기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 시작하기 AWS CloudHSM 시작하기 다음 주제는에서 클러스터를 생성, 초기화 및 활성화하는 데 도움이 됩니다 AWS CloudHSM. 이러한 절차를 완료하면 사용자를 관리하고 클러스터를 관리하며 포함된 소프트웨어 라이브러리를 사용하여 암호화 작업을 수행할 수 있습니다. 최상의 경험을 위해 나열된 순서대로 주제를 따라가세요. **Topics** + [ # 에 대한 IAM 관리 그룹 생성 AWS CloudHSM ](create-iam-user.md) + [ # 용 Virtual Private Cloud(VPC) 생성 AWS CloudHSM ](create-vpc.md) + [ # 에서 클러스터 생성 AWS CloudHSM ](create-cluster.md) + [ # 에서 클러스터의 보안 그룹 검토 AWS CloudHSM ](configure-sg.md) + [ # 와 상호 작용하기 위한 Amazon EC2 클라이언트 인스턴스 시작 AWS CloudHSM ](launch-client-instance.md) + [ # 에 대한 클라이언트 Amazon EC2 인스턴스 보안 그룹 구성 AWS CloudHSM ](configure-sg-client-instance.md) + [ # 에서 HSM 생성 AWS CloudHSM ](create-hsm.md) + [ # 에서 클러스터 HSM의 ID 및 신뢰성 확인 AWS CloudHSM (선택 사항) ](verify-hsm-identity.md) + [ # 에서 클러스터 초기화 AWS CloudHSM ](initialize-cluster.md) + [ # CloudHSM CLI 설치 및 구성 ](gs_cloudhsm_cli-install.md) + [ # 에서 클러스터 활성화 AWS CloudHSM ](activate-cluster.md) + [ # 클라이언트와 간에 상호 TLS 설정 AWS CloudHSM (권장) ](getting-started-setup-mtls.md) + [ # 에서 키 생성 및 사용 AWS CloudHSM ](create-apps.md) # 에 대한 IAM 관리 그룹 생성 AWS CloudHSM IAM 관리자 생성 를 시작하는 첫 번째 단계는 IAM 권한을 설정하는 AWS CloudHSM 것입니다. 를 AWS포함하여와 상호 작용하는 AWS 계정 루트 사용자 데를 사용하지 않는 것이 [가장 좋습니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) AWS CloudHSM. 대신 AWS Identity and Access Management (IAM)를 사용하여 IAM 사용자, IAM 역할 또는 페더레이션 사용자를 생성합니다. [IAM 사용자 및 관리자 그룹 생성](#create-iam-admin) 섹션의 단계에 따라 관리자 그룹을 생성하고 **AdministratorAccess** 정책을 이 그룹에 연결합니다. 새로운 관리자 사용자를 생성하고 사용자를 그룹에 추가하십시오. 필요에 따라 그룹에 사용자를 더 추가합니다. 추가한 각 사용자는 그룹에서 **AdministratorAccess** 정책을 상속합니다. 또 다른 모범 사례는 실행하는 데 필요한 권한만 있는 AWS CloudHSM 관리자 그룹을 생성하는 것입니다 AWS CloudHSM. 필요에 따라 개별 사용자를 이 그룹에 추가하십시오. 각 사용자는 전체 AWS 액세스가 아니라 그룹에 연결된 제한된 권한을 상속합니다. 다음 [에 대한 고객 관리형 정책 AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm) 섹션에는 AWS CloudHSM 관리자 그룹에 연결해야 하는 정책이 포함되어 있습니다. AWS CloudHSM 는 AWS 계정에 대한 [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 정의합니다. 서비스 연결 역할은 현재 계정에서 AWS CloudHSM 이벤트를 로깅할 수 있는 권한을 정의합니다. 역할은 사용자가 자동으로 AWS CloudHSM 또는 수동으로 생성할 수 있습니다. 역할을 편집할 수 없지만 삭제할 수는 있습니다. 자세한 내용은 [에 대한 서비스 연결 역할 AWS CloudHSM](service-linked-roles.md) 섹션을 참조하십시오. ## IAM 사용자 및 관리자 그룹 생성 먼저 IAM 사용자와 함께 해당 사용자의 관리자 그룹을 생성합니다. ### 에 가입 AWS 계정 이 없는 경우 다음 단계를 AWS 계정완료하여 생성합니다. **에 가입하려면 AWS 계정** 1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)을 엽니다. 1. 온라인 지시 사항을 따르세요. 등록 절차 중 전화 또는 텍스트 메시지를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다. 에 가입하면 AWS 계정*AWS 계정 루트 사용자*이 생성됩니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스할 권한이 있습니다. 보안 모범 사례는 사용자에게 관리 액세스 권한을 할당하고, 루트 사용자만 사용하여 [루트 사용자 액세스 권한이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 수행하는 것입니다. AWS 는 가입 프로세스가 완료된 후 확인 이메일을 보냅니다. 언제든지 [https://aws.amazon.com/](https://aws.amazon.com/)으로 이동하고 **내 계정**을 선택하여 현재 계정 활동을 확인하고 계정을 관리할 수 있습니다. ### 관리자 액세스 권한이 있는 사용자 생성 에 가입한 후 일상적인 작업에 루트 사용자를 사용하지 않도록 관리 사용자를 AWS 계정보호 AWS IAM Identity Center, AWS 계정 루트 사용자활성화 및 생성합니다. **보안 AWS 계정 루트 사용자** 1. **루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자[AWS Management Console](https://console.aws.amazon.com/)로에 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다. 루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS 로그인 사용 설명서*의 [루트 사용자로 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)을 참조하세요. 1. 루트 사용자의 다중 인증(MFA)을 활성화합니다. 지침은 *IAM 사용 설명서*의 [AWS 계정 루트 사용자(콘솔)에 대한 가상 MFA 디바이스 활성화를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html). **관리자 액세스 권한이 있는 사용자 생성** 1. IAM Identity Center를 활성화합니다. 지침은 *AWS IAM Identity Center 사용 설명서*의 [AWS IAM Identity Center설정](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)을 참조하세요. 1. IAM Identity Center에서 사용자에게 관리 액세스 권한을 부여합니다. 를 자격 증명 소스 IAM Identity Center 디렉터리 로 사용하는 방법에 대한 자습서는 사용 *AWS IAM Identity Center 설명서*[의 기본값으로 사용자 액세스 구성을 IAM Identity Center 디렉터리](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) 참조하세요. **관리 액세스 권한이 있는 사용자로 로그인** + IAM IDentity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송된 로그인 URL을 사용합니다. IAM Identity Center 사용자를 사용하여 로그인[하는 데 도움이 필요하면 사용 설명서의 AWS 액세스 포털에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)을 참조하세요. *AWS 로그인 * **추가 사용자에게 액세스 권한 할당** 1. IAM Identity Center에서 최소 권한 적용 모범 사례를 따르는 권한 세트를 생성합니다. 지침은 *AWS IAM Identity Center 사용 설명서*의 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)를 참조하세요. 1. 사용자를 그룹에 할당하고, 그룹에 Single Sign-On 액세스 권한을 할당합니다. 지침은 *AWS IAM Identity Center 사용 설명서*의 [그룹 추가](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)를 참조하세요. IAM 사용자 그룹에 연결할 수 AWS CloudHSM 있는 정책 예제는 섹션을 참조하세요[에 대한 자격 증명 및 액세스 관리 AWS CloudHSM](identity-access-management.md). # 용 Virtual Private Cloud(VPC) 생성 AWS CloudHSM VPC 생성 클러스터에 Virtual Private Cloud(VPC)가 필요합니다 AWS CloudHSM. 아직 없는 경우 이 주제의 단계에 따라 VPC를 생성합니다. **참고** 이 단계를 따르면 퍼블릭 서브넷과 프라이빗 서브넷이 생성됩니다. **VPC를 생성하려면** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 모음에서 리전 선택기를 사용하여 [AWSAWS CloudHSM 가 현재 지원되는 리전](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) 중 하나를 선택합니다. 1. **VPC 생성** 버튼을 선택하십시오. 1. **생성할 리소스**에서 **VPC 등**을 선택합니다. 1. **이름 태그 자동생성**의 경우 **CloudHSM**과 같이 식별 가능한 이름을 입력하십시오. 1. **IPv6 CIDR 블록**에서 **Amazon 제공 IPv6 CIDR 블록**을 선택하여 HSMs에 IPv6 연결을 사용하고 클러스터에 IPv6 CIDR 블록을 AWS 할당합니다. 이 설정은 듀얼 스택 네트워크 유형을 지원합니다. IPv6 연결이 필요하지 않은 경우 기본 설정을 유지합니다. 1. 다른 모든 옵션을 기본값으로 둡니다. 1. **VPC 생성**을 선택합니다. 1. VPC가 생성된 후 **VPC 보기**를 선택하여 방금 생성한 VPC를 확인할 수 있습니다. # 에서 클러스터 생성 AWS CloudHSM 클러스터 생성 클러스터는 개별 하드웨어 보안 모듈(HSMs. AWS CloudHSM 는 각 클러스터의 HSMs을 동기화하여 논리적 단위로 작동합니다.는 *hsm1.medium*과 *hsm2m.medium*이라는 두 가지 유형의 HSMs을 AWS CloudHSM 제공합니다. 클러스터를 생성할 때 클러스터에 둘 중 어느 것을 포함할지 선택합니다. 각 HSM 유형과 클러스터 모드의 차이점에 대한 자세한 내용은 [AWS CloudHSM 클러스터 모드](cluster-hsm-types.md) 섹션을 참조하세요. 클러스터를 생성할 때는 사용자를 대신하여 클러스터에 대한 보안 그룹을 AWS CloudHSM 생성합니다. 이 보안 그룹은 클러스터의 HSM에 대한 네트워크 액세스를 제어합니다. 보안 그룹에 있는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서만 인바운드 연결을 허용합니다. 기본적으로 해당 보안 그룹은 어떠한 인스턴스도 포함하지 않습니다. 나중에 [클라이언트 인스턴스를 시작](launch-client-instance.md)하고 [클러스터의 보안 그룹을 구성](configure-sg.md)하여 HSM과의 통신 및 연결을 허용합니다. **고려 사항** + 다음은 AWS CloudHSM에서 클러스터를 생성할 때 고려해야 할 사항입니다. + 클러스터를 생성할 때는 AWSServiceRoleForCloudHSM이라는 [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) AWS CloudHSM 생성합니다. 가 역할을 생성할 AWS CloudHSM 수 없거나 역할이 아직 존재하지 않는 경우 클러스터를 생성하지 못할 수 있습니다. 자세한 내용은 [AWS CloudHSM 클러스터 생성 실패 해결](troubleshooting-create-cluster.md) 단원을 참조하십시오. 서비스 연결 역할에 대한 자세한 내용은 [에 대한 서비스 연결 역할 AWS CloudHSM](service-linked-roles.md) 단원을 참조하십시오. + [AWS CloudHSM 듀얼 스택 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)(예: cloudhsmv2.**.api.aws)를 사용하는 경우 IPv6를 처리하도록 IAM 정책을 업데이트해야 합니다. 자세한 내용은 [보안 아래의 IPv6로 IAM 정책 업그레이드](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html) 섹션을 참조하세요. [AWS CloudHSM 콘솔](https://console.aws.amazon.com/cloudhsm/), [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 또는 AWS CloudHSM API에서 클러스터를 생성할 수 있습니다. 