에서 클러스터 초기화 AWS CloudHSM](initialize-cluster.md) 단원을 참조하세요.
필수 여부: 아니요
**--cluster-id ****
클러스터 ID와 연결된 클러스터의 모든 HSM Elastic Network 인터페이스(ENI) IP 주소를 찾기 위해 `DescribeClusters`를 호출합니다. 구성 AWS CloudHSM 파일에 ENI IP 주소가 추가됩니다.
퍼블릭 인터넷에 액세스할 수 없는 VPC 내의 EC2 인스턴스에서 `--cluster-id` 파라미터를 사용하는 경우 연결할 인터페이스 VPC 엔드포인트를 생성해야 합니다 AWS CloudHSM. VPC 엔드포인트에 대한 자세한 내용은 [AWS CloudHSM 및 VPC 엔드포인트](cloudhsm-vpc-endpoint.md) 섹션을 참조하십시오.
필수 여부: 아니요
**--endpoint ****
`DescribeClusters` 호출에 사용되는 AWS CloudHSM API 엔드포인트를 지정합니다. 이 옵션은 `--cluster-id`와 조합하여 설정해야 합니다.
필수 여부: 아니요
**--region ****
클러스터의 지역을 지정합니다. 이 옵션은 `--cluster-id`와 조합하여 설정해야 합니다.
`--region` 파라미터를 제공하지 않으면 시스템은 `AWS_DEFAULT_REGION` 또는 `AWS_REGION` 환경 변수를 읽으려고 시도하여 리전을 선택합니다. 이러한 변수가 설정되지 않은 경우, 시스템은 사용자가 `AWS_CONFIG_FILE` 환경 변수에 다른 파일을 지정하지 않는 한 AWS config 파일(일반적으로 `~/.aws/config`)의 프로필과 연결된 리전을 확인합니다. 위 항목 중 아무 것도 설정되지 않은 경우 시스템은 `us-east-1` 리전을 기본값으로 사용합니다.
필수 여부: 아니요
**--client-cert-hsm-tls-file ****
TLS client-HSM 상호 인증에 사용되는 클라이언트 인증서의 경로입니다.
CloudHSM CLI를 사용하여 HSM에 하나 이상의 트러스트 앵커를 등록한 경우에만 이 옵션을 사용합니다. 이 옵션은 `--client-key-hsm-tls-file`와 조합하여 설정해야 합니다.
필수 여부: 아니요
**--client-key-hsm-tls-file ****
TLS client-HSM 상호 인증에 사용되는 클라이언트 키의 경로입니다.
CloudHSM CLI를 사용하여 HSM에 하나 이상의 트러스트 앵커를 등록한 경우에만 이 옵션을 사용합니다. 이 옵션은 `--client-cert-hsm-tls-file`와 조합하여 설정해야 합니다.
필수 여부: 아니요
**--log-level ****
시스템이 로그 파일에 기록해야 하는 최소 로깅 수준을 지정합니다. 각 수준에는 이전 수준이 포함되며, 오류는 최소 수준이고 최대 수준은 추적됩니다. 즉, 오류를 지정하는 경우 시스템은 오류만 로그에 기록합니다. 추적을 지정하면 시스템에서 오류, 경고, 정보(정보) 및 디버그 메시지를 로그에 기록합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**--log-rotation ****
시스템에서 로그를 순환하는 빈도를 지정합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**--log-file ****
시스템에서 로그 파일을 기록할 위치를 지정합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**--log-type ****
시스템에서 로그를 파일 또는 터미널에 기록할지 여부를 지정합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**-h \$1 --help**
도움말을 표시합니다.
필수 여부: 아니요
**--disable-key-availability-check **
키 가용성 쿼럼을 비활성화하는 플래그입니다. AWS CloudHSM 가 키 가용성 쿼럼을 비활성화하고 클러스터의 HSM 하나에만 있는 키를 사용할 수 있음을 나타내려면이 플래그를 사용합니다. 이 플래그를 사용하여 키 가용성 쿼럼을 설정하는 방법에 대한 자세한 내용은 [클라이언트 키 내구성 설정 관리](working-client-sync.md#setting-file-sdk8) 단원을 참조하세요.
필수 여부: 아니요
**--enable-key-availability-check **
키 가용성 쿼럼을 활성화하는 플래그 이 플래그를 사용하면 AWS CloudHSM 가 키 가용성 쿼럼을 사용해야 하고 해당 키가 클러스터의 두 HSMs에 존재할 때까지 키를 사용할 수 없음을 나타냅니다. 이 플래그를 사용하여 키 가용성 쿼럼을 설정하는 방법에 대한 자세한 내용은 [클라이언트 키 내구성 설정 관리](working-client-sync.md#setting-file-sdk8) 단원을 참조하세요.
