기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudHSM 작동 방식
이 주제에서는 데이터를 안전하게 암호화하고 자체 Amazon Virtual Private Cloud(VPC)의 HSMs. AWS CloudHSM operates에서 암호화 작업을 수행하는 데 사용하는 기본 개념과 아키텍처에 대한 개요를 제공합니다. 를 사용하려면 AWS CloudHSM먼저 클러스터를 생성하고, 클러스터에 HSMs 추가하고, 사용자 및 키를 생성한 다음 클라이언트 SDKs 사용하여 HSMs 애플리케이션과 통합합니다. 이 작업이 완료되면 클라이언트 SDK 로그, AWS CloudTrail감사 로그 및 Amazon CloudWatch를 사용하여 [모니터링합니다 AWS CloudHSM](get-logs.md).
기본 개념과 이러한 개념 AWS CloudHSM이 함께 작동하여 데이터를 보호하는 방법을 알아봅니다.
**Topics**
+ [AWS CloudHSM 클러스터](clusters.md)
+ [의 사용자 AWS CloudHSM](hsm-users.md)
+ [의 키 AWS CloudHSM](whatis-hsm-keys.md)
+ [SDKs AWS CloudHSM](client-tools-and-libraries.md)
+ [AWS CloudHSM 클러스터 백업](backups.md)
+ [에 지원되는 리전 AWS CloudHSM](regions.md)
# AWS CloudHSM 클러스터
개별 HSMs 동기화되고 중복되며 가용성이 높은 방식으로 함께 작동하도록 만드는 AWS CloudHSM 것은 어려울 수 있지만 *클러스터*에 하드웨어 보안 모듈(HSMs)을 제공하여 부담을 덜어줍니다. 클러스터는 동기화된 AWS CloudHSM 상태로 유지되는 개별 HSMs의 모음입니다. 클러스터에서 하나의 HSM에 대해 과업 또는 작업을 수행하면 해당 클러스터의 다른 HSM이 자동으로 최신 상태로 유지됩니다.
AWS CloudHSM 는 *FIPS*와 *비 FIPS*의 두 가지 모드로 클러스터를 제공합니다. FIPS 모드에서는 연방 정보 처리 표준(FIPS) 검증 키 및 알고리즘만 사용할 수 있습니다. 비 FIPS 모드는 FIPS 승인과 AWS CloudHSM관계없이에서 지원하는 모든 키와 알고리즘을 제공합니다.는 *hsm1.medium과 hsm**2m.medium*이라는 두 가지 유형의 HSMs AWS CloudHSM 도 제공합니다. 각 HSM 유형과 클러스터 모드의 차이점에 대한 자세한 내용은 [AWS CloudHSM 클러스터 모드](cluster-hsm-types.md) 섹션을 참조하세요. *hsm1.medium* HSM 유형이 지원 종료에 도달하여 이 유형으로 새 클러스터를 생성할 수 없습니다. 자세한 내용은 [Deprecation notifications](compliance-dep-notif.md#hsm-dep-1)를 참조하세요.
가용성, 내구성 및 확장성 목표를 충족하려면 여러 가용 영역에 걸쳐 클러스터의 HSM 수를 설정합니다. 1\$128HSMs이 있는 클러스터를 생성할 수 있습니다([기본 제한](limits.md)은 [AWS 리전](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)당 AWS 계정당 6HSMs임). AWS 리전의 서로 다른 [가용 영역에](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html) HSMs을 배치할 수 있습니다. 클러스터에 더 많은 HSM을 추가하면 성능이 향상됩니다. 가용 영역에 클러스터를 분산하면 중복성 및 고가용성이 제공됩니다.
클러스터에 대한 자세한 내용은 [의 클러스터 AWS CloudHSM](manage-clusters.md) 섹션을 참조하십시오.
클러스터를 생성하려면 [시작하기](getting-started.md) 섹션을 참조하십시오.