클러스터 인수 및 APIs에 대한 자세한 내용은 AWS CLI 명령 참조[https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)의 섹션을 참조하세요. ------ #### [ Console ] **클러스터(콘솔) 생성** 1. [https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) AWS CloudHSM 콘솔을 엽니다. 1. 탐색 모음에서 리전 선택기를 사용하여 [AWS CloudHSM 이 현재 지원되는AWS 리전](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) 중 하나를 선택합니다. 1. **클러스터 생성**을 선택합니다. 1. **클러스터 구성** 단원에서 다음을 수행합니다. 1. **VPC**의 경우, [용 Virtual Private Cloud(VPC) 생성 AWS CloudHSM](create-vpc.md)에서 앞서 생성한 VPC를 선택합니다. 1. **가용 영역**의 각 가용 영역 옆에서 생성된 프라이빗 서브넷을 선택합니다. **참고** AWS CloudHSM 가 지정된 가용 영역에서 지원되지 않더라도 클러스터의 모든 HSMs에서 자동으로 로드 밸런싱되므로 AWS CloudHSM 성능에 영향을 주지 않아야 합니다. 에 대한 가용 영역 지원을 보려면 [AWS CloudHSM 의 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region)*AWS 일반 참조*를 참조하세요 AWS CloudHSM. 1. **HSM 유형**의 경우 클러스터에 적용할 모드와 함께 클러스터에서 생성될 수 있는 HSM 유형을 선택합니다. 각 지역에서 지원되는 HSM 유형을 확인하려면 [AWS CloudHSM 요금 계산기](https://aws.amazon.com/cloudhsm/pricing/) 를 참조하십시오. **중요** 클러스터를 생성한 후 클러스스터 모드 변경할 수 없습니다. 사용 사례에 적합한 유형 및 모드에 대한 자세한 내용은 [AWS CloudHSM 클러스터 모드](cluster-hsm-types.md) 섹션을 참조하세요. 1. **네트워크 유형**에서 HSM에 액세스하기 위한 IP 주소 프로토콜을 선택합니다. IPv4를 선택하면 애플리케이션과 HSM 간 통신이 IPv4로 제한됩니다. 이는 기본 옵션입니다. 듀얼 스택은 IPv4 및 IPv6 통신을 모두 활성화합니다. 듀얼 스택을 사용하려면 VPC 및 서브넷 구성에 IPv4 및 IPv6 CIDR을 모두 추가합니다. 네트워크 유형은 초기 설정 후에 변경하기 어렵습니다. 이를 수정하려면 기존 클러스터의 백업을 생성하고 원하는 네트워크 유형으로 새 클러스터를 복원합니다. 자세한 내용은 [백업에서 AWS CloudHSM 클러스터 생성을 참조하세요](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). 1. **클러스터 소스**의 경우 새 클러스터를 생성할지 기존 백업에서 복원할 것인지 지정합니다. + 비FIPS 모드 클러스터의 백업은 비FIPS 모드 클러스터를 복원하는 데만 사용할 수 있습니다. + FIPS 모드 클러스터의 백업은 FIPS 모드 클러스터를 복원하는 데만 사용할 수 있습니다. 1. **다음**을 선택합니다. 1. 서비스에서 백업을 보존해야 하는 기간을 지정하십시오. 1. 기본 보존 기간인 90일을 그대로 사용하거나 7일에서 379일 사이의 새 값을 입력합니다. 이 서비스는 여기에 지정한 값보다 오래된 이 클러스터의 백업을 자동으로 삭제합니다. 나중에 변경할 수 있습니다. 자세한 내용은 [백업 보존 구성](manage-backup-retention.md) 단원을 참조하십시오. 1. **다음**을 선택합니다. 1. (선택 사항) 태그 키와 태그 값(선택)을 입력합니다. 클러스터에 두 개 이상의 태그를 추가하려면 **태그 추가**를 선택합니다. 1. **검토**를 선택합니다. 1. 클러스터 구성을 검토한 다음 **클러스터 생성**을 선택합니다. 클러스터 생성 시도가 실패하면 AWS CloudHSM 서비스 연결 역할의 문제와 관련이 있을 수 있습니다. 실패 해결에 도움을 받으려면 [AWS CloudHSM 클러스터 생성 실패 해결](troubleshooting-create-cluster.md) 단원을 참조하십시오. ------ #### [ AWS CLI ] **클러스터 생성 방법([AWS CLI​​](https://docs.aws.amazon.com/cli/latest/userguide/)​)** + 명령 프롬프트에서 **[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)** 명령을 실행합니다. HSM 인스턴스 유형, 백업 보존 기간 및 HSM을 생성할 서브넷의 서브넷 ID를 지정합니다. 생성된 프라이빗 서브넷의 서브넷 ID를 사용합니다. 가용 영역당 하나의 서브넷만 지정합니다. ``` $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \ --backup-retention-policy Type=DAYS,Value= \ --subnet-ids \ --mode \ --network-type { "Cluster": { "BackupPolicy": "DEFAULT", "BackupRetentionPolicy": { "Type": "DAYS", "Value": 90 }, "VpcId": "vpc-50ae0636", "SubnetMapping": { "us-west-2b": "subnet-49a1bc00", "us-west-2c": "subnet-6f950334", "us-west-2a": "subnet-fd54af9b" }, "SecurityGroup": "sg-6cb2c216", "HsmType": "hsm2m.medium", "NetworkType": "IPV4", "Certificates": {}, "State": "CREATE_IN_PROGRESS", "Hsms": [], "ClusterId": "cluster-igklspoyj5v", "ClusterMode": "FIPS", "CreateTimestamp": 1502423370.069 } } ``` **참고** `ClusterMode`는 hsm1.medium을 제외한 모든 hsm 유형에 필요한 파라미터입니다.`--mode`: ``` $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \ --backup-retention-policy Type=DAYS,Value= \ --subnet-ids \ --mode NON_FIPS ``` 클러스터 생성 시도가 실패하면 AWS CloudHSM 서비스 연결 역할의 문제와 관련이 있을 수 있습니다. 실패 해결에 도움을 받으려면 [AWS CloudHSM 클러스터 생성 실패 해결](troubleshooting-create-cluster.md) 단원을 참조하십시오. ------ #### [ AWS CloudHSM API ] **클러스터를 생성하려면(AWS CloudHSM API)** + [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html) 요청을 보냅니다. HSM 인스턴스 유형, 백업 보존 정책, HSM을 생성할 서브넷의 서브넷 ID를 지정합니다. 생성된 프라이빗 서브넷의 서브넷 ID를 사용합니다. 가용 영역당 하나의 서브넷만 지정합니다. 클러스터 생성 시도가 실패하면 AWS CloudHSM 서비스 연결 역할의 문제와 관련이 있을 수 있습니다. 실패 해결에 도움을 받으려면 [AWS CloudHSM 클러스터 생성 실패 해결](troubleshooting-create-cluster.md) 단원을 참조하십시오. ------ # 에서 클러스터의 보안 그룹 검토 AWS CloudHSM 클러스터 보안 그룹 검토하기 클러스터를 생성하거나 클러스터에 HSM을 추가하면 이름이 인 보안 그룹이 아직 없는 `cloudhsm-cluster--sg` 경우이 보안 그룹을 AWS CloudHSM 생성합니다. 이 보안 그룹에는 포트 2223-2225를 통해 클러스터 보안 그룹 내에서 인바운드 및 아웃바운드 통신을 허용하는 사전 구성 TCP 규칙이 있습니다. 이 SG를 사용하면 EC2 인스턴스가 VPC를 사용하여 클러스터의 HSM과 통신할 수 있습니다. **주의** 클러스터 보안 그룹에 채워진 사전 구성 TCP 규칙을 삭제하거나 수정하지 마십시오. 이 규칙으로 HSM 무단 액세스 및 연결 문제를 방지할 수 있습니다. 클러스터 보안 그룹은 HSM에 대한 무단 액세스를 방지합니다. 보안 그룹의 인스턴스에 액세스할 수 있는 사용자는 누구나 HSM에 액세스할 수 있습니다. 대부분의 작업에서 사용자가 HSM에 로그인해야 합니다. 하지만 인증 없이 HSM을 초기화하면 키 자료, 인증서 및 기타 데이터가 삭제될 수 있습니다. 이 경우 가장 최근에 백업한 후에 생성되거나 수정된 데이터는 손실되며 복구할 수 없습니다. 무단 액세스를 방지하려면 신뢰할 수 있는 관리자만 기본 보안 그룹에 있는 인스턴스를 수정하거나 액세스할 수 있게 하십시오. hsm2m.medium 클러스터는 권한이 없는 사용자가 클러스터에 연결하는 것을 제한하는 mTLS 기능을 도입합니다. 권한이 없는 사용자는 제로화를 시도하기 전에 클러스터에 성공적으로 연결하려면 유효한 mTLS 보안 인증 정보가 필요합니다. 다음 단계에서는 [Amazon EC2 인스턴스를 시작하고](launch-client-instance.md) [클러스터 보안 그룹을 연결하여](configure-sg-client-instance.md) 이 인스턴스를 HSM에 연결할 수 있습니다. # 와 상호 작용하기 위한 Amazon EC2 클라이언트 인스턴스 시작 AWS CloudHSM EC2 클라이언트 시작 AWS CloudHSM 클러스터 및 HSM 인스턴스와 상호 작용하고 관리하려면 HSMs의 탄력적 네트워크 인터페이스와 통신할 수 있어야 합니다. 가장 쉬운 방법은 동일한 VPC의 EC2 인스턴스를 클러스터로 사용하는 것입니다. 또한 다음 AWS 리소스를 사용하여 클러스터에 연결할 수 있습니다. + [Amazon VPC 피어링](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) + [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) + [VPN 연결](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html) **참고** 이 가이드에서는 EC2 인스턴스를 AWS CloudHSM 클러스터에 연결하는 방법에 대한 간단한 예제를 제공합니다. 보안 네트워크 구성에 대한 모범 사례는 [클러스터에 대한 보안 액세스](bp-cluster-management.md#bp-secure-access) 섹션을 참조하세요. 이 AWS CloudHSM 설명서에서는 일반적으로 클러스터를 생성하는 동일한 VPC 및 가용 영역(AZ)에서 EC2 인스턴스를 사용하고 있다고 가정합니다. **EC2 인스턴스를 생성하려면** 1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 **EC2 대시보드**를 엽니다. 1. **인스턴스 시작**을 선택합니다. 드롭다운 메뉴에서 **인스턴스 실행**을 선택합니다. 1. **이름** 필드에 EC2 인스턴스 이름을 입력합니다. 1. **애플리케이션 및 OS 이미지(Amazon 머신 이미지)** 섹션에서 CloudHSM이 지원하는 플랫폼에 해당하는 Amazon 머신 이미지(AMI)를 선택합니다. 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 지원 플랫폼](client-supported-platforms.md) 섹션을 참조하십시오. 1. **인스턴스 유형** 섹션에서 인스턴스 유형을 선택합니다. 1. **키 페어** 섹션에서 기존 키 페어를 사용하거나 **새 키 페어 생성**을 선택하고 다음 단계를 완료합니다. 1. **키 페어 이름**에 키 페어의 이름을 입력합니다. 1. **키 페어 유형**에서 키 페어 유형을 선택합니다. 1. **프라이빗 키 파일 형식**에서 프라이빗 키 파일 형식을 선택합니다. 1. **키 페어 생성**을 선택합니다. 1. 프라이빗 키 파일을 다운로드하고 저장합니다. **중요** 이때가 사용자가 프라이빗 키 파일을 저장할 수 있는 유일한 기회입니다. 파일을 다운로드하고 안전한 장소에 저장합니다. 인스턴스를 시작할 때 키 페어의 이름을 제공해야 합니다. 또한 인스턴스에 연결할 때마다 해당 프라이빗 키를 제공하고 설정 시 생성한 키 페어를 선택해야 합니다. 1. **네트워크 설정**에서 **편집**을 선택합니다. 1. **VPC**에서 클러스터에 대해 이전에 생성한 VPC를 선택합니다. 1. **서브넷**에서, VPC에 대해 생성한 퍼블릭 서브넷을 선택합니다. 1. **퍼블릭 IP 자동 할당(Auto-assign Public IP)**의 경우 **활성화(Enable)**를 선택합니다. 1. **IPv6 IP 자동 할당**에서 클러스터 및 듀얼 스택 NetworkType과 IPv6 연결을 사용하려면 **활성화**를 선택합니다. 