기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudHSM 구성 도구
AWS CloudHSM 는 클러스터의 모든 하드웨어 보안 모듈(HSM) 간에 데이터를 자동으로 동기화합니다. **configure** 도구는 동기화 메커니즘이 사용하는 구성 파일의 HSM 데이터를 업데이트합니다. 특히 클러스터의 HSM이 변경된 경우, 명령줄 도구를 사용하기 전에 **configure**를 사용하여 HSM 데이터를 새로 고치십시오.
AWS CloudHSM 에는 두 가지 주요 클라이언트 SDK 버전이 포함되어 있습니다.
+ 클라이언트 SDK 5: 최신 기본 클라이언트 SDK입니다. 제공되는 이점 및 장점에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5의 이점](client-sdk-5-benefits.md) 섹션을 참조하세요.
+ 클라이언트 SDK 3: 이전 클라이언트 SDK입니다. 여기에는 플랫폼 및 언어 기반 애플리케이션 호환성 및 관리 도구를 위한 전체 구성 요소 세트가 포함됩니다.
클라이언트 SDK 3에서 클라이언트 SDK 5로 마이그레이션하는 방법에 대한 지침은 [AWS CloudHSM 클라이언트 SDK 3에서 클라이언트 SDK 5로 마이그레이션](client-sdk-migration.md) 섹션을 참조하세요.
**Topics**
+ [클라이언트 SDK 5 구성 도구](configure-sdk-5.md)
+ [클라이언트 SDK 3 구성 도구](configure-sdk-3.md)
# AWS CloudHSM 클라이언트 SDK 5 구성 도구
AWS CloudHSM 클라이언트 SDK 5 구성 도구를 사용하여 클라이언트 측 구성 파일을 업데이트합니다.
클라이언트 SDK 5의 각 구성 요소에는 구성 도구의 파일 이름에 구성 요소 표기가 있는 구성 도구가 포함되어 있습니다. 예를 들어 클라이언트 SDK 5용 PKCS \$111 라이브러리에는 Linux에는 `configure-pkcs11` 또는 Windows에는 `configure-pkcs11.exe`라는 구성 도구가 포함되어 있습니다.
**Topics**
+ [구문](configure-tool-syntax5.md)
+ [파라미터](configure-tool-params5.md)
+ [예제](configure-tool-examples5.md)
+ [OpenSSL 공급자 부트스트랩](configure-openssl-provider.md)
+ [고급 구성](configure-sdk5-advanced-configs.md)
+ [관련 주제](configure-tool-seealso5.md)
# AWS CloudHSM 클라이언트 SDK 5 구성 구문
다음 표는 클라이언트 SDK 5의 AWS CloudHSM 구성 파일 구문을 보여줍니다. 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md)를 참조하세요.
------
#### [ PKCS \$111 ]
```
Usage: configure-pkcs11[ .exe ] [OPTIONS]
Options:
--disable-certificate-storage
Disables Certificate Storage
--enable-certificate-storage
Enables Certificate Storage
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL ]
```
Usage: configure-dyn[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ KSP ]
```
Usage: configure-ksp.exe [OPTIONS]
Options:
-a ...
The address of the HSM instance
--server-client-cert-file
The client certificate used for TLS client-server mutual authentication
--server-client-key-file
The client private key used for TLS client-server mutual authentication
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
--enable-sdk3-compatibility-mode
Enables key file usage for KSP
--disable-sdk3-compatibility-mode
Disables key file usage for KSP
-h, --help
Print help
```
------
#### [ JCE ]
```
Usage: configure-jce[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ CloudHSM CLI ]
```
Usage: configure-cli[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL Provider ]
```
Usage: configure-openssl-provider[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
# AWS CloudHSM 클라이언트 SDK 5 구성 파라미터
다음은 AWS CloudHSM 클라이언트 SDK 5를 구성하기 위한 파라미터 목록입니다.
**-a ****
지정된 IP 주소를 클라이언트 SDK 5 구성 파일에 추가합니다. 클러스터에 있는 HSM의 모든 ENI IP 주소를 입력합니다. 이 옵션을 사용하는 방법에 관한 자세한 내용은 [클라이언트 SDK 5 부트스트랩](cluster-connect.md#sdk8-connect)을 참조하세요.