# 의 사용자 AWS CloudHSM
대부분의 AWS 서비스 및 리소스와 달리 AWS Identity and Access Management (IAM) 사용자 또는 IAM 정책을 사용하여 AWS CloudHSM 클러스터 내의 리소스에 액세스하지 않습니다. 대신 AWS CloudHSM 클러스터의 *HSM에서 직접 HSM 사용자를* 사용합니다. HSMs
HSM 사용자는 IAM 사용자와 다릅니다. 올바른 자격 증명을 보유한 IAM 사용자는 AWS API를 통해 리소스와 상호 작용하여 HSM을 생성할 수 있습니다. E2E 암호화는 AWS에서 볼 수 없으므로 자격 증명은 HSM에서 직접 수행되기 때문에 HSM 사용자 자격 증명을 사용하여 HSM에서 작업을 인증해야 합니다. HSM은 사용자가 정의하고 관리하는 자격 증명을 사용하여 각 HSM 사용자를 인증합니다. 각 HSM 사용자에게는 사용자가 HSM에서 수행할 수 있는 작업을 결정하는 *유형*이 있습니다. 각 HSM은 [CloudHSM CLI](cloudhsm_cli.md)를 사용하여 정의한 자격 증명을 통해 각 HSM 사용자를 인증합니다.
[이전 SDK 버전 시리즈](choose-client-sdk.md)를 사용하는 경우 [CloudHSM 관리 유틸리티(CMU)](cloudhsm_mgmt_util.md)를 사용하게 됩니다.
# 의 키 AWS CloudHSM
AWS CloudHSM 를 사용하면 AWS CloudHSM 클러스터에 있는 단일 테넌트 HSMs에서 암호화 키를 안전하게 생성, 저장 및 관리할 수 있습니다. 키는 대칭 또는 비대칭일 수 있고, 단일 세션의 세션 키(임시 키), 장기 사용을 위한 토큰 키(영구 키)일 수 있으며, AWS CloudHSM 키에서 내보내고 키로 가져올 수도 있습니다.
+ 대칭 및 비대칭 암호화 알고리즘을 모두 사용하여 암호화 데이터 서명 및 서명 검증을 수행합니다.
+ 해시 함수를 사용하여 컴퓨팅 메시지 다이제스트 및 해시 기반 메시지 인증 코드(HMAC)를 계산합니다.
+ 다른 키를 래핑하고 보호합니다.
+ 암호로 임의 보안 데이터에 액세스합니다.
클러스터 내 최대 키는 클러스터에 있는 HSM 유형에 따라 달라집니다. 예를 들어 hsm2m.medium은 hsm1,medium보다 더 많은 키를 저장합니다. 비교 내용은 [AWS CloudHSM 할당량](limits.md) 섹션을 참조하세요.
또한는 키 사용 및 관리에 대한 몇 가지 기본 원칙을 AWS CloudHSM 따릅니다.
**선택할 수 있는 다양한 키 유형 및 알고리즘**
자체 솔루션을 사용자 지정할 수 있도록 AWS CloudHSM 는 다양한 키 유형과 알고리즘 중에서 선택할 수 있는 알고리즘이 다양한 키 크기를 지원합니다. 자세한 내용은 각 [AWS CloudHSM 클라이언트 SDKs 사용한 오프로드 작업](use-hsm.md) 속성 및 메커니즘 페이지를 참조하십시오.
**키 관리 방법**
AWS CloudHSM 키는 SDKs 및 명령줄 도구를 통해 관리됩니다. 이러한 도구를 사용하여 키를 관리하는 방법에 대한 자세한 내용은 [의 키 AWS CloudHSM](manage-keys.md) 및 [의 모범 사례 AWS CloudHSM](best-practices.md)를 참조하십시오.
**키 소유자**
에서는 키를 생성하는 AWS CloudHSM CU(Crypto User)가 키를 소유합니다. 소유자는 **key share** 및 **key unshare** 명령을 사용하여 다른 CU와 키를 공유하고 공유를 해제할 수 있습니다. 자세한 내용은 [CloudHSM CLI를 사용하여 키 공유 및 공유 해제](manage-keys-cloudhsm-cli-share.md) 섹션을 참조하십시오.
**속성 기반 암호화로 액세스 및 사용을 제어할 수 있습니다.**
AWS CloudHSM 를 사용하면 키 속성을 사용하여 정책에 따라 데이터를 복호화할 수 있는 사용자를 제어할 수 있는 암호화 형태인 속성 기반 암호화를 사용할 수 있습니다.