이 옵션을 활성화하면 Amazon EC2 인스턴스에서 HSM으로의 IPv6 아웃바운드 트래픽을 허용하도록 인스턴스의 보안 그룹 규칙, VPC 및 서브넷 라우팅 테이블, 네트워크 ACL을 업데이트해야 합니다. 1. **기존 보안 그룹 선택**을 선택합니다. 1. **공통 보안 그룹**의 드롭다운 메뉴에서 기본 보안 그룹을 선택합니다. 1. **스토리지 구성**에서 드롭다운 메뉴를 사용하여 스토리지 구성을 선택합니다. 1. **요약** 창에서 **인스턴스 실행**을 선택합니다. **참고** 이 단계를 완료하면 EC2 인스턴스를 만드는 프로세스가 시작됩니다. Linux Amazon EC2 클라이언트 생성에 대한 자세한 내용은 [Amazon EC2 Linux 인스턴스 시작하기](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html)를 참조하십시오. 실행 중인 클라이언트에 연결하는 방법에 대한 자세한 내용은 다음 주제를 참조하십시오. + [SSH를 사용하여 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html) + [PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) Amazon EC2 사용 설명서에 Amazon EC2 인스턴스 설정 및 사용에 대한 지침이 자세히 나와 있습니다. 다음 목록은 Linux 및 Windows Amazon EC2 클라이언트에 사용할 수 있는 설명서를 개괄적으로 보여줍니다. + Linux Amazon EC2 클라이언트를 생성하려면 [Amazon EC2 Linux 인스턴스 시작하기](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html) 섹션을 참조하십시오. 실행 중인 클라이언트에 연결하는 방법에 대한 자세한 내용은 다음 주제를 참조하십시오. + [SSH를 사용하여 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html) + [PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) + Windows Amazon EC2 클라이언트를 생성하려면 [Amazon EC2 Windows 인스턴스 시작하기](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html) 섹션을 참조하십시오. Windows 클라이언트 연결에 대한 자세한 내용은 [Windows 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) 섹션을 참조하십시오. **참고** EC2 인스턴스는이 가이드에 포함된 모든 AWS CLI 명령을 실행할 수 있습니다. AWS CLI 가 설치되어 있지 않은 경우 [AWS Command Line Interface](https://aws.amazon.com/cli/)에서 다운로드할 수 있습니다. Windows를 사용하는 경우 64비트 또는 32비트 Windows 설치 관리자를 다운로드하면 됩니다. Linux 또는 macOS를 사용하는 경우 pip을 사용하여 CLI를 설치할 수 있습니다. # 에 대한 클라이언트 Amazon EC2 인스턴스 보안 그룹 구성 AWS CloudHSM EC2 인스턴스 보안 그룹 구성 에서 클러스터에 대한 Amazon EC2 인스턴스를 시작 AWS CloudHSM하면 이를 기본 Amazon VPC 보안 그룹과 연결한 것입니다. 이 주제에서는 클러스터 보안 그룹을 EC2 인스턴스와 연결하는 방법을 설명합니다. 이 연결을 통해 EC2 인스턴스에서 실행되는 AWS CloudHSM 클라이언트가 HSMs과 통신할 수 있습니다. EC2 인스턴스를 AWS CloudHSM 클러스터에 연결하려면 VPC 기본 보안 그룹을 올바르게 구성*하고* 클러스터 보안 그룹을 인스턴스와 연결해야 합니다. 다음 단계에 따라 구성 변경을 완료합니다. **Topics** + [ ## 1단계. 기본 보안 그룹 수정 ](#configure-sg-client-instance-modify-default-security-group) + [ ## 2단계. Amazon EC2 인스턴스를 AWS CloudHSM 클러스터에 연결 ](#configure-sg-client-instance-connect-the-ec2-instance-to-the-HSM-cluster) ## 1단계. 기본 보안 그룹 수정 클라이언트 소프트웨어를 다운로드 및 설치하고 HSM과 상호 작용할 수 있도록 SSH 또는 RDP 연결을 허용하려면 기본 보안 그룹을 수정해야 합니다. **기본 보안 그룹을 수정하려면** 1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 **EC2 대시보드**를 엽니다. 1. **인스턴스(실행 중)를** 선택한 다음 AWS CloudHSM 클라이언트를 설치하려는 EC2 인스턴스 옆의 확인란을 선택합니다. 1. **보안** 탭에서 이름이 **기본값**인 보안 그룹을 선택합니다. 1. 페이지 위쪽에서 **작업**을 선택한 후 **인바운드 규칙 편집**을 선택합니다. 1. **규칙 추가**를 선택합니다. 1. **유형**에서 다음 중 하나를 수행합니다. + Windows Server Amazon EC2 인스턴스에는 **RDP**를 선택합니다. 포트 `3389`가 자동으로 채워집니다. + Linux Amazon EC2 인스턴스에는 **SSH**를 선택합니다. 포트 범위 `22`가 자동으로 채워집니다. 1. 어느 옵션이든 **소스**를 **내 IP**로 설정하면 Amazon EC2 인스턴스와 통신할 수 있습니다. **중요** 아무나 인스턴스에 액세스할 수 없게 하려면 0.0.0.0/0을 CIDR 범위로 지정하지 마십시오. 1. **저장**을 선택합니다. ## 2단계. Amazon EC2 인스턴스를 AWS CloudHSM 클러스터에 연결 EC2 인스턴스가 클러스터의 HSM과 통신하려면 EC2 인스턴스에 클러스터 보안 그룹을 연결해야 합니다. 클러스터 보안 그룹에는 포트 2223-2225를 통한 인바운드 통신을 허용하는 사전 구성 규칙이 있습니다. **EC2 인스턴스를 AWS CloudHSM 클러스터에 연결하려면** 1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 **EC2 대시보드**를 엽니다. 1. **인스턴스(실행 중)를** 선택한 다음 AWS CloudHSM 클라이언트를 설치할 EC2 인스턴스의 확인란을 선택합니다. 1. 페이지 위쪽에서 **작업**, **보안**, **보안 그룹 변경**을 차례로 선택합니다. 1. 클러스터 ID와 일치하는 그룹 이름을 가진 보안 그룹을 선택합니다(예: `cloudhsm-cluster--sg`). 1. **보안 그룹 추가**를 선택합니다. 1. **저장**을 선택합니다. **참고** 보안 그룹을 5개까지 Amazon EC2 인스턴스에 할당할 수 있습니다. 최대 한도에 도달한 경우 Amazon EC2 인스턴스의 기본 보안 그룹과 클러스터 보안 그룹을 수정해야 합니다. 기본 보안 그룹에서 다음을 수행합니다. 클러스터 보안 그룹에서 포트 `2223-2225`를 통해 TCP 프로토콜을 사용하는 트래픽을 허용하도록 인바운드 규칙을 추가합니다. 클러스터 보안 그룹에서 다음을 수행합니다. 기본 보안 그룹에서 포트 `2223-2225`를 통해 TCP 프로토콜을 사용하는 트래픽을 허용하도록 인바운드 규칙을 추가합니다. # 에서 HSM 생성 AWS CloudHSM HSM 생성 에서 클러스터를 생성한 후 하드웨어 보안 모듈(HSM)을 생성할 AWS CloudHSM수 있습니다. 하지만 클러스터에 HSM을 생성하기 전에 해당 클러스터가 초기화되지 않은 상태여야 합니다. 클러스터의 상태를 확인하려면 [AWS CloudHSM 콘솔에서 클러스터 페이지를](https://console.aws.amazon.com/cloudhsm/home) 보거나, AWS CLI 를 사용하여 **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** 명령을 실행하거나, AWS CloudHSM API에서 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 요청을 보냅니다. [AWS CloudHSM 콘솔](https://console.aws.amazon.com/cloudhsm/), [AWS CLI](https://aws.amazon.com/cli/) 또는 AWS CloudHSM API를 사용하여 HSM을 생성할 수 있습니다. **중요** 클러스터가 초기화되지 않은 상태에 있는 동안에는 하나의 HSM만 생성합니다. ------ #### [ Console ] **HSM(콘솔)을 생성하려면** 1. [https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) AWS CloudHSM 콘솔을 엽니다. 1. HSM을 생성할 클러스터의 ID 옆의 라디오 버튼을 선택합니다. 1. **작업**을 선택합니다. 드롭다운 메뉴에서 **초기화**를 선택합니다. 1. 생성 중인 HSM에 대한 가용 영역(AZ)을 선택합니다. 1. **생성**을 선택합니다. 클러스터와 HSM을 생성한 후에는 선택에 따라 [HSM의 ID를 확인](verify-hsm-identity.md)하거나 [클러스터 초기화](initialize-cluster.md)로 넘어갑니다. ------ #### [ AWS CLI ] **HSM 생성 방법([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + 명령 프롬프트에서 **[create-hsm](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-hsm.html)** 명령을 실행합니다. 이전에 생성한 클러스터의 클러스터 ID와 HSM의 가용 영역을 지정합니다. `us-west-2a`, `us-west-2b` 등의 형태로 가용 영역을 지정합니다. ``` $ aws cloudhsmv2 create-hsm --cluster-id --availability-zone { "Hsm": { "HsmId": "hsm-ted36yp5b2x", "EniIp": "10.0.1.12", "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733", "AvailabilityZone": "us-west-2a", "ClusterId": "cluster-igklspoyj5v", "EniId": "eni-5d7ade72", "SubnetId": "subnet-fd54af9b", "State": "CREATE_IN_PROGRESS" } } ``` 클러스터와 HSM을 생성한 후에는 선택에 따라 [HSM의 ID를 확인](verify-hsm-identity.md)하거나 [클러스터 초기화](initialize-cluster.md)로 넘어갑니다. ------ #### [ AWS CloudHSM API ] **HSM을 생성하려면(AWS CloudHSM API)** + [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html) 요청을 보냅니다. 이전에 생성한 클러스터의 클러스터 ID와 HSM의 가용 영역을 지정합니다. 클러스터와 HSM을 생성한 후에는 선택에 따라 [HSM의 ID를 확인](verify-hsm-identity.md)하거나 [클러스터 초기화](initialize-cluster.md)로 넘어갑니다. ------ # 에서 클러스터 HSM의 ID 및 신뢰성 확인 AWS CloudHSM (선택 사항) HSM 자격 증명 확인(선택 사항) 클러스터를 초기화하려면 클러스터의 첫 번째 하드웨어 보안 모듈(HSM)에서 생성된 인증서 서명 요청(CSR)에 서명 AWS CloudHSM합니다. 이에 앞서 HSM의 ID와 신뢰성을 확인하고 싶을 수 있습니다. **참고** 이 프로세스는 선택 사항입니다. 하지만 이 프로세스는 클러스터가 초기화될 때까지만 유효합니다. 클러스터가 초기화된 후에는 이 프로세스를 사용하여 인증서를 가져오거나 HSM을 확인할 수 없습니다. 다음 단계를 완료하여 클러스터의 첫 번째 HSM의 ID를 확인할 수 있습니다. 1. [인증서 및 CSR 가져오기](#get-certificates) – 이 단계에서는 HSM으로부터 세 개의 인증서와 CSR을 가져옵니다. 또한 루트 인증서 2개를 받습니다. 하나는에서 가져오 AWS CloudHSM 고 다른 하나는 HSM 하드웨어 제조업체에서 가져옵니다. 1. [인증서 체인 확인](#verify-certificate-chains) -이 단계에서는 두 개의 인증서 체인을 구성합니다. 하나는 AWS CloudHSM 루트 인증서이고 다른 하나는 제조업체 루트 인증서입니다. 그런 다음 이러한 인증서 체인을 사용하여 HSM 인증서를 확인하여 AWS CloudHSM 및 하드웨어 제조업체가 모두 HSM의 자격 증명과 신뢰성을 증명하는지 확인합니다. 1. [퍼블릭 키 비교](#compare-public-keys) – 이 단계에서는 HSM 인증서 및 클러스터 CSR에서 퍼블릭 키를 추출 및 비교하여 둘이 동일한지 확인합니다. 이렇게 하면 CSR가 신뢰할 수 있는 인증된 HSM에 의해 생성되었음에 안심할 수 있습니다. 다음 다이어그램은 CSR, 인증서 및 이들의 상호 관계를 보여줍니다. 다음에 나오는 목록은 각 인증서를 정의합니다. ![\[HSM 인증서 및 관계\]](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/images/hsm-certificate-relationships.png) **AWS 루트 인증서** 이 인증서는 루트 인증서 AWS CloudHSM입니다. **제조업체 루트 인증서** 이것은 하드웨어 제조업체의 루트 인증서입니다. **AWS 하드웨어 인증서** AWS CloudHSM 는 HSM 하드웨어가 플릿에 추가될 때이 인증서를 생성했습니다. 