필수 항목 여부: 예
**--hsm-ca-cert ****
EC2 클라이언트 인스턴스를 클러스터에 연결하는 데 사용되는 CA(인증 기관) 인증서를 저장하는 디렉터리 경로입니다. 클러스터를 초기화할 때 이 파일을 생성합니다. 기본적으로 시스템은 다음 위치에서 이 파일을 찾습니다.
Linux
```
/opt/cloudhsm/etc/customerCA.crt
```
Windows
```
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
```
클러스터를 초기화하거나 인증서를 배치하는 방법에 대한 자세한 내용은 [발급 인증서를 각 EC2 인스턴스에 배치합니다.](cluster-connect.md#place-hsm-cert) 및 [에서 클러스터 초기화 AWS CloudHSM](initialize-cluster.md) 단원을 참조하세요.
필수 여부: 아니요
**--cluster-id ****
클러스터 ID와 연결된 클러스터의 모든 HSM Elastic Network 인터페이스(ENI) IP 주소를 찾기 위해 `DescribeClusters`를 호출합니다. 구성 AWS CloudHSM 파일에 ENI IP 주소가 추가됩니다.
퍼블릭 인터넷에 액세스할 수 없는 VPC 내의 EC2 인스턴스에서 `--cluster-id` 파라미터를 사용하는 경우 연결할 인터페이스 VPC 엔드포인트를 생성해야 합니다 AWS CloudHSM. VPC 엔드포인트에 대한 자세한 내용은 [AWS CloudHSM 및 VPC 엔드포인트](cloudhsm-vpc-endpoint.md) 섹션을 참조하십시오.
필수 여부: 아니요
**--endpoint ****
`DescribeClusters` 호출에 사용되는 AWS CloudHSM API 엔드포인트를 지정합니다. 이 옵션은 `--cluster-id`와 조합하여 설정해야 합니다.
필수 여부: 아니요
**--region ****
클러스터의 지역을 지정합니다. 이 옵션은 `--cluster-id`와 조합하여 설정해야 합니다.
`--region` 파라미터를 제공하지 않으면 시스템은 `AWS_DEFAULT_REGION` 또는 `AWS_REGION` 환경 변수를 읽으려고 시도하여 리전을 선택합니다. 이러한 변수가 설정되지 않은 경우, 시스템은 사용자가 `AWS_CONFIG_FILE` 환경 변수에 다른 파일을 지정하지 않는 한 AWS config 파일(일반적으로 `~/.aws/config`)의 프로필과 연결된 리전을 확인합니다. 위 항목 중 아무 것도 설정되지 않은 경우 시스템은 `us-east-1` 리전을 기본값으로 사용합니다.
필수 여부: 아니요
**--client-cert-hsm-tls-file ****
TLS client-HSM 상호 인증에 사용되는 클라이언트 인증서의 경로입니다.
CloudHSM CLI를 사용하여 HSM에 하나 이상의 트러스트 앵커를 등록한 경우에만 이 옵션을 사용합니다. 이 옵션은 `--client-key-hsm-tls-file`와 조합하여 설정해야 합니다.
필수 여부: 아니요
**--client-key-hsm-tls-file ****
TLS client-HSM 상호 인증에 사용되는 클라이언트 키의 경로입니다.
CloudHSM CLI를 사용하여 HSM에 하나 이상의 트러스트 앵커를 등록한 경우에만 이 옵션을 사용합니다. 이 옵션은 `--client-cert-hsm-tls-file`와 조합하여 설정해야 합니다.
필수 여부: 아니요
**--log-level ****
시스템이 로그 파일에 기록해야 하는 최소 로깅 수준을 지정합니다. 각 수준에는 이전 수준이 포함되며, 오류는 최소 수준이고 최대 수준은 추적됩니다. 즉, 오류를 지정하는 경우 시스템은 오류만 로그에 기록합니다. 추적을 지정하면 시스템에서 오류, 경고, 정보(정보) 및 디버그 메시지를 로그에 기록합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**--log-rotation ****
시스템에서 로그를 순환하는 빈도를 지정합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**--log-file ****
시스템에서 로그 파일을 기록할 위치를 지정합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**--log-type ****
시스템에서 로그를 파일 또는 터미널에 기록할지 여부를 지정합니다. 자세한 내용은 [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging) 단원을 참조하세요.