기본적으로 활성화됩니다.
필수 여부: 아니요
**--disable-validate-key-at-init **
초기화 호출을 건너뛰고 후속 호출 시 키에 대한 권한을 확인할 수 있도록 지정하여 성능을 개선합니다. 주의해서 사용하세요.
배경: PKCS \$111 라이브러리의 일부 메커니즘은 초기화 호출에서 후속 호출에 키를 사용할 수 있는지 확인하는 멀티파트 작업을 지원합니다. 이를 위해서는 HSM에 대한 확인 호출이 필요하며, 이로 인해 전체 작업에 지연 시간이 늘어납니다. 이 옵션을 사용하면 후속 호출을 비활성화하고 잠재적으로 성능을 개선할 수 있습니다.
필수 여부: 아니요
**--enable-validate-key-at-init **
초기화 호출을 사용하여 후속 호출 시 키에 대한 권한을 확인해야 한다고 지정합니다. 이는 기본 옵션입니다. `enable-validate-key-at-init`를 사용하여 초기화 호출을 일시 중단한 후 다시 시작하는 데 `disable-validate-key-at-init`를 사용합니다.
필수 여부: 아니요
# AWS CloudHSM 클라이언트 SDK 5 구성 예제
이 예제에서는 AWS CloudHSM 클라이언트 SDK 5용 구성 도구를 사용하는 방법을 보여줍니다.
## 부트스트래핑 클라이언트 SDK 5
**Example**
이 예제에서는 `-a` 파라미터를 사용하여 클라이언트 SDK 5 및 HSM 데이터를 업데이트합니다. `-a` 파라미터를 사용하려면 클러스터에 있는 HSM 중 하나의 IP 주소가 있어야 합니다.
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
`-a ` 대신 `–-cluster-id` 파라미터를 사용할 수 있습니다. `–-cluster-id` 사용 요구 사항을 보려면 [AWS CloudHSM 클라이언트 SDK 5 구성 도구](configure-sdk-5.md) 단원을 참조하십시오.
`-a` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md)을 참조하세요.
## 클라이언트 SDK 5의 클러스터, 리전, 엔드포인트를 지정하세요.
**Example**
이 예제에서는 `cluster-id` 파라미터를 사용하여 `DescribeClusters` 호출을 통해 클라이언트 SDK 5를 부트스트랩합니다.
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id
```
`--region` 및 `--endpoint` 파라미터를 `cluster-id` 파라미터와 함께 사용하여 시스템에서 `DescribeClusters`를 호출하는 방식을 지정할 수 있습니다. 예를 들어 클러스터의 리전이 AWS CLI 기본값으로 구성된 리전과 다른 경우 `--region` 파라미터를 사용하여 해당 리전을 사용해야 합니다. 또한 호출에 사용할 AWS CloudHSM API 엔드포인트를 지정할 수 있습니다. 이는 기본 DNS 호스트 이름을 사용하지 않는 VPC 인터페이스 엔드포인트를 사용하는 등 다양한 네트워크 설정에 필요할 수 있습니다 AWS CloudHSM.
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id --region --endpoint
```
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id --region --endpoint
```
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id --region --endpoint
```
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id --region --endpoint
```
`--cluster-id`, `--region`, `--endpoint` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 섹션을 참조하십시오.
## TLS client-HSM 상호 인증을 위한 클라이언트 인증서 및 키 업데이트
**Example**
이 예제에서는 `--client-cert-hsm-tls-file` 및 `--client-key-hsm-tls-file` 파라미터를 사용하여에 대한 사용자 지정 키와 SSL 인증서를 지정하여 SSL을 재구성하는 방법을 보여줍니다. AWS CloudHSM
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
`--client-cert-hsm-tls-file` 및 `--client-key-hsm-tls-file` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 단원을 참조하세요.
## 클라이언트 키 내구성 설정 비활성화
**Example**
이 예제에서는 `--disable-key-availability-check` 파라미터를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다. 단일 HSM으로 클러스터를 실행하려면 클라이언트 키 내구성 설정을 비활성화해야 합니다.
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
`--disable-key-availability-check` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md)을 참조하세요.
## 로깅 옵션 관리
**Example**
클라이언트 SDK 5는`log-file`, `log-level`, `log-rotation`, `log-type` 파라미터를 사용하여 로깅을 관리합니다.