# SDKs AWS CloudHSM
를 사용할 때 [AWS CloudHSM 클라이언트 소프트웨어 개발 키트(SDKs)](use-hsm.md)를 사용하여 암호화 작업을 AWS CloudHSM수행합니다. AWS CloudHSM 클라이언트 SDKs 포함됩니다.
+ 퍼블릭 키 암호화 표준 \$111(PKCS \$111)
+ JCE 공급자
+ OpenSSL Dynamic Engine
+ Microsoft Windows용 KSP(Key Storage Provider)
AWS CloudHSM 클러스터에서 이러한 SDKS 중 일부 또는 전부를 사용할 수 있습니다. 이러한 SDK를 사용하여 HSM에서 암호화 작업을 수행하도록 애플리케이션 코드를 작성합니다. 각 SDK를 지원하는 플랫폼 및 HSM 유형은 [AWS CloudHSM 클라이언트 SDK 5 지원 플랫폼](client-supported-platforms.md) 섹션을 참조하세요
유틸리티와 명령줄 도구는 SDK를 사용할 뿐만 아니라 애플리케이션의 자격 증명, 정책 및 설정 구성에도 필요합니다. 자세한 정보는 [AWS CloudHSM 명령줄 도구](command-line-tools.md) 섹션을 참조하십시오.
클라이언트 SDK 설치 및 사용 또는 클라이언트 연결 보안에 대한 자세한 내용은 [클라이언트 SDK](use-hsm.md) 및 [종단 간 암호화](client-end-to-end-encryption.md)를 참조하십시오.
# AWS CloudHSM 클러스터 백업
AWS CloudHSM 는 클러스터의 사용자, 키 및 정책을 주기적으로 백업합니다. 백업은 안전하고 내구성이 뛰어나며 예측 가능한 일정에 따라 업데이트됩니다. 다음 그림에서는 백업과 클러스터의 관계를 보여줍니다.
![\[AWS CloudHSM 서비스 제어 Amazon S3 버킷에서 암호화된 클러스터 백업입니다.\]](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/images/cluster-backup.png)
백업 작업에 대한 자세한 내용은 [클러스터 백업](manage-backups.md)을 참조하십시오.
**보안**
AWS CloudHSM 가 HSM에서 백업을 수행하면 HSM은 데이터를 전송하기 전에 모든 데이터를 암호화합니다 AWS CloudHSM. 해당 데이터는 HSM을 일반 텍스트 형식으로 두지 않습니다. 또한는 백업을 해독하는 데 사용되는 키에 액세스할 수 AWS 없으므로에서 백업을 해독할 수 AWS 없습니다. 자세한 내용은 [클러스터 백업의 보안](data-protection-backup-security.md) 섹션을 참조하세요.
**내구성**
AWS CloudHSM 는 클러스터와 동일한 리전의 서비스 제어 Amazon Simple Storage Service(Amazon S3) 버킷에 백업을 저장합니다. 백업의 내구성 수준은 99.999999999%이며, 이는 Amazon S3에 저장된 모든 객체와 동일합니다.
# 에 지원되는 리전 AWS CloudHSM
에 지원되는 리전에 대한 자세한 내용은의 [AWS CloudHSM 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) *AWS 일반 참조*또는 [리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 AWS CloudHSM참조하세요.
AWS CloudHSM 지정된 리전의 일부 가용 영역에서는를 사용하지 못할 수 있습니다. 그러나 클러스터의 모든 HSMs에서가 AWS CloudHSM 자동으로 로드 밸런싱되므로 성능에는 영향을 미치지 않습니다.
대부분의 AWS 리소스와 마찬가지로 클러스터와 HSMs은 리전 리소스입니다. 리전을 교차하여 클러스터를 재사용하거나 확장할 수 없습니다. 새 리전에서 클러스터를 생성하려면 [시작하기 AWS CloudHSM](getting-started.md)에 나열된 모든 필수 단계를 수행해야 합니다.
재해 복구를 위해를 AWS CloudHSM 사용하면 AWS CloudHSM 클러스터의 백업을 한 리전에서 다른 리전으로 복사할 수 있습니다. 자세한 내용은 [AWS CloudHSM 클러스터 백업](backups.md) 단원을 참조하십시오.