필수 여부: 아니요
**-h \$1 --help**
도움말을 표시합니다.
필수 여부: 아니요
**--disable-key-availability-check **
키 가용성 쿼럼을 비활성화하는 플래그입니다. AWS CloudHSM 가 키 가용성 쿼럼을 비활성화하고 클러스터의 HSM 하나에만 있는 키를 사용할 수 있음을 나타내려면이 플래그를 사용합니다. 이 플래그를 사용하여 키 가용성 쿼럼을 설정하는 방법에 대한 자세한 내용은 [클라이언트 키 내구성 설정 관리](working-client-sync.md#setting-file-sdk8) 단원을 참조하세요.
필수 여부: 아니요
**--enable-key-availability-check **
키 가용성 쿼럼을 활성화하는 플래그 이 플래그를 사용하면 AWS CloudHSM 가 키 가용성 쿼럼을 사용해야 하고 해당 키가 클러스터의 두 HSMs에 존재할 때까지 키를 사용할 수 없음을 나타냅니다. 이 플래그를 사용하여 키 가용성 쿼럼을 설정하는 방법에 대한 자세한 내용은 [클라이언트 키 내구성 설정 관리](working-client-sync.md#setting-file-sdk8) 단원을 참조하세요.
기본적으로 활성화됩니다.
필수 여부: 아니요
**--disable-validate-key-at-init **
초기화 호출을 건너뛰고 후속 호출 시 키에 대한 권한을 확인할 수 있도록 지정하여 성능을 개선합니다. 주의해서 사용하세요.
배경: PKCS \$111 라이브러리의 일부 메커니즘은 초기화 호출에서 후속 호출에 키를 사용할 수 있는지 확인하는 멀티파트 작업을 지원합니다. 이를 위해서는 HSM에 대한 확인 호출이 필요하며, 이로 인해 전체 작업에 지연 시간이 늘어납니다. 이 옵션을 사용하면 후속 호출을 비활성화하고 잠재적으로 성능을 개선할 수 있습니다.
필수 여부: 아니요
**--enable-validate-key-at-init **
초기화 호출을 사용하여 후속 호출 시 키에 대한 권한을 확인해야 한다고 지정합니다. 이는 기본 옵션입니다. `enable-validate-key-at-init`를 사용하여 초기화 호출을 일시 중단한 후 다시 시작하는 데 `disable-validate-key-at-init`를 사용합니다.
필수 여부: 아니요
# AWS CloudHSM 클라이언트 SDK 5 구성 예제
이 예제에서는 AWS CloudHSM 클라이언트 SDK 5용 구성 도구를 사용하는 방법을 보여줍니다.
## 부트스트래핑 클라이언트 SDK 5
**Example**
이 예제에서는 `-a` 파라미터를 사용하여 클라이언트 SDK 5 및 HSM 데이터를 업데이트합니다. `-a` 파라미터를 사용하려면 클러스터에 있는 HSM 중 하나의 IP 주소가 있어야 합니다.
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a
```
**Client SDK 5용 Linux EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**Client SDK 5용 Windows EC2 인스턴스 부트스트랩**
+ 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
`-a ` 대신 `–-cluster-id` 파라미터를 사용할 수 있습니다. `–-cluster-id` 사용 요구 사항을 보려면 [AWS CloudHSM 클라이언트 SDK 5 구성 도구](configure-sdk-5.md) 단원을 참조하십시오.
`-a` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md)을 참조하세요.
## 클라이언트 SDK 5의 클러스터, 리전, 엔드포인트를 지정하세요.
**Example**
이 예제에서는 `cluster-id` 파라미터를 사용하여 `DescribeClusters` 호출을 통해 클라이언트 SDK 5를 부트스트랩합니다.