이 인증서는 하드웨어를 AWS CloudHSM 소유한를 어설션합니다. **제조업체 하드웨어 인증서** HSM 하드웨어 제조업체가 HSM 하드웨어를 생산할 때 이 인증서를 만들었습니다. 이 인증서는 제조업체가 하드웨어를 만들었음을 어셜션합니다. **HSM 인증서** HSM 인증서는 클러스터에서 처음 HSM을 생성할 때 FIPS 검증 하드웨어에 의해 생성됩니다. 이 인증서는 HSM 하드웨어가 HSM을 생성했음을 어셜션합니다. **클러스터 CSR** 첫 번째 HSM이 클러스터 CSR을 생성합니다. [클러스터 CSR에 서명](initialize-cluster.md#sign-csr)할 때 클러스터를 클레임합니다. 그런 다음 서명된 CSR을 사용하여 [클러스터를 초기화](initialize-cluster.md#initialize)할 수 있습니다. ## 1단계. HSM에서 인증서 가져오기 HSM의 ID와 신뢰성을 확인하려면 CSR과 5개의 인증서를 얻는 것부터 시작합니다. HSM에서 세 개의 인증서를 가져옵니다.이 인증서는 [AWS CloudHSM 콘솔](https://console.aws.amazon.com/cloudhsm/), [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 또는 AWS CloudHSM API에서 사용할 수 있습니다. ------ #### [ Console ] **CSR 및 HSM 인증서를 가져오려면(콘솔)** 1. [https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) AWS CloudHSM 콘솔을 엽니다. 1. 확인할 HSM의 클러스터 자격 증명 옆의 라디오 버튼을 선택합니다. 1. **작업**을 선택합니다. 드롭다운 메뉴에서 **초기화**를 선택합니다. 1. HSM을 생성하기 위한 [이전 단계](create-hsm.md)를 완료하지 않은 경우, 생성 중인 HSM의 가용 영역을 선택합니다. 그런 다음 **생성**을 선택합니다. 1. 인증서 및 CSR가 이미 있는 경우에는 이들을 다운로드할 수 있는 링크가 나타납니다. ![\[AWS CloudHSM 콘솔의 인증서 서명 요청 다운로드 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png) 1. 각 링크를 선택하여 CSR 및 인증서를 다운로드하고 저장합니다. 후속 단계를 간소화하려면 모든 파일을 같은 디렉터리에 저장하고 기본 파일 이름을 사용합니다. ------ #### [ AWS CLI ] **CSR 및 HSM 인증서를 가져오는 방법([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + 명령 프롬프트에서 **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** 명령을 네 번 실행하여 매번 CSR 및 다른 인증서를 추출하고 파일에 저장합니다. 1. 다음 명령을 실행하여 클러스터 CSR을 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > _ClusterCsr.csr ``` 1. 다음 명령을 실행하여 HSM 인증서를 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.HsmCertificate' \ > _HsmCertificate.crt ``` 1. 다음 명령을 실행하여 AWS 하드웨어 인증서를 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.AwsHardwareCertificate' \ > _AwsHardwareCertificate.crt ``` 1. 다음 명령을 실행하여 제조업체 하드웨어 인증서를 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \ > _ManufacturerHardwareCertificate.crt ``` ------ #### [ AWS CloudHSM API ] **CSR 및 HSM 인증서 가져오기(AWS CloudHSM API)** + [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 요청을 전송한 다음, 응답에서 CSR 및 인증서를 추출하여 저장합니다. ------ ## 2단계. 루트 인증서 가져오기 다음 단계에 따라 AWS CloudHSM 및 제조업체에 대한 루트 인증서를 가져옵니다. 루트 인증서 파일을 CSR 및 HSM 인증서 파일이 들어 있는 디렉터리에 저장합니다. **AWS CloudHSM 및 제조업체 루트 인증서를 가져오려면** 1. AWS CloudHSM 루트 인증서 다운로드: [AWS\$1CloudHSM\$1Root-G1.zip](samples/AWS_CloudHSM_Root-G1.zip) 1. HSM 유형에 적합한 제조업체 루트 인증서를 다운로드합니다. + hsm1.medium 제조업체 루트 인증서: [liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquid_security_certificate.zip) + hsm2m.medium 제조업체 루트 인증서: [liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquidsecurity2_ar_v1.zip) **참고** 랜딩 페이지에서 각 인증서를 다운로드하려면 다음 링크를 사용합니다. hsm1.medium의 [제조업체 루트 인증서](https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html) 랜딩 페이지 hsm2m.medium의 [제조업체 루트 인증서](https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/liquidsecurity2-certificate-ls2-g-axxx-ar-f-bo-v1.html) 랜딩 페이지 [**Download Certificate**] 링크를 마우스 오른쪽 버튼으로 클릭한 후 [**Save Link As...**]를 선택해서 인증서 파일을 저장해야 할 수 있습니다. 1. 파일을 다운로드한 후 압축을 풉니다. ## 3단계. 인증서 체인 확인 이 단계에서는 두 개의 인증서 체인을 구성합니다. 하나는 AWS CloudHSM 루트 인증서이고 다른 하나는 제조업체 루트 인증서입니다. 그런 다음 OpenSSL을 사용하여 각 인증서 체인으로 HSM 인증서를 확인합니다. 인증서 체인을 생성하려면 Linux 셸을 엽니다. OpenSSL(대부분의 Linux 셸에서 제공)이 필요하고, 다운로드한 [루트 인증서](#get-root-certificates) 및 [HSM 인증서 파일](#get-certificates)이 필요합니다. 그러나이 단계에서는 AWS CLI 가 필요하지 않으며 쉘을 AWS 계정과 연결할 필요가 없습니다. **AWS CloudHSM 루트 인증서로 HSM 인증서를 확인하려면** 1. 다운로드한 [루트 인증서](#get-root-certificates) 및 [HSM 인증서 파일](#get-certificates)을 저장한 디렉터리로 이동합니다. 다음 명령은 모든 인증서가 현재 디렉터리에 위치하고 기본 파일 이름을 사용한다고 가정합니다. 다음 명령을 사용하여 하드웨어 인증서와 AWS CloudHSM 루트 인증서를 순서대로 포함하는 AWS 인증서 체인을 생성합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ cat _AwsHardwareCertificate.crt \ AWS_CloudHSM_Root-G1.crt \ > _AWS_chain.crt ``` 1. 다음 OpenSSL 명령을 사용하여 AWS 인증서 체인으로 HSM 인증서를 확인합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ openssl verify -CAfile _AWS_chain.crt _HsmCertificate.crt _HsmCertificate.crt: OK ``` **제조업체 루트 인증서로 HSM 인증서를 확인하려면** 1. 다음 명령을 사용하여 제조업체 하드웨어 인증서와 제조업체 루트 인증서를 순서대로 포함시켜 인증서 체인을 생성합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ cat _ManufacturerHardwareCertificate.crt \ liquid_security_certificate.crt \ > _manufacturer_chain.crt ``` 1. 다음 OpenSSL 명령을 사용하여 제조업체 인증서 체인으로 HSM 인증서를 확인합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다. ``` $ openssl verify -CAfile _manufacturer_chain.crt _HsmCertificate.crt _HsmCertificate.crt: OK ``` ## 4단계. 퍼블릭 키 추출 및 비교 OpenSSL을 사용하여 HSM 인증서 및 클러스터 CSR에서 퍼블릭 키를 추출 및 비교하여 둘이 동일한지 확인합니다. 퍼블릭 키를 비교하려면 Linux 셸을 사용합니다. 대부분의 Linux 셸에서 사용할 수 있는 OpenSSL이 필요하지만 AWS CLI 이 단계에서는이 필요하지 않습니다. 쉘을 AWS 계정과 연결할 필요가 없습니다. **퍼블릭 키를 추출 및 비교하려면** 1. 다음 명령을 사용하여 HSM 인증서에서 퍼블릭 키를 추출합니다. ``` $ openssl x509 -in _HsmCertificate.crt -pubkey -noout > _HsmCertificate.pub ``` 1. 다음 명령을 사용하여 클러스터 CSR에서 퍼블릭 키를 추출합니다. ``` $ openssl req -in _ClusterCsr.csr -pubkey -noout > _ClusterCsr.pub ``` 1. 다음 명령을 사용하여 퍼블릭 키를 비교합니다. 퍼블릭 키들이 동일한 경우 다음 명령을 실행해도 출력이 생성되지 않습니다. ``` $ diff _HsmCertificate.pub _ClusterCsr.pub ``` HSM의 ID 및 신뢰성을 확인한 후에는 [클러스터 초기화](initialize-cluster.md)로 넘어갑니다. # 에서 클러스터 초기화 AWS CloudHSM 클러스터 초기화 클러스터를 생성하고에 하드웨어 보안 모듈(HSM)을 추가한 후 클러스터를 초기화 AWS CloudHSM할 수 있습니다. 다음 주제의 단계를 완료하여 클러스터를 초기화합니다. **참고** 클러스터를 초기화하기 전에 [HSM의 자격 증명 및 신뢰성을 확인](verify-hsm-identity.md)할 수 있는 프로세스를 검토합니다. 이 프로세스는 선택 사항이며, 클러스터가 초기화될 때까지만 유효합니다. 클러스터가 초기화된 후에는 이 프로세스를 사용하여 인증서를 가져오거나 HSM을 확인할 수 없습니다. **Topics** + [ ## 개요 ](#initialize-cluster-overview) + [ ## 1단계. 클러스터 CSR 가져오기 ](#get-csr) + [ ## 2단계. 루트 CA에 대한 프라이빗 키 생성 ](#sign-csr-create-key) + [ ## 3단계. CSR에 서명 ](#sign-csr) + [ ## 4단계. 클러스터 초기화 ](#initialize) ## 개요 클러스터 초기화 프로세스는 인증서 기반 인증 시스템을 통해 클러스터와 HSMs에 대한 소유권과 제어를 설정합니다. 이 프로세스는 사용자가 클러스터에 있는 HSMs의 유일한 소유자임을 암호화 방식으로 증명하고 HSMs에 대한 향후 모든 연결에 필요한 신뢰 기반을 만듭니다. 이 페이지에서는 다음을 수행하는 방법을 보여줍니다. + 클러스터의 인증서 서명 요청(CSR)을 검색합니다. + 프라이빗 키(들)를 생성하고 사용하여 자체 서명된 루트 인증서 또는 인증서 체인을 생성합니다. + 클러스터의 CSR에 서명하여 서명된 HSM 인증서를 생성합니다. + 서명된 HSM 인증서와 자체 서명된 인증서 또는 인증서 체인을 사용하여 클러스터를 초기화합니다. 시작할 준비가 되면 [1단계. 클러스터 CSR 가져오기](#get-csr)로 이동합니다. ## 1단계. 클러스터 CSR 가져오기 클러스터를 초기화하려면 먼저, 클러스터의 첫 번째 HSM에서 생성된 인증서를 다운로드하여 서명 요청(CSR)에 서명해야 합니다. 단계에 따라 [클러스터의 HSM 자격 증명을 확인](verify-hsm-identity.md)했다면 이미 CSR이 있는 것이므로 CSR에 서명할 수 있습니다. 그렇지 않으면 [AWS CloudHSM 콘솔](https://console.aws.amazon.com/cloudhsm/), [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 또는 AWS CloudHSM API를 사용하여 CSR을 가져옵니다. ------ #### [ Console ] **CSR을 가져오려면(콘솔)** 1. [https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) AWS CloudHSM 콘솔을 엽니다. 1. 확인할 HSM의 클러스터 자격 증명 옆의 라디오 버튼을 선택합니다. 1. **작업**을 선택합니다. 드롭다운 메뉴에서 **초기화**를 선택합니다. 