AWS CloudHSM에 클러스터 생성
클러스터는 개별 하드웨어 보안 모듈(HSM)입니다. AWS CloudHSM은 각 클러스터의 HSM을 동기화하여 논리적 단위로 작동합니다. AWS CloudHSM은 hsm1.medium 및 hsm2m.medium, 두 가지 유형의 HSM을 제공합니다. 클러스터를 생성할 때 클러스터에 둘 중 어느 것을 포함할지 선택합니다. 각 HSM 유형과 클러스터 모드의 차이점에 대한 자세한 내용은 AWS CloudHSM 클러스터 모드 섹션을 참조하세요.
클러스터를 생성할 때 AWS CloudHSM은 사용자 대신 클러스터에 대한 보안 그룹을 생성합니다. 이 보안 그룹은 클러스터의 HSM에 대한 네트워크 액세스를 제어합니다. 보안 그룹에 있는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서만 인바운드 연결을 허용합니다. 기본적으로 해당 보안 그룹은 어떠한 인스턴스도 포함하지 않습니다. 나중에 클라이언트 인스턴스를 시작하고 클러스터의 보안 그룹을 구성하여 HSM과의 통신 및 연결을 허용합니다.
AWS CloudHSM 콘솔, AWS Command Line Interface(AWS CLI) 또는 AWS CloudHSM API에서 클러스터를 생성할 수 있습니다.
클러스터 인수 및 API에 대한 자세한 내용은 AWS CLI 명령 참조에서 create-cluster 섹션을 참조하세요.
- Console
-
클러스터(콘솔) 생성
https://console.aws.amazon.com/cloudhsm/home에서 AWS CloudHSM 콘솔을 엽니다.
-
탐색 모음에서 리전 선택기를 사용하여 AWS CloudHSM이 현재 지원되는 AWS 리전 중 하나를 선택합니다.
-
클러스터 생성을 선택합니다.
-
클러스터 구성 단원에서 다음을 수행합니다.
-
VPC의 경우, AWS CloudHSM용 가상 프라이빗 클라우드(VPC) 생성에서 앞서 생성한 VPC를 선택합니다.
-
가용 영역의 각 가용 영역 옆에서 생성된 프라이빗 서브넷을 선택합니다.
AWS CloudHSM이 클러스터의 모든 HSM에서 자동으로 로드 밸런싱을 하기 때문에 지정된 가용 영역에서 AWS CloudHSM이 지원되지 않는 경우에도 성능에 영향을 주지 않습니다. AWS CloudHSM을 지원하는 가용 영역을 보려면 AWS 일반 참조에서 AWS CloudHSM 리전 및 엔드포인트를 참조하세요.
-
HSM 유형의 경우 클러스터에 적용할 모드와 함께 클러스터에서 생성될 수 있는 HSM 유형을 선택합니다. 각 지역에서 지원되는 HSM 유형을 확인하려면 AWS CloudHSM요금 계산기 를 참조하십시오.
-
네트워크 유형에서 HSM에 액세스하기 위한 IP 주소 프로토콜을 선택합니다. IPv4를 선택하면 애플리케이션과 HSM 간 통신이 IPv4로 제한됩니다. 이는 기본 옵션입니다. 듀얼 스택은 IPv4 및 IPv6 통신을 모두 활성화합니다. 듀얼 스택을 사용하려면 VPC 및 서브넷 구성에 IPv4 및 IPv6 CIDR을 모두 추가합니다. 네트워크 유형은 초기 설정 후에 변경하기 어렵습니다. 이를 수정하려면 기존 클러스터의 백업을 생성하고 원하는 네트워크 유형으로 새 클러스터를 복원합니다. 자세한 내용은 Creating AWS CloudHSM clusters from backups 섹션을 참조하세요.
-
클러스터 소스의 경우 새 클러스터를 생성할지 기존 백업에서 복원할 것인지 지정합니다.
-
다음을 선택합니다.
-
서비스에서 백업을 보존해야 하는 기간을 지정하십시오.
-
기본 보존 기간인 90일을 그대로 사용하거나 7일에서 379일 사이의 새 값을 입력합니다. 이 서비스는 여기에 지정한 값보다 오래된 이 클러스터의 백업을 자동으로 삭제합니다. 나중에 변경할 수 있습니다. 자세한 내용은 백업 보존 구성 단원을 참조하십시오.
-
다음을 선택합니다.
-
(선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 클러스터에 두 개 이상의 태그를 추가하려면 태그 추가를 선택합니다.
-
검토를 선택합니다.
-
클러스터 구성을 검토한 다음 클러스터 생성을 선택합니다.
클러스터 생성 시도가 실패할 경우 AWS CloudHSM 서비스 연결 역할에 문제가 있는 것일 수 있습니다. 실패 해결에 도움을 받으려면 AWS CloudHSM 클러스터 생성 실패 해결 단원을 참조하십시오.
- AWS CLI
-
클러스터 생성 방법(AWS CLI)
-
명령 프롬프트에서 create-cluster 명령을 실행합니다. HSM 인스턴스 유형, 백업 보존 기간 및 HSM을 생성할 서브넷의 서브넷 ID를 지정합니다. 생성된 프라이빗 서브넷의 서브넷 ID를 사용합니다. 가용 영역당 하나의 서브넷만 지정합니다.
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value=<number of days> \
--subnet-ids <subnet ID> \
--mode <FIPS> \
--network-type <IPV4>
{
"Cluster": {
"BackupPolicy": "DEFAULT",
"BackupRetentionPolicy": {
"Type": "DAYS",
"Value": 90
},
"VpcId": "vpc-50ae0636",
"SubnetMapping": {
"us-west-2b": "subnet-49a1bc00",
"us-west-2c": "subnet-6f950334",
"us-west-2a": "subnet-fd54af9b"
},
"SecurityGroup": "sg-6cb2c216",
"HsmType": "hsm2m.medium",
"NetworkType": "IPV4",
"Certificates": {},
"State": "CREATE_IN_PROGRESS",
"Hsms": [],
"ClusterId": "cluster-igklspoyj5v",
"ClusterMode": "FIPS",
"CreateTimestamp": 1502423370.069
}
}
ClusterMode는 hsm1.medium을 제외한 모든 hsm 유형에 필요한 파라미터입니다.--mode:
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value=<number of days> \
--subnet-ids <subnet ID> \
--mode NON_FIPS
클러스터 생성 시도가 실패할 경우 AWS CloudHSM 서비스 연결 역할에 문제가 있는 것일 수 있습니다. 실패 해결에 도움을 받으려면 AWS CloudHSM 클러스터 생성 실패 해결 단원을 참조하십시오.
- AWS CloudHSM API
-
클러스터 생성 방법(AWS CloudHSM API)
클러스터 생성 시도가 실패할 경우 AWS CloudHSM 서비스 연결 역할에 문제가 있는 것일 수 있습니다. 실패 해결에 도움을 받으려면 AWS CloudHSM 클러스터 생성 실패 해결 단원을 참조하십시오.