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Linux EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id
```
**`cluster-id`를 사용하여 클라이언트 SDK 5용 Windows EC2 인스턴스를 부트스트랩하려면**
+ 클러스터 ID를 사용하여 `cluster-1234567` 클러스터에 있는 HSM의 IP 주소를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id
```
`--region` 및 `--endpoint` 파라미터를 `cluster-id` 파라미터와 함께 사용하여 시스템에서 `DescribeClusters`를 호출하는 방식을 지정할 수 있습니다. 예를 들어 클러스터의 리전이 AWS CLI 기본값으로 구성된 리전과 다른 경우 `--region` 파라미터를 사용하여 해당 리전을 사용해야 합니다. 또한 호출에 사용할 AWS CloudHSM API 엔드포인트를 지정할 수 있습니다. 이는 기본 DNS 호스트 이름을 사용하지 않는 VPC 인터페이스 엔드포인트를 사용하는 등 다양한 네트워크 설정에 필요할 수 있습니다 AWS CloudHSM.
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id --region --endpoint
```
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id --region --endpoint
```
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id --region --endpoint
```
**사용자 지정 엔드포인트 및 리전을 사용하여 Linux EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id --region --endpoint
```
**엔드포인트 및 리전을 사용하여 Windows EC2 인스턴스를 부트스트래핑하려면**
+ 구성 도구를 사용하여 클러스터 내 HSM의 IP 주소를 사용자 지정 리전 및 엔드포인트로 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id --region --endpoint
```
`--cluster-id`, `--region`, `--endpoint` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 섹션을 참조하십시오.
## TLS client-HSM 상호 인증을 위한 클라이언트 인증서 및 키 업데이트
**Example**
이 예제에서는 `--client-cert-hsm-tls-file` 및 `--client-key-hsm-tls-file` 파라미터를 사용하여에 대한 사용자 지정 키와 SSL 인증서를 지정하여 SSL을 재구성하는 방법을 보여줍니다. AWS CloudHSM
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면**
1. 키와 인증서를 적절한 디렉터리로 복사합니다.
```
cp ssl-client.pem
cp ssl-client.key
```
1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
`--client-cert-hsm-tls-file` 및 `--client-key-hsm-tls-file` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 단원을 참조하세요.
## 클라이언트 키 내구성 설정 비활성화
**Example**
이 예제에서는 `--disable-key-availability-check` 파라미터를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다. 단일 HSM으로 클러스터를 실행하려면 클라이언트 키 내구성 설정을 비활성화해야 합니다.
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
**Linux용 Client SDK 5의 클라이언트 키 내구성 비활성화**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**Windows용 Client SDK 5의 클라이언트 키 내구성을 사용하지 않도록 설정**
+ 구성 도구를 사용하여 클라이언트 키 내구성 설정을 비활성화합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
`--disable-key-availability-check` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md)을 참조하세요.
## 로깅 옵션 관리
**Example**
클라이언트 SDK 5는`log-file`, `log-level`, `log-rotation`, `log-type` 파라미터를 사용하여 로깅을 관리합니다.
AWS Fargate 또는 AWS Lambda와 같은 서버리스 환경에 맞게 SDK를 구성하려면 AWS CloudHSM 로그 유형을 로 구성하는 것이 좋습니다`term`. 클라이언트 로그는 해당 환경에 대해 구성된 CloudWatch Logs 로그 그룹에 `stderr`로 출력되고 캡처됩니다.
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
/opt/cloudhsm/run/cloudhsm-pkcs11.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
stderr
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
stderr
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-ksp.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
/opt/cloudhsm/run/cloudhsm-jce.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
```
**기본 로깅 위치**
+ 파일 위치를 지정하지 않으면 시스템은 다음 기본 위치에 로그를 기록합니다.
Linux
```
/opt/cloudhsm/run/cloudhsm-cli.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
```
**로깅 수준을 구성하고 다른 로깅 옵션은 기본값으로 설정하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-level info
```
**파일 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file --log-rotation daily --log-level info
```
**터미널 로깅 옵션을 구성하려면**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info
```
`log-file`, `log-level`, `log-rotation`, `log-type` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 단원을 참조하세요.