1. HSM을 생성하기 위한 [이전 단계](create-hsm.md)를 완료하지 않은 경우, 생성 중인 HSM의 가용 영역을 선택합니다. 그런 다음 **생성**을 선택합니다. 1. CSR이 이미 있는 경우에는 이를 다운로드할 수 있는 링크가 나타납니다. ![\[AWS CloudHSM 콘솔에서 인증서 서명 요청 페이지를 다운로드합니다.\]](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png) 1. [**Cluster CSR**]을 선택하여 CSR을 다운로드하고 저장합니다. ------ #### [ AWS CLI ] **CSR을 가져오는 방법([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + 명령 프롬프트에서 다음 **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** 명령을 실행하여 CSR을 추출하고 파일에 저장합니다. **를 [이전에 생성한](create-cluster.md) 클러스터의 ID로 바꿉니다. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > _ClusterCsr.csr ``` ------ #### [ AWS CloudHSM API ] **CSR을 가져오려면(AWS CloudHSM API)** 1. [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 요청을 보냅니다. 1. 응답에서 CSR을 추출하고 저장합니다. ------ ## 2단계. 루트 CA에 대한 프라이빗 키 생성 **참고** 프로덕션 클러스터의 경우 신뢰할 수 있는 임의 소스를 사용하여 안전한 방식으로 키를 생성해야 합니다. 안전한 오프사이트 및 오프라인 HSM이나 이에 상응하는 디바이스를 사용하는 것이 좋습니다. 키를 안전하게 저장하십시오. 키는 클러스터의 ID와 클러스터에 포함된 HSM에 대한 사용자의 단독 제어권을 설정합니다. 개발 및 테스트 중에 원하는 편리한 도구(예: OpenSSL)를 사용하여 클러스터 인증서를 만들고 서명할 수 있습니다. 다음 예에서는 키를 생성하는 방법을 보여줍니다. 키를 사용하여 자체 서명된 인증서를 생성한 후(아래 참조), 안전한 방식으로 저장해야 합니다. AWS CloudHSM 인스턴스에 로그인하려면 인증서가 있어야 하지만 프라이빗 키는 존재하지 않습니다. 아래 표에는 인증서 생성에 지원되는 알고리즘, 키 크기 및 곡선이 요약되어 있습니다. | 알고리즘 | 크기/곡선 | | --- | --- | | **RSA PKCSv1.5** | 2048, 3072, 4096 | | **RSA-PSS** | 2048, 3072, 4096 | | **ECDSA** | prime256v1, secp384r1, secp521r1 | | **다이제스트** | SHA-224, SHA-256, SHA-384 및 SHA-512 | 다음 예제 명령을 사용하여 자체 서명된 루트 CA에 대한 프라이빗 키를 생성합니다. ``` $ openssl genrsa -aes256 -out customerRootCA.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerRootCA.key: Verifying - Enter pass phrase for customerRootCA.key: ``` ## 3단계. CSR에 서명 이전 단계에서 클러스터의 CSR을 검색하고 루트 CA에 대한 프라이빗 키를 생성했습니다. 이 단계에서는 클러스터의 CSR에 서명하기 위해 프라이빗 키를 사용하여 서명 인증서를 생성합니다. 아래 주제에서는 OpenSSL을 사용하여 자체 서명된 단일 인증서 또는 인증서 체인을 생성하는 프로세스를 안내합니다. AWS CLI 이 단계에서는이 필요하지 않으며 쉘을 AWS 계정과 연결할 필요가 없습니다. **중요** 클러스터를 초기화하려면 트러스트 앵커가 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280)을 준수하고 다음 요구 사항을 충족해야 합니다. X509v3 확장을 사용하는 경우 X509v3 기본 제약 조건 확장이 있어야 합니다. 트러스트 앵커는 자체 서명된 인증서여야 합니다. 확장 값은 서로 충돌하지 않아야 합니다. 다음 방법 중 하나를 선택하여 클러스터의 CSR에 서명합니다. ### 인증서 접근 방식 선택 다음 두 가지 방법 중 하나를 선택해야 합니다. 두 접근 방식을 모두 완료하지 마십시오. **옵션 A: 자체 서명된 단일 인증서** 자체 서명된 루트 인증서 하나를 생성하여 클러스터의 CSR에 서명합니다. 이는 신뢰를 구축하는 가장 간단하고 직접적인 방법입니다. **권장 대상:** + 외부 PKI가 필요하지 않은 환경 + 단순성이 선호되는 테스트 및 개발 환경 다음으로 이동합니다. [자체 서명된 인증서 하나 생성](#self-signed-certificate) **옵션 B: 중간 CA가 있는 인증서 체인** 중간 인증 기관을 사용하여 인증서 체인을 생성합니다. 중간 인증서 체인은 루트 인증 기관(CAs 오프라인 상태를 유지하면서 인증서 발급을 중간 CAs에 위임하여 루트 CA를 손상시킬 위험을 줄임으로써 향상된 보안, 확장성 및 유연성을 제공합니다. **권장 대상:** + 외부 PKI가 필요한 환경 + AWS Private Certificate Authority(PCA)와 통합 **AWS PCA 통합 예제:** AWS Private Certificate Authority를 사용하여 중간 CA 인증서를 생성하고 관리할 수 있습니다. 이를 통해 갱신 및 해지를 포함한 자동화된 인증서 수명 주기 관리를 제공하는 동시에 루트 CA를 오프라인으로 유지하는 보안 이점을 유지할 수 있습니다. AWS PCA에 대한 자세한 내용은 [AWS Private Certificate Authority 사용 설명서를](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) 참조하세요. 다음으로 이동합니다. [중간 인증 기관(ICA) 체인 생성](#certificate-chain) ### 자체 서명된 인증서 하나 생성 프로덕션 클러스터의 프라이빗 키를 생성하는 데 사용하는 신뢰할 수 있는 하드웨어는 해당 키를 통해 자체 서명된 인증서를 생성하기 위한 소프트웨어 도구도 제공해야 합니다. 다음 예제에서는 이전 단계에서 생성한 OpenSSL 및 프라이빗 키를 사용하여 자체 서명된 루트 CA 서명 인증서를 생성합니다. 인증서는 10년(3,652일) 동안 유효합니다. 화면의 지침을 읽고 프롬프트의 메시지를 따릅니다. ``` $ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt Enter pass phrase for customerRootCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: ``` 이 명령은 `customerRootCA.crt` 인증서 파일을 생성합니다. AWS CloudHSM 클러스터에 연결할 모든 호스트에이 인증서를 배치합니다. 파일에 다른 이름을 지정하거나 호스트의 루트가 아닌 다른 경로에 파일을 저장하는 경우, 그에 따라 클라이언트 구성 파일을 편집해야 합니다. 방금 생성한 인증서와 프라이빗 키를 사용하여 다음 단계에서 클러스터 CSR(인증서 서명 요청)에 서명합니다. #### 자체 서명된 루트 CA를 사용하여 클러스터 CSR에 서명 프로덕션 클러스터의 프라이빗 키를 생성하는 데 사용하는 신뢰할 수 있는 하드웨어는 해당 키를 통해 CSR에 서명하기 위한 도구도 제공해야 합니다. 다음 예에서는 OpenSSL을 사용하여 클러스터의 CSR에 서명합니다. 아래 예제 명령은 자체 서명된를 사용하여 CSR에 서명합니다. `customerRootCA.crt` ``` $ openssl x509 -req -days 3652 -in _ClusterCsr.csr \ -CA .crt \ -CAkey .key \ -CAcreateserial \ -out _CustomerHsmCertificate.crt Signature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode Getting CA Private Key Enter pass phrase for .key: ``` 이 명령은 `_CustomerHsmCertificate.crt` 파일을 생성합니다. 클러스터를 초기화할 때 이 파일을 서명된 인증서로 사용합니다. 루트 CA에 대해 서명된 인증서를 확인합니다(선택 사항). ``` $ openssl verify -purpose sslserver -CAfile customerRootCA.crt _CustomerHsmCertificate.crt _CustomerHsmCertificate.crt: OK ``` 자체 서명된 루트 CA를 사용하여 서명된 HSM 인증서를 생성한 후 로 이동합니다[4단계. 클러스터 초기화](#initialize). ### 중간 인증 기관(ICA) 체인 생성 다음 예제에서는 루트 인증 기관(CA)과 중간 CA로 구성된 길이 2의 인증서 체인을 생성하는 방법을 안내합니다. 먼저 자체 서명된 루트 CA 인증서를 생성한 다음 루트 CA에서 서명한 중간 CA를 생성합니다. 마지막으로 중간 CA를 사용하여 클러스터의 CSR에 서명하여 HSM 인증서에서 루트 CA로 완전한 신뢰 체인을 생성합니다. 이 접근 방식은 day-to-day 인증서 작업에 중간 CA를 사용하는 동안 루트 CA를 오프라인으로 유지하여 보안을 강화합니다. **중요** 인증서 체인으로 클러스터를 초기화하려면 체인이 다음 요구 사항을 충족해야 합니다. 체인은 클러스터 CSR에 서명하는 중간 CA부터 주문해야 합니다. 이 순서로 첫 번째 ICA에는 체인의 다음 ICA 주제와 일치하는 발급자가 있어야 합니다. 루트 CA만 자체 서명되어야 합니다. 즉, 발급자와 주체가 동일해야 합니다. 체인은 4개 이하의 인증서(끝의 루트 CA 포함)로 구성되어야 하며, 체인의 총 크기는 16KB(킬로바이트)를 초과해서는 안 됩니다. 모든 인증 기관(CAs)은 [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) 지침을 준수해야 합니다. 이 섹션에서는 로컬 인증서 생성을 위한 OpenSSL과 관리형 인증서 서비스를 위한 AWS Private Certificate Authority(PCA)라는 두 가지 접근 방식을 사용하여 중간 인증 기관 체인을 생성하는 예제를 제공합니다. 환경 및 보안 요구 사항에 가장 적합한 접근 방식을 선택합니다. **참고** 다음 예제는 일반적인 사용 사례이며 가장 기본적인 구성을 사용하여 간소화됩니다. 프로덕션 환경의 경우 사용 사례에 맞는 추가 구성 옵션 및 보안 요구 사항을 검토하세요. ------ #### [ OpenSSL ] CA용 공통 v3 확장명으로 OpenSSL 구성 파일을 생성합니다. ``` $ cat > ca-extensions.conf < chainCA.crt -----BEGIN CERTIFICATE----- [Intermediate CA] -----END CERTIFICATE----- ... ... -----BEGIN CERTIFICATE----- [Root CA] -----END CERTIFICATE----- ``` 중간 CA를 사용하여 클러스터 CSR에 서명합니다. ``` $ openssl x509 -req -days 3652 -in _ClusterCsr.csr \ -CA intermediateCA.crt \ -CAkey intermediateCA.key \ -CAcreateserial \ -out _CustomerHsmCertificate.crt Signature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode Getting CA Private Key Enter pass phrase for intermediateCA.key: ``` ------ #### [ AWS PCA ] AWS Private Certificate Authority를 사용하여 루트 CA를 생성하고 활성화합니다. ``` $ # 1. Create Root CA aws acm-pca create-certificate-authority \ --certificate-authority-configuration \ "KeyAlgorithm=RSA_4096, SigningAlgorithm=SHA256WITHRSA, Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \ --certificate-authority-type ROOT # Store the Root CA Authority ARN from the previous output ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/" # 2. Generate Root CA CSR aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --output text > customerRootCA.csr # 3. Self-sign Root CA Certificate aws acm-pca issue-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --csr fileb://customerRootCA.