AWS Fargate 또는 AWS Lambda와 같은 서버리스 환경에 맞게 SDK를 구성하려면 AWS CloudHSM 로그 유형을 로 구성하는 것이 좋습니다`term`. 클라이언트 로그는 해당 환경에 대해 구성된 CloudWatch Logs 로그 그룹에 `stderr`로 출력되고 캡처됩니다.
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
/opt/cloudhsm/run/cloudhsm-pkcs11.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
stderr
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
stderr
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-ksp.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
/opt/cloudhsm/run/cloudhsm-jce.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
/opt/cloudhsm/run/cloudhsm-cli.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info
```
`log-file`, `log-level`, `log-rotation`, `log-type` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 단원을 참조하세요.
## 클라이언트 SDK 5용 발급 인증서 배치
**Example**
이 예제에서는 `--hsm-ca-cert` 파라미터를 사용하여 클라이언트 SDK 5의 발급 인증서 위치를 업데이트합니다.
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --hsm-ca-cert
```
`--hsm-ca-cert` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 단원을 참조하세요.
# OpenSSL 공급자 부트스트랩
configure-openssl-provider 도구를 사용하여 OpenSSL Provider 설치를 부트스트랩하고 AWS CloudHSM 클러스터에 연결합니다.
**OpenSSL 공급자를 부트스트랩하려면**
1. 클러스터에 있는 HSM의 IP 주소로 configure-openssl-provider 명령을 실행합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**를 클러스터에 있는 HSM의 IP 주소로 바꿉니다.
1. OpenSSL 공급자가 클러스터에 연결할 수 있는지 확인하여 구성을 확인합니다.
```
$ openssl list -providers -provider-path /opt/cloudhsm/lib -provider cloudhsm
```
구성 파라미터에 대한 자세한 내용은 섹션을 참조하세요[AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md).
# 클라이언트 SDK 5 구성 도구의 고급 구성
AWS CloudHSM 클라이언트 SDK 5 구성 도구에는 대부분의 고객이 활용하는 일반 기능의 일부가 아닌 고급 구성이 포함되어 있습니다. 고급 구성은 추가 기능을 제공합니다.
**중요**
구성을 변경한 후 애플리케이션을 다시 시작해야 변경 사항이 적용됩니다.
+ PKCS \$111의 고급 구성
+ [용 PKCS \$111 라이브러리를 사용한 다중 슬롯 구성 AWS CloudHSM](pkcs11-library-configs-multi-slot.md)
+ [용 PKCS \$111 라이브러리에 대한 재시도 명령 AWS CloudHSM](pkcs11-library-configs-retry.md)
+ OpenSSL용 고급 구성
+ [용 OpenSSL에 대한 명령 재시도 AWS CloudHSM](openssl-library-configs-retry.md)
+ KSP용 고급 구성
+ [용 키 스토리지 공급자(KSP)의 SDK3 호환성 모드 AWS CloudHSM](ksp-library-configs-sdk3-compatibility-mode.md)
+ JCE용 고급 구성
+ [JCE 공급자를 사용하여 여러 AWS CloudHSM 클러스터에 연결](java-lib-configs-multi.md)
+ [용 JCE에 대한 명령 재시도 AWS CloudHSM](java-lib-configs-retry.md)
+ [용 JCE를 사용한 키 추출 AWS CloudHSM](java-lib-configs-getencoded.md)
+ AWS CloudHSM 명령줄 인터페이스(CLI)의 고급 구성
+ [CloudHSM CLI를 사용하여 여러 클러스터에 연결](cloudhsm_cli-configs-multi-cluster.md)
# AWS CloudHSM 클라이언트 SDK 5 관련 주제
AWS CloudHSM 클라이언트 SDK 5에 대해 자세히 알아보려면 다음 관련 주제를 참조하세요.
+ [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) API 작업
+ [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI
+ [Get-HSM2Cluster](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-HSM2Cluster.html) PowerShell cmdlet
+ [클라이언트 SDK 5 부트스트랩](cluster-connect.md#sdk8-connect)
+ [OpenSSL 공급자 부트스트랩](configure-openssl-provider.md)
+ [AWS CloudHSM VPC 엔드포인트](cloudhsm-vpc-endpoint.md)
+ [클라이언트 SDK 5 키 내구성 설정 관리](working-client-sync.md#setting-file-sdk8)
+ [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging)
+ [mTLS 설정(권장)](getting-started-setup-mtls.md)