## 클라이언트 SDK 5용 발급 인증서 배치
**Example**
이 예제에서는 `--hsm-ca-cert` 파라미터를 사용하여 클라이언트 SDK 5의 발급 인증서 위치를 업데이트합니다.
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --hsm-ca-cert
```
**Linux용 Client SDK 5에 발급 인증서를 배치하려면**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert
```
**Windows용 Client SDK 5에 발급 인증서 배치**
+ 구성 도구를 사용하여 발급 인증서의 위치를 지정합니다.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --hsm-ca-cert
```
`--hsm-ca-cert` 파라미터에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md) 단원을 참조하세요.
# OpenSSL 공급자 부트스트랩
configure-openssl-provider 도구를 사용하여 OpenSSL Provider 설치를 부트스트랩하고 AWS CloudHSM 클러스터에 연결합니다.
**OpenSSL 공급자를 부트스트랩하려면**
1. 클러스터에 있는 HSM의 IP 주소로 configure-openssl-provider 명령을 실행합니다.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**를 클러스터에 있는 HSM의 IP 주소로 바꿉니다.
1. OpenSSL 공급자가 클러스터에 연결할 수 있는지 확인하여 구성을 확인합니다.
```
$ openssl list -providers -provider-path /opt/cloudhsm/lib -provider cloudhsm
```
구성 파라미터에 대한 자세한 내용은 섹션을 참조하세요[AWS CloudHSM 클라이언트 SDK 5 구성 파라미터](configure-tool-params5.md).
# 클라이언트 SDK 5 구성 도구의 고급 구성
AWS CloudHSM 클라이언트 SDK 5 구성 도구에는 대부분의 고객이 활용하는 일반 기능의 일부가 아닌 고급 구성이 포함되어 있습니다. 고급 구성은 추가 기능을 제공합니다.
**중요**
구성을 변경한 후 애플리케이션을 다시 시작해야 변경 사항이 적용됩니다.
+ PKCS \$111의 고급 구성
+ [용 PKCS \$111 라이브러리를 사용한 다중 슬롯 구성 AWS CloudHSM](pkcs11-library-configs-multi-slot.md)
+ [용 PKCS \$111 라이브러리에 대한 재시도 명령 AWS CloudHSM](pkcs11-library-configs-retry.md)
+ OpenSSL용 고급 구성
+ [용 OpenSSL에 대한 명령 재시도 AWS CloudHSM](openssl-library-configs-retry.md)
+ KSP용 고급 구성
+ [용 키 스토리지 공급자(KSP)의 SDK3 호환성 모드 AWS CloudHSM](ksp-library-configs-sdk3-compatibility-mode.md)
+ JCE용 고급 구성
+ [JCE 공급자를 사용하여 여러 AWS CloudHSM 클러스터에 연결](java-lib-configs-multi.md)
+ [용 JCE에 대한 명령 재시도 AWS CloudHSM](java-lib-configs-retry.md)
+ [용 JCE를 사용한 키 추출 AWS CloudHSM](java-lib-configs-getencoded.md)
+ AWS CloudHSM 명령줄 인터페이스(CLI)의 고급 구성
+ [CloudHSM CLI를 사용하여 여러 클러스터에 연결](cloudhsm_cli-configs-multi-cluster.md)
# AWS CloudHSM 클라이언트 SDK 5 관련 주제
AWS CloudHSM 클라이언트 SDK 5에 대해 자세히 알아보려면 다음 관련 주제를 참조하세요.
+ [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) API 작업
+ [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI
+ [Get-HSM2Cluster](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-HSM2Cluster.html) PowerShell cmdlet
+ [클라이언트 SDK 5 부트스트랩](cluster-connect.md#sdk8-connect)
+ [OpenSSL 공급자 부트스트랩](configure-openssl-provider.md)
+ [AWS CloudHSM VPC 엔드포인트](cloudhsm-vpc-endpoint.md)
+ [클라이언트 SDK 5 키 내구성 설정 관리](working-client-sync.md#setting-file-sdk8)
+ [클라이언트 SDK 5 로깅](hsm-client-logs.md#sdk5-logging)
+ [mTLS 설정(권장)](getting-started-setup-mtls.md)
# AWS CloudHSM 클라이언트 SDK 3 구성 도구
AWS CloudHSM 클라이언트 SDK 3 구성 도구를 사용하여 클라이언트 데몬을 부트스트랩하고 CloudHSM 관리 유틸리티(CMU)를 구성합니다.