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=3652,Type=DAYS # Store the Root CA certificate ARN from the previous output ROOT_CA_ARN="arn:aws:acm-pca:::certificate-authority//certificate/" # 4. Retrieve the Root CA certificate aws acm-pca get-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --certificate-arn $ROOT_CA_ARN \ --output text > customerRootCA.crt # 5. Import the Root CA Certificate aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --certificate fileb://customerRootCA.crt ``` 하위 CA(중간 CA라고도 함)를 생성하고 활성화합니다. ``` $ # 6. Create Subordinate CA aws acm-pca create-certificate-authority \ --certificate-authority-configuration \ "KeyAlgorithm=RSA_4096, SigningAlgorithm=SHA256WITHRSA, Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \ --certificate-authority-type SUBORDINATE # Store the Subordinate CA Authority ARN from the previous output SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/" # 7. Generate Subordinate CA CSR aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --output text > intermediateCA.csr # 8. Issue Subordinate CA Certificate using Root CA aws acm-pca issue-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --csr fileb://intermediateCA.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \ --validity Value=3651,Type=DAYS # Store the Subordinate CA certificate ARN from the previous output SUB_CA_ARN="arn:aws:acm-pca:::certificate-authority/" # 9. Retrieve Subordinate CA Certificate aws acm-pca get-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --certificate-arn $SUB_CA_ARN \ --query 'Certificate' \ --output text > intermediateCA.crt # 10. Import the Subordinate CA Certificate aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --certificate fileb://intermediateCA.crt \ --certificate-chain fileb://customerRootCA.crt ``` 인증서를 체인 파일로 결합합니다. ``` $ cat intermediateCA.crt customerRootCA.crt > chainCA.crt -----BEGIN CERTIFICATE----- [Intermediate CA] -----END CERTIFICATE----- ... ... -----BEGIN CERTIFICATE----- [Root CA] -----END CERTIFICATE----- ``` AWS PCA를 사용하여 클러스터 CSR에 서명합니다. ``` $ aws acm-pca issue-certificate \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --csr fileb://_ClusterCsr.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \ --validity Value=3650,Type=DAYS # Store your cluster's cert ARN from the previous output CLUSTER_CERT_ARN="arn:aws:acm-pca:::certificate-authority/" ``` 서명된 클러스터 인증서를 다운로드합니다. ``` $ aws acm-pca get-certificate \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --certificate-arn $CLUSTER_CERT_ARN \ --output text --query Certificate > _CustomerHsmCertificate.crt ``` ------ 이 명령은 `_CustomerHsmCertificate.crt` 파일을 생성합니다. 클러스터를 초기화할 때 이 파일을 서명된 인증서로 사용합니다. 인증서 체인에 대해 서명된 인증서를 확인합니다(선택 사항). ``` $ openssl verify -purpose sslserver -CAfile chainCA.crt _CustomerHsmCertificate.crt _CustomerHsmCertificate.crt: OK ``` 중간 CA로 서명된 HSM 인증서를 생성한 후 로 이동합니다[4단계. 클러스터 초기화](#initialize). ## 4단계. 클러스터 초기화 서명한 HSM 인증서와 서명 인증서를 사용하여 클러스터를 초기화하십시오. [AWS CloudHSM 콘솔](https://console.aws.amazon.com/cloudhsm/), [AWS CLI](https://aws.amazon.com/cli/)또는 AWS CloudHSM API를 사용할 수 있습니다. ------ #### [ Console ] **클러스터를 초기화하려면(콘솔)** 1. [https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) AWS CloudHSM 콘솔을 엽니다. 1. 확인할 HSM의 클러스터 자격 증명 옆의 라디오 버튼을 선택합니다. 1. **작업**을 선택합니다. 드롭다운 메뉴에서 **초기화**를 선택합니다. 1. HSM을 생성하기 위한 [이전 단계](create-hsm.md)를 완료하지 않은 경우, 생성 중인 HSM의 가용 영역을 선택합니다. 그런 다음 **생성**을 선택합니다. 1. [**Download certificate signing request**] 페이지에서 [**Next**]를 선택합니다. [**Next**]가 비활성화 되어 있는 경우에는 먼저 CSR 또는 인증서 링크 중 하나를 선택합니다. 그리고 **다음**을 선택합니다. 1. [**Sign certificate signing request (CSR)**] 페이지에서 [**Next**]를 선택합니다. 1. [**Upload the certificates**] 페이지에서 다음 작업을 수행하십시오. 1. **클러스터 인증서** 옆의 **파일 업로드**를 선택합니다. 그러면 이전에 서명한 HSM 인증서 위치를 확인하고 선택합니다. 이전 섹션에 나온 단계들을 완료했다면 `_CustomerHsmCertificate.crt`라는 파일을 선택합니다. 1. **Issuing certificate**(인증서 발급하기) 옆의 **파일 업로드**를 선택합니다. 그런 다음 선택한 접근 방식에 따라 서명 인증서를 선택합니다. + **옵션 A(단일 자체 서명된 인증서)를 선택한 경우**: 라는 파일을 선택합니다. `.crt` + **옵션 B(인증서 체인)를 선택한 경우**: 라는 파일을 선택합니다. `.crt` 1. [**Upload and initialize**]를 선택합니다. ------ #### [ AWS CLI ] **클러스터 초기화 방법([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + 명령 프롬프트에서 **[initialize-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/initialize-cluster.html)** 명령을 실행합니다. 다음을 제공합니다. + 이전에 생성한 클러스터의 ID입니다. + 이전에 서명한 HSM 인증서입니다. 이전 섹션에 나온 단계들을 완료하면 `_CustomerHsmCertificate.crt`라는 파일에 저장이 됩니다. + 선택한 접근 방식에 따른 서명 인증서: + **옵션 A(단일 자체 서명된 인증서)를 선택한 경우**: 라는 파일을 사용합니다. `.crt` + **옵션 B(인증서 체인)를 선택한 경우**: 라는 파일을 사용합니다. `.crt` ``` $ aws cloudhsmv2 initialize-cluster --cluster-id \ --signed-cert file://_CustomerHsmCertificate.crt \ --trust-anchor file:// { "State": "INITIALIZE_IN_PROGRESS", "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion." } ``` ------ #### [ AWS CloudHSM API ] **클러스터를 초기화하려면(AWS CloudHSM API)** + 다음과 함께 [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html) 요청을 전송합니다. + 이전에 생성한 클러스터의 ID입니다. + 이전에 서명한 HSM 인증서입니다. 이전 섹션에 나온 단계들을 완료하면 `_CustomerHsmCertificate.crt`라는 파일에 저장이 됩니다. + 선택한 접근 방식에 따른 서명 인증서: + **옵션 A(단일 자체 서명된 인증서)를 선택한 경우**: 라는 파일을 사용합니다. `.crt` + **옵션 B(인증서 체인)를 선택한 경우**: 라는 파일을 사용합니다. `.crt` ------ # CloudHSM CLI 설치 및 구성 CloudHSM CLI 설치 AWS CloudHSM 클러스터의 HSM과 상호 작용하려면 CloudHSM CLI가 필요합니다. 클라이언트 인스턴스에 연결하고 다음 명령을 실행하여 AWS CloudHSM 명령줄 도구를 다운로드하고 설치합니다. 자세한 내용은 [와 상호 작용하기 위한 Amazon EC2 클라이언트 인스턴스 시작 AWS CloudHSM](launch-client-instance.md) 단원을 참조하십시오. ------ #### [ Amazon Linux 2023 ] x86\$164 아키텍처 기반 Amazon Linux 2023: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.amzn2023.x86_64.rpm ``` ARM64 아키텍처 기반 Amazon Linux 2023: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.amzn2023.aarch64.rpm ``` ------ #### [ Amazon Linux 2 ] x86\$164 아키텍처의 Amazon Linux 2: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm ``` ARM64 아키텍처의 Amazon Linux 2: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el7.aarch64.rpm ``` ------ #### [ RHEL 10 (10.0\$1) ] x86\$164 아키텍처의 RHEL 10: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el10.x86_64.rpm ``` ARM64 아키텍처의 RHEL 10: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el10.aarch64.rpm ``` ------ #### [ RHEL 9 (9.2\$1) ] x86\$164 아키텍처 기반 RHEL 9: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el9.x86_64.rpm ``` ARM64 아키텍처 기반 RHEL 9: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el9.aarch64.rpm ``` ------ #### [ RHEL 8 (8.3\$1) ] x86\$164 아키텍처 기반 RHEL 8: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el8.x86_64.rpm ``` RHEL 8 on ARM64 아키텍처: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el8.aarch64.rpm ``` ------ #### [ Ubuntu 24.04 LTS ] x86\$164 아키텍처 기반 Ubuntu 24.04 LTS: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_amd64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u24.04_amd64.deb ``` ARM64 아키텍처 기반 Ubuntu 24.04 