**Topics**
+ [구문](configure-tool-syntax.md)
+ [파라미터](configure-tool-params.md)
+ [예제](configure-tool-examples.md)
+ [관련 주제](configure-tool-seealso.md)
# AWS CloudHSM 클라이언트 SDK 3 구성 구문
다음 표는 클라이언트 SDK 3의 AWS CloudHSM 구성 파일 구문을 보여줍니다.
```
configure -h | --help
-a
-m [-i ]
--ssl --pkey --cert
--cmu
```
# AWS CloudHSM 클라이언트 SDK 3 구성 파라미터
다음은 AWS CloudHSM 클라이언트 SDK 3을 구성하기 위한 파라미터 목록입니다.
**-h \$1 --help**
명령 구문을 표시합니다.
필수 항목 여부: 예
**-a ****
지정된 HSM ENI(탄력적 네트워크 인터페이스) IP 주소를 AWS CloudHSM 구성 파일에 추가합니다. 클러스터에 있는 HSM 중 하나의 ENI IP 주소를 입력합니다. 어떤 HSM을 선택해도 상관이 없습니다.
클러스터에 있는 HSM의 ENI IP 주소를 가져오려면 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 작업, [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI 명령 또는 [Get-HSM2Cluster](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-HSM2Cluster.html) PowerShell cmdlet을 사용합니다.
` -a` **configure** 명령을 실행하기 전에 AWS CloudHSM 클라이언트를 중지합니다. 그런 다음 `-a` 명령이 완료되면 AWS CloudHSM 클라이언트를 다시 시작합니다. 자세한 내용은 [예제를 참조](configure-tool-examples.md)하세요.
이 파라미터는 다음 구성 파일을 편집합니다.
+ `/opt/cloudhsm/etc/cloudhsm_client.cfg`: AWS CloudHSM 클라이언트 및 [key\$1mgmt\$1util](key_mgmt_util.md)에서 사용됩니다.
+ `/opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg`: [cloudhsm\$1mgmt\$1util](cloudhsm_mgmt_util.md)에서 사용합니다.
AWS CloudHSM 클라이언트가 시작되면 구성 파일의 ENI IP 주소를 사용하여 클러스터를 쿼리하고 `cluster.info` 파일(`/opt/cloudhsm/daemon/1/cluster.info`)을 클러스터의 모든 HSMs에 대한 올바른 ENI IP 주소로 업데이트합니다.
필수 항목 여부: 예
**-m**
CMU가 사용하는 구성 파일의 HSM ENI IP 주소를 업데이트합니다.
`-m` 파라미터는 클라이언트 SDK 3.2.1 및 이전 버전의 CMU와 함께 사용하기 위한 것입니다. 클라이언트 SDK 3.3.0 이상의 CMU에 대해서는 CMU의 HSM 데이터 업데이트 프로세스를 간소화하는 `--cmu` 파라미터를 참조하세요.
의 `-a` 파라미터를 업데이트**configure**한 다음 AWS CloudHSM 클라이언트를 시작하면 클라이언트 데몬이 클러스터를 쿼리하고 클러스터의 모든 HSM에 대해 올바른 HSMs IP 주소로 `cluster.info` 파일을 업데이트합니다. `-m` **configure** 명령을 실행하면 `cluster.info`에서 cloudhsm\$1mgmt\$1util이 사용하는 `cloudhsm_mgmt_util.cfg` 구성 파일로 HSM IP 주소를 복사하여 업데이트가 완료됩니다.
`-a` **configure** 명령을 실행하기 전에 `-m` 명령을 실행하고 AWS CloudHSM 클라이언트를 다시 시작해야 합니다. 이렇게 하면 `cluster.info`에서 `cloudhsm_mgmt_util.cfg`로 복사되는 데이터가 완전하고 정확해집니다.
필수 항목 여부: 예
**-i**
대체 클라이언트 데몬을 지정합니다. 기본값은 AWS CloudHSM 클라이언트를 나타냅니다.
기본값: `1`
필수 여부: 아니요
**--ssl**
클러스터의 SSL 키와 인증서를 지정된 프라이빗 키와 인증서로 대체합니다. 이 파라미터를 사용할 경우 `--pkey` 및 `--cert` 파라미터가 필요합니다.
필수 여부: 아니요
**--pkey**
새 프라이빗 키를 지정합니다. 프라이빗 키를 포함하는 파일의 경로 및 파일 이름을 입력합니다.
**--ssl**이 지정된 경우 필수입니다. 그렇지 않은 경우에는 사용해서는 안 됩니다.
**--cert**
새 인증서를 지정합니다. 인증서를 포함하는 파일의 경로 및 파일 이름을 입력합니다. 클러스터를 초기화하는 데 사용된 자체 서명 인증서인 `customerCA.crt`에 새 인증서를 연결해야 합니다. 자세한 내용은 [클러스터 초기화](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)를 참조하세요.
**--ssl**이 지정된 경우 필수입니다. 그렇지 않은 경우에는 사용해서는 안 됩니다.
**--cmu ****
및 파라미터를 하나의 파라미터로 결합합니다. `-a` `-m` 지정된 HSM 탄력적 네트워크 인터페이스(ENI) IP 주소를 AWS CloudHSM 구성 파일에 추가한 다음 CMU 구성 파일을 업데이트합니다. 클러스터에 있는 모든 HSM의 IP 주소를 입력합니다. 클라이언트 SDK 3.2.1 및 이전 버전의 경우 [클라이언트 SDK 3.2.1 및 이전 버전에서 CMU 사용을](understand-users.md#downlevel-cmu) 참조하세요.
필수 항목 여부: 예
# AWS CloudHSM 클라이언트 SDK 3 구성 예제
이 예제에서는 AWS CloudHSM 클라이언트 SDK 3용 **configure** 도구를 사용하는 방법을 보여줍니다.
**Example : AWS CloudHSM 클라이언트 및 key\$1mgmt\$1util에 대한 HSM 데이터 업데이트**
이 예제에서는의 `-a` 파라미터를 **configure** 사용하여 AWS CloudHSM 클라이언트 및 key\$1mgmt\$1util에 대한 HSM 데이터를 업데이트합니다. `-a` 파라미터를 사용하려면 클러스터에 있는 HSM 중 하나의 IP 주소가 있어야 합니다. 콘솔 또는 AWS CLI를 사용하여 IP 주소를 가져오세요.
**HSM의 IP 주소를 가져오려면(콘솔)**
1. [https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) AWS CloudHSM 콘솔을 엽니다.
1. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.
1. 클러스터 세부 정보 페이지를 열려면 클러스터 테이블에서 클러스터 ID를 선택합니다.
1. IP 주소를 가져오려면 HSM 탭으로 이동합니다. IPv4 클러스터의 경우 **ENI IPv4 주소**에 나열된 주소를 선택합니다. 듀얼 스택 클러스터의 경우 ENI IPv4 또는 **ENI IPv6 주소**를 사용합니다.
**HSM의 IP 주소를 가져오려면(AWS CLI)**
+ AWS CLI의 **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** 명령을 사용하여 HSM의 IP 주소를 가져옵니다. 명령의 출력에서 HSM의 IP 주소는 `EniIp` 및 `EniIpV6`의 값입니다(듀얼 스택 클러스터인 경우).
```
$ aws cloudhsmv2 describe-clusters
{
"Clusters": [
{ ... }
"Hsms": [
{
...
"EniIp": "10.0.0.9",
...
},
{
...
"EniIp": "10.0.1.6",
"EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
...