LTS: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_arm64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u24.04_arm64.deb ``` ------ #### [ Ubuntu 22.04 LTS ] x86\$164 아키텍처 기반 Ubuntu 22.04 LTS: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_amd64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u22.04_amd64.deb ``` ARM64 아키텍처 기반 Ubuntu 22.04 LTS: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_arm64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u22.04_arm64.deb ``` ------ #### [ Windows Server 2022 ] x86\$164 아키텍처 기반 Windows Server 2022의 경우 관리자 권한으로 PowerShell을 열고 다음 명령을 실행합니다. ``` PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi ``` ``` PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait ``` ------ #### [ Windows Server 2019 ] x86\$164 아키텍처의 Windows Server 2019의 경우 관리자 권한으로 PowerShell을 열고 다음 명령을 실행합니다. ``` PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi ``` ``` PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait ``` ------ #### [ Windows Server 2016 ] x86\$164 아키텍처 기반 Windows Server 2016의 경우 관리자 권한으로 Powershell을 열고 다음 명령을 실행합니다. ``` PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi ``` ``` PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait ``` ------ 다음 명령을 사용하여 CloudHSM CLI를 구성합니다. **Client SDK 5용 Linux EC2 인스턴스 부트스트랩** + 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다. ``` $ sudo /opt/cloudhsm/bin/configure-cli -a ``` **Client SDK 5용 Windows EC2 인스턴스 부트스트랩** + 구성 도구를 사용하여 클러스터에 있는 HSM(s)의 IP 주소를 지정합니다. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a ``` # 에서 클러스터 활성화 AWS CloudHSM 클러스터 활성화 AWS CloudHSM 클러스터를 활성화하면 클러스터의 상태가 초기화됨에서 활성으로 변경됩니다. 그러면 [하드웨어 보안 모듈(HSM) 사용자를 관리](manage-hsm-users.md)하고 [HSM을 사용](use-hsm.md)할 수 있습니다. **중요** 클러스터를 활성화하려면 먼저 클러스터에 연결되는 각 EC2 인스턴스의 플랫폼 기본 위치에 발급 인증서를 복사해야 합니다(클러스터를 초기화할 때 발급 인증서를 생성합니다). 클러스터 초기화 중에 선택한 접근 방식에 따라 적절한 인증서 파일을 사용합니다. **옵션 A(단일 자체 서명된 인증서)를 선택한 경우**: 복사 `customerRootCA.crt` **옵션 B(인증서 체인)를 선택한 경우**: 복사 `chainCA.crt` **Linux 위치:** ``` /opt/cloudhsm/etc/ ``` **Windows 위치:** ``` C:\ProgramData\Amazon\CloudHSM\ ``` 인증서 파일을 복사한 후 `/opt/cloudhsm/etc/cloudhsm-cli.cfg` 파일을 편집하여 인증서 파일 이름이 복사한 CA 인증서의 이름과 일치하는지 확인합니다. 발급 인증서를 배치한 후 CloudHSM CLI를 설치하고 첫 번째 HSM에서 [**cluster activate**](cloudhsm_cli-cluster-activate.md) 명령을 실행합니다. 클러스터의 첫 번째 HSM 관리자 계정에 [비활성화된 관리자](understanding-users.md) 역할이 있는 것을 확인할 수 있습니다. 이 역할은 클러스터를 활성화하기 전에만 존재하는 임시 역할입니다. 클러스터를 활성화하면 활성화되지 않은 관리자 역할이 관리자로 변경됩니다. **클러스터를 활성화하려면** 1. 이전에 시작한 클라이언트 인스턴스에 연결합니다. 자세한 내용은 [와 상호 작용하기 위한 Amazon EC2 클라이언트 인스턴스 시작 AWS CloudHSM](launch-client-instance.md) 단원을 참조하십시오. Linux 인스턴스나 Windows Server를 실행할 수 있습니다. 1. CloudHSM CLI를 대화형 모드에서 실행합니다. ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/cloudhsm-cli interactive ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive ``` ------ 1. (선택 사항) **user list** 명령을 사용하여 기존 사용자를 표시합니다. ``` aws-cloudhsm > user list { "error_code": 0, "data": { "users": [ { "username": "admin", "role": "unactivated-admin", "locked": "false", "mfa": [], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "cluster-coverage": "full" } ] } } ``` 1. **cluster activate** 명령을 사용하여 초기 관리자 암호를 설정합니다. ``` aws-cloudhsm > cluster activate Enter password: Confirm password: { "error_code": 0, "data": "Cluster activation successful" } ``` 암호 워크시트에 새 암호를 적어 두는 것이 좋습니다. 워크시트를 분실하지 마십시오. 암호 워크시트의 복사본을 인쇄하여 중요 HSM 암호를 기록한 다음 안전한 장소에 보관하는 것이 좋습니다. 또한, 안전한 외부 장소에 있는 스토리지에 이 워크시트의 복사본을 보관해두는 것이 좋습니다. 1. (선택 사항) **user list** 명령을 사용하여 사용자 유형이 [관리자/CO](understanding-users-cmu.md#crypto-officer)로 변경되었는지 확인합니다. ``` aws-cloudhsm > user list { "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "cluster-coverage": "full" } ] } } ``` 1. **quit** 명령을 사용하여 CloudHSM CLI 도구를 중지합니다. ``` aws-cloudhsm > quit ``` CloudHSM CLI 또는 CMU와 작업하는 방법에 대한 자세한 내용은 [HSM 사용자 이해](understanding-users.md) 및 [CMU의 HSM 사용자 관리 이해](understand-users.md)를 참조하십시오. # 클라이언트와 간에 상호 TLS 설정 AWS CloudHSM (권장) mTLS 설정(권장) 다음 주제에서는 클라이언트와 간의 상호 전송 계층 보안(mTLS)을 활성화하기 위해 완료해야 하는 단계를 설명합니다 AWS CloudHSM. **고려 사항** + 현재 이 기능은 hsm2m.medium에서만 사용할 수 있습니다. HSM 유형에 대한 자세한 내용은 [AWS CloudHSM 클러스터 모드](cluster-hsm-types.md) 섹션을 참조하세요. + mTLS는와 함께 사용되는 AWS CloudHSM 키 스토어에서는 지원되지 않습니다 AWS Key Management Service. **Topics** + [ ## 1단계. HSM에 트러스트 앵커 생성 및 등록 ](#setup-mtls-create-and-register-trust-anchor) + [ ## 2단계. 에 대해 mTLS 활성화 AWS CloudHSM ](#getting-start-setup-mtl-sdk) + [ ## 3단계. 에 대한 mTLS 적용 설정 AWS CloudHSM ](#getting-start-setup-mtls-enforcement) ## 1단계. HSM에 트러스트 앵커 생성 및 등록 mTLS를 활성화하기 전에 트러스트 앵커를 생성하고 HSM에 등록해야 합니다. 다음 2단계 프로세스로 진행됩니다. **Topics** + [ ### 프라이빗 키 및 자체 서명된 루트 인증서 생성 ](#setup-mtls-create-trust-anchor) + [ ### HSM에 트러스트 앵커 등록 ](#setup-mtls-register-trust-anchor) ### 프라이빗 키 및 자체 서명된 루트 인증서 생성 **참고** 프로덕션 클러스터의 경우 신뢰할 수 있는 임의 소스를 사용하여 안전한 방식으로 키를 생성해야 합니다. 안전한 오프사이트 및 오프라인 HSM이나 이에 상응하는 디바이스를 사용하는 것이 좋습니다. 키를 안전하게 저장하십시오. 개발 및 테스트 중에 원하는 편리한 도구(예: OpenSSL)를 사용하여 키를 만들고 루트 인증서에 자체 서명할 수 있습니다. [mTLS 활성화 AWS CloudHSM](#getting-start-setup-mtl-sdk)에서 클라이언트 인증서에 서명하려면 키와 루트 인증서가 필요합니다. 다음 예제에서는 [OpenSSL](https://www.openssl.org/)을 사용하여 프라이빗 키 및 자체 서명된 루트 인증서를 생성하는 방법을 보여줍니다. **Example — OpenSSL을 사용하여 개인 키를 생성하세요** 다음 명령을 사용하여 AES-256 알고리즘으로 암호화된 4096비트 RSA 키를 생성합니다. 이 예를 사용하려면 **를 키를 저장하려는 파일 이름으로 바꿉니다. ``` $ openssl genrsa -out -aes256 4096 Generating RSA private key, 4096 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) Enter pass phrase for mtls_ca_root_1.key: Verifying - Enter pass phrase for mtls_ca_root_1.key: ``` **Example – OpenSSL을 사용하여 자체 서명된 루트 인증서 생성** 다음 명령을 사용하여 방금 생성한 프라이빗 키에서 `mtls_ca_root_1.crt`라는 자체 서명된 루트 인증서를 생성합니다. 인증서는 25년(9130일) 동안 유효합니다. 화면의 지침을 읽고 프롬프트의 메시지를 따릅니다. ``` $ openssl req -new -x509 -days 9130 -key mtls_ca_root_1.key -out mtls_ca_root_1.crt Enter pass phrase for mtls_ca_root_1.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: ``` ### HSM에 트러스트 앵커 등록 자체 서명된 루트 인증서를 생성한 후 관리자는 이를 AWS CloudHSM 클러스터에 트러스트 앵커로 등록해야 합니다. **HSM에 트러스트 앵커를 등록하려면** 1. 다음 명령을 사용하여 CloudHSM CLI를 시작합니다. ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/cloudhsm-cli interactive ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive ``` ------ 1. CloudHSM CLI를 사용하여 관리자로 로그인합니다. ``` aws-cloudhsm > login --username --role admin Enter password: { "error_code": 0, "data": { "username": "", "role": "admin" } } ``` 1. ** [CloudHSM CLI를 사용하여 트러스트 앵커 등록](cloudhsm_cli-cluster-mtls-register-trust-anchor.md) ** 명령을 사용하여 트러스트 앵커를 등록합니다. 자세한 내용은 다음 예제를 참조하거나 **help cluster mtls register-trust-anchor** 명령을 사용하십시오. **Example - AWS CloudHSM 클러스터에 트러스트 앵커 등록** 다음 예제에서는 CloudHSM CLI에서 **cluster mtls register-trust-anchor** 명령을 사용하여 트러스트 앵커를 HSM에 등록하는 방법을 보여줍니다. 이 명령을 사용하려면 관리자가 HSM에 로그인되어 있어야 합니다. 이 값들을 사용자의 값으로 대체합니다. ``` aws-cloudhsm > cluster mtls register-trust-anchor --path { "error_code": 0, "data": { "trust_anchor": { "certificate-reference": "0x01", "certificate": "", "cluster-coverage": "full" } } } ``` AWS CloudHSM 는 중간 인증서를 트러스트 앵커로 등록할 수 있도록 지원합니다. 이러한 경우 전체 PEM 인코딩 인증서 체인 파일을 계층 순서로 HSM에 등록해야 합니다. AWS CloudHSM 는 6980바이트의 인증서 체인을 지원합니다. 트러스트 앵커를 성공적으로 등록한 후 **cluster mtls list-trust-anchors** 명령을 실행하여 다음과 같이 현재 등록된 트러스트 앵커를 확인할 수 있습니다. ``` aws-cloudhsm > cluster mtls list-trust-anchors { "error_code": 0, "data": { "trust_anchors": [ { "certificate-reference": "0x01", "certificate": "", "cluster-coverage": "full" } ] } } ``` hsm2m.medium에 등록할 수 있는 최대 트러스트 앵커 수는 두 개(2)입니다. ## 2단계. 에 대해 mTLS 활성화 AWS CloudHSM mTLS를 활성화하려면 [HSM에 트러스트 앵커 생성 및 등록](#setup-mtls-create-and-register-trust-anchor)에서 생성한 루트 인증서로 서명된 프라이빗 키와 클라이언트 인증서를 생성한 다음 클라이언트 SDK 5 구성 도구를 사용하여 프라이빗 키 경로와 클라이언트 인증서 체인 경로를 설정해야 AWS CloudHSM합니다. **Topics** + [ ### 프라이빗 키 및 클라이언트 인증서 체인 생성 ](#create-client-ssl) + [ ### 클라이언트 SDK 5용 mTLS 구성 ](#enable-ssl-5) ### 프라이빗 키 및 클라이언트 인증서 체인 생성 **Example — OpenSSL을 사용하여 개인 키를 생성하세요** 다음 명령을 사용하여 4096비트 RSA 키를 생성합니다. 이 예를 사용하려면 **를 키를 저장하려는 파일 이름으로 바꿉니다. ``` $ openssl genrsa -out 4096 Generating RSA private key, 4096 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) ``` **Example - OpenSSL을 사용하여 인증서 서명 요청(CSR) 생성** 다음 명령을 사용하여 OpenSSL용 KeyTool을 사용해 방금 생성한 프라이빗 키에서 인증서 서명 요청(CSR)을 생성합니다. 화면의 지침을 읽고 프롬프트의 메시지를 따릅니다. ``` $ openssl req -new -key -out You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: ``` **Example - 루트 인증서를 사용하여 CSR 서명** 다음 명령을 사용하여 [HSM에 트러스트 앵커 생성 및 등록](#setup-mtls-create-and-register-trust-anchor)에서 생성하고 등록한 루트 인증서로 CSR에 서명하고 `ssl-client.crt`라는 클라이언트 인증서를 생성합니다. 인증서는 5년(1826일) 동안 유효합니다. ``` $ openssl x509 -req -days 1826 -in -CA -CAkey -CAcreateserial -out ``` **Example - 클라이언트 인증서 체인 생성** 다음 명령을 사용하여 [트러스트 앵커 생성 및 HSM에 등록](#setup-mtls-create-and-register-trust-anchor)에서 만들고 등록한 클라이언트 인증서와 루트 인증서를 결합하고 `ssl-client.pem`이라는 클라이언트 인증서 체인을 생성하며, 이는 다음 단계에서 구성하는 데 사용됩니다. ``` $ cat > ``` 중간 인증서를 생성에 [등록하고 트러스트 앵커를 트러스트 앵커로 HSM에 등록](#setup-mtls-create-and-register-trust-anchor)하는 경우 클라이언트 인증서를 전체 인증서 체인과 결합하여 클라이언트 인증서 체인을 생성해야 합니다. ### 클라이언트 SDK 5용 mTLS 구성 클라이언트 SDK 5 구성 도구를 사용하여 올바른 클라이언트 키 경로와 클라이언트 인증서 체인 경로를 제공하여 상호 TLS를 활성화합니다. 클라이언트 SDK 5의 구성 도구에 대한 자세한 내용은 [AWS CloudHSM 클라이언트 SDK 5 구성 도구](configure-sdk-5.md) 섹션을 참조하세요. ------ #### [ PKCS \$111 library ] **Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` $ sudo cp ssl-client.pem $ sudo cp ssl-client.key ``` 1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` $ sudo /opt/cloudhsm/bin/configure-pkcs11 \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` **Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` cp ssl-client.pem cp ssl-client.key ``` 1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ #### [ OpenSSL Dynamic Engine ] **Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` $ sudo cp ssl-client.pem sudo cp ssl-client.key ``` 1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` $ sudo /opt/cloudhsm/bin/configure-dyn \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` ------ #### [ Key Storage Provider (KSP) ] **Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` cp ssl-client.pem cp ssl-client.key ``` 1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ #### [ JCE provider ] **Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` $ sudo cp ssl-client.pem sudo cp ssl-client.key ``` 1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` $ sudo /opt/cloudhsm/bin/configure-jce \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` **Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` cp ssl-client.pem cp ssl-client.key ``` 1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ #### [ CloudHSM CLI ] **Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` $ sudo cp ssl-client.pem sudo cp ssl-client.key ``` 1. 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` $ sudo /opt/cloudhsm/bin/configure-cli \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` **Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-HSM 상호 인증에 사용자 지정 인증서 및 키를 사용하려면** 1. 키와 인증서를 적절한 디렉터리로 복사합니다. ``` cp ssl-client.pem cp ssl-client.key ``` 1. PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 `ssl-client.pem` 및 `ssl-client.key`을 지정합니다. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ ## 3단계. 에 대한 mTLS 적용 설정 AWS CloudHSM 클라이언트 SDK 5 구성 도구를 사용하여를 구성한 후 클라이언트와 간의 연결 AWS CloudHSM 은 클러스터의 상호 TLS가 됩니다. 하지만 구성 파일에서 프라이빗 키 경로와 클라이언트 인증서 체인 경로를 제거하면 연결이 다시 일반 TLS로 전환됩니다. CloudHSM CLI를 사용하여 다음 단계를 완료하여 클러스터에서 mtls 적용을 설정할 수 있습니다. 1. 다음 명령을 사용하여 CloudHSM CLI를 시작합니다. ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/cloudhsm-cli interactive ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive ``` ------ 1. CloudHSM CLI를 사용하여 관리자로 로그인합니다. ``` aws-cloudhsm > login --username --role admin Enter password: { "error_code": 0, "data": { "username": "", "role": "admin" } } ``` **참고** 1. CloudHSM CLI를 구성했는지 확인하고 mTLS 연결에서 CloudHSM CLI를 시작합니다. 2. mTLS 적용을 설정하기 전에 사용자 이름을 **admin**으로 사용하여 기본 관리자로 로그인해야 합니다. 1. ** [CloudHSM CLI를 사용하여 mTLS 적용 수준 설정](cloudhsm_cli-cluster-mtls-set-enforcement.md) ** 명령을 사용하여 적용을 설정합니다. 자세한 내용은 다음 예제를 참조하거나 **help cluster mtls set-enforcement** 명령을 사용하십시오. **Example - AWS CloudHSM 클러스터를 사용하여 mTLS 적용 설정** 다음 예제에서는 CloudHSM CLI에서 **cluster mtls set-enforcement** 명령을 사용하여 HSM으로 mTLS 적용을 설정하는 방법을 보여줍니다. 이 명령을 사용하려면 사용자 이름이 admin인 관리자가 HSM에 로그인되어 있어야 합니다. ``` aws-cloudhsm > cluster mtls set-enforcement --level cluster { "error_code": 0, "data": { "message": "Mtls enforcement level set to Cluster successfully" } } ``` **주의** 클러스터에서 mTLS 사용을 적용하면 기존에 존재하지 않는 모든 연결이 끊어지고 mTLS 인증서가 있는 클러스터에만 연결할 수 있습니다. # 에서 키 생성 및 사용 AWS CloudHSM 새 클러스터에서 키를 생성하고 사용하려면 AWS 먼저 CloudHSM CLI를 사용하여 하드웨어 보안 모듈(HSM) 사용자를 생성합니다. 자세한 내용은 [HSM 사용자 관리 작업 이해](understand-users.md), [ AWS CloudHSM 명령줄 인터페이스(CLI) 시작하기](cloudhsm_cli-getting-started.md) 및 [HSM 사용자 관리 방법을](manage-hsm-users.md) 참조하세요. **참고** 클라이언트 SDK 3을 사용하는 경우 CloudHSM CLI 대신 [CloudHSM 관리 유틸리티(CMU)](cloudhsm_mgmt_util.md)를 사용하십시오. HSM 사용자를 생성한 후 다음 옵션 중 하나를 사용하여 HSM에 로그인하고 키를 관리할 수 있습니다. + [명령줄 도구인 키 관리 유틸리티](key_mgmt_util-getting-started.md) 사용하기 + [PKCS \$111 라이브러리](pkcs11-library.md)를 사용하여 C 애플리케이션 구축하기 + [JCE 공급자](java-library.md)를 사용하여 Java 애플리케이션을 빌드하기 + [명령줄에서 직접 OpenSSL Dynamic Engine](openssl-library.md) 사용하기 + [NGINX 및 Apache 웹 서버](ssl-offload.md)와 함께 TLS 오프로드에 OpenSSL Dynamic Engine 사용하기 + AWS CloudHSM [Microsoft Windows Server 인증 기관(CA)에서 용 키 스토리지 공급자(KSP)](win-ca-overview-sdk5.md) 사용 + [Microsoft Sign Tool](signtool-sdk5.md)을 AWS CloudHSM 사용하여 용 키 스토리지 공급자(KSP) 사용 + TLS 오프로드에 [Internet Information Server(IIS) 웹 서버](ssl-offload.md)와 함께 KSP(Key Storage Provider) 사용