```
**HSM 데이터를 업데이트하려면**
1. `-a` 파라미터를 업데이트하기 전에 AWS CloudHSM 클라이언트를 중지합니다. 이렇게 하면 **configure**가 클라이언트의 구성 파일을 편집하는 동안 발생할 수 있는 충돌이 방지됩니다. 클라이언트가 이미 중지된 경우, 이 명령은 아무런 악영향이 없으므로 스크립트에서 사용할 수 있습니다.
------
#### [ Amazon Linux ]
```
$ sudo stop cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Windows ]
+ Windows 클라이언트 1.1.2\$1의 경우:
```
C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient
```
+ Windows 클라이언트 1.1.1 이상의 경우:
AWS CloudHSM 클라이언트를 시작한 명령 창에서 **Ctrl**\$1**C**를 사용합니다.
------
1. 이 단계에서는 **configure**의 `-a` 파라미터를 사용하여 `10.0.0.9` ENI IP 주소를 구성 파일에 추가합니다.
------
#### [ Amazon Linux ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Amazon Linux 2 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ CentOS 7 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ CentOS 8 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ RHEL 7 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ RHEL 8 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" -a 10.0.0.9
```
------
1. 그런 다음 AWS CloudHSM 클라이언트를 다시 시작합니다. 클라이언트를 시작할 때 구성 파일의 ENI IP 주소를 사용하여 클러스터를 쿼리합니다. 그런 다음 클러스터에 있는 모든 HSM의 ENI IP 주소를 `cluster.info` 파일에 씁니다.
------
#### [ Amazon Linux ]
```
$ sudo start cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Windows ]
+ Windows 클라이언트 1.1.2\$1의 경우:
```
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
```
+ Windows 클라이언트 1.1.1 이상의 경우:
```
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
------
명령이 완료되면 AWS CloudHSM 클라이언트와 key\$1mgmt\$1util이 사용하는 HSM 데이터가 완전하고 정확합니다.
**Example : 클라이언트 SDK 3.2.1 및 이전 버전에서 CMU용 HSM 데이터 업데이트**
이 예제에서는 `-m` **configure** 명령을 사용하여 업데이트된 HSM 데이터의 사본을 `cluster.info` 파일에서 cloudhsm\$1mgmt\$1util이 사용하는 `cloudhsm_mgmt_util.cfg` 파일로 복사합니다. 클라이언트 SDK 3.2.1 및 이전 버전과 함께 제공되는 CMU와 함께 사용할 수 있습니다.
+ 를 실행하기 전에 [이전 예제](#configure-tool-examples)와 같이 AWS CloudHSM 클라이언트를 `-m`중지하고 `-a` 명령을 실행한 다음 AWS CloudHSM 클라이언트를 다시 시작합니다. 이렇게 하면 `cluster.info` 파일에서 `cloudhsm_mgmt_util.cfg` 파일로 복사되는 데이터가 완전하고 정확해집니다.
------
#### [ Linux ]
```
$ sudo /opt/cloudhsm/bin/configure -m
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" -m
```
------
**Example : 클라이언트 SDK 3.3.0 이상에서 CMU용 HSM 데이터 업데이트**
이 예제에서는 **configure** 명령의 `--cmu` 파라미터를 사용하여 CMU용 HSM 데이터를 업데이트합니다. 클라이언트 SDK 3.3.0 이상과 함께 제공되는 CMU와 함께 이 기능을 사용하세요. CMU 사용에 대한 자세한 내용은 [CloudHSM 관리 유틸리티(CMU) 를 사용하여 사용자 관리 및 클라이언트 SDK 3.2.1 및 이전](manage-hsm-users-cmu.md) [버전과 함께 CMU 사용을](understand-users.md#downlevel-cmu) 참조하세요.
+ `--cmu` 파라미터를 사용하여 클러스터에 있는 HSM의 IP 주소를 전달할 수 있습니다.
------
#### [ Linux ]
```
$ sudo /opt/cloudhsm/bin/configure --cmu
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu
```
------
# AWS CloudHSM 클라이언트 SDK 3 구성 관련 주제
AWS CloudHSM 클라이언트 SDK 3에 대해 자세히 알아보려면 다음 관련 주제를 참조하세요.
+ [AWS CloudHSM key\$1mgmt\$1util 설정](key_mgmt_util-setup.md)