기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS CloudHSM 키 스토어 생성
<a name="create-keystore"></a>

계정에 하나 이상의 AWS CloudHSM 키 스토어를 생성할 수 있습니다. 각 AWS CloudHSM 키 스토어는 동일한 AWS 계정 및 리전에 있는 하나의 AWS CloudHSM 클러스터와 연결됩니다. AWS CloudHSM 키 스토어를 생성하기 전에 [사전 조건을 수집](#before-keystore)해야 합니다. 그런 다음 AWS CloudHSM 키 스토어를 사용하려면 먼저 키 스토어를 AWS CloudHSM 클러스터에 [연결](connect-keystore.md)해야 합니다.

**참고**  
KMS는 IPv6를 통해 AWS CloudHSM 키 스토어와 통신할 수 없습니다.  
연결이 *해제* AWS CloudHSM 된 기존 AWS CloudHSM 키 스토어와 동일한 속성 값을 모두 사용하여 키 스토어를 생성하려고 하면 AWS KMS 가 새 AWS CloudHSM 키 스토어를 생성하지 않으며 예외가 발생하거나 오류가 표시되지 않습니다. 대신는 재시도의 결과로 중복을 AWS KMS 인식하고 기존 AWS CloudHSM 키 스토어의 ID를 반환합니다.  
 AWS CloudHSM 키 스토어를 즉시 연결할 필요는 없습니다. 사용 준비가 될 때까지 연결 해제 상태로 남겨둘 수 있습니다. 하지만 적절하게 구성이 되었는지 확인하기 위해 [이를 연결하고](connect-keystore.md),[ 연결 상태를 확인한 다음](view-keystore.md), [연결 해제](disconnect-keystore.md)하고 싶을 수 있습니다.

**Topics**
+ [사전 조건 수집](#before-keystore)
+ [새 AWS CloudHSM 키 스토어 생성](#create-hsm-keystore)

## 사전 조건 수집
<a name="before-keystore"></a>

각 AWS CloudHSM 키 스토어는 AWS CloudHSM 클러스터에서 지원됩니다. AWS CloudHSM 키 스토어를 생성하려면 다른 키 스토어와 아직 연결되지 않은 활성 AWS CloudHSM 클러스터를 지정해야 합니다. 또한를 사용하여 사용자를 대신하여 키를 생성하고 관리할 AWS KMS 수 있는 클러스터의 HSMs에 전용 CU(Crypto User)를 생성해야 합니다.

 AWS CloudHSM 키 스토어를 생성하기 전에 다음을 수행합니다.

** AWS CloudHSM 클러스터 선택**  
모든 AWS CloudHSM 키 스토어는 [정확히 하나의 AWS CloudHSM 클러스터와 연결됩니다](keystore-cloudhsm.md#concept-cluster). AWS CloudHSM 키 스토어 AWS KMS keys 에서를 생성하면가 ID 및 Amazon 리소스 이름(ARN)과 같은 KMS 키 메타데이터를 AWS KMS 생성합니다 AWS KMS. 그런 다음, 연결 클러스터의 HSM에서 키 구성 요소를 생성합니다. [새 클러스터를 생성 AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)하거나 기존 클러스터를 사용할 수 있습니다. 클러스터에 대한 독점적 액세스 AWS KMS 가 필요하지 않습니다.  
선택한 AWS CloudHSM 클러스터는 AWS CloudHSM 키 스토어와 영구적으로 연결됩니다. AWS CloudHSM 키 스토어를 생성한 후 연결된 [클러스터의 클러스터 ID를 변경할](update-keystore.md) 수 있지만 지정한 클러스터는 백업 기록을 원래 클러스터와 공유해야 합니다. 관련 없는 클러스터를 사용하려면 새 AWS CloudHSM 키 스토어를 생성해야 합니다.  
선택한 AWS CloudHSM 클러스터에는 다음과 같은 특성이 있어야 합니다.  
+ **클러스터는 활성 상태여야 합니다**.

  클러스터를 생성하고, 초기화하고, 플랫폼용 AWS CloudHSM 클라이언트 소프트웨어를 설치한 다음 클러스터를 활성화해야 합니다. 자세한 지침을 보려면 *AWS CloudHSM 사용 설명서*의 [AWS CloudHSM시작](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html)을 참조하세요.
+ **상호 TLS(mTLS)는 활성화되어 있지 않습니다.**

  KMS는 클러스터에 대해 mTLS를 지원하지 않습니다. 이 설정은 활성화해서는 안 됩니다.
+ **클러스터는 키 스토어와 동일한 계정 및 리전에 있어야 합니다**. AWS CloudHSM 한 리전의 AWS CloudHSM 키 스토어를 다른 리전의 클러스터와 연결할 수 없습니다. 여러 리전에서 키 인프라를 생성하려면 각 리전에서 AWS CloudHSM 키 스토어와 클러스터를 생성해야 합니다.
+ **이 클러스터는 동일한 계정 및 리전의 다른 사용자 지정 키 스토어에 연결할 수 없습니다**. 계정 및 리전의 각 AWS CloudHSM 키 스토어는 다른 AWS CloudHSM 클러스터와 연결되어야 합니다. 사용자 지정 키 스토어에 이미 연결되어 있는 클러스터나 연결 클러스터와 백업 기록을 공유하는 클러스터를 지정할 수 없습니다. 백업 기록을 공유하는 클러스터들은 동일한 클러스터 인증서를 가지고 있습니다. 클러스터의 클러스터 인증서를 보려면 AWS CloudHSM 콘솔 또는 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 작업을 사용합니다.

  [AWS CloudHSM 클러스터를 다른 리전으로 백업](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html)하는 경우, 이는 다른 클러스터로 간주되며 백업을 해당 리전의 사용자 지정 키 스토어와 연결할 수 있습니다. 그러나 두 사용자 지정 키 스토어의 KMS 키는 동일한 백업 키가 있더라도 상호 운용할 수 없습니다.는 메타데이터를 사이퍼텍스트에 AWS KMS 바인딩하므로 암호화한 KMS 키로만 복호화할 수 있습니다.
+ 리전에서 **가용 영역이 두 개 이상인** [프라이빗 서브넷](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html)으로 클러스터를 구성해야 합니다. AWS CloudHSM 는 모든 가용 영역에서 지원되지 않으므로 리전의 모든 가용 영역에서 프라이빗 서브넷을 생성하는 것이 좋습니다. 기존 클러스터에 대한 서브넷을 재구성할 수는 없지만, 클러스터 구성에서 서브넷을 서로 달리하여 [백업으로부터 클러스터를 생성](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)할 수 있습니다.
**중요**  
 AWS CloudHSM 키 스토어를 생성한 후에는 AWS CloudHSM 클러스터에 대해 구성된 프라이빗 서브넷을 삭제하지 마십시오. 가 클러스터 구성에서 모든 서브넷을 찾을 AWS KMS 수 없는 경우 사용자 [지정 키 스토어에 대한 연결](connect-keystore.md) 시도가 실패하고 `SUBNET_NOT_FOUND` 연결 오류 상태가 됩니다. 자세한 내용은 [연결 오류를 수정하는 방법](fix-keystore.md#fix-keystore-failed)을 참조하세요.
+ [클러스터용 보안 그룹](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html)(`cloudhsm-cluster-<cluster-id>-sg`)은 포트 2223\$12225에서 IPv4를 통한 TCP 트래픽을 허용하는 인바운드 규칙과 아웃바운드 규칙을 포함해야 합니다. 인바운드 규칙의 **소스**와 아웃바운드 규칙의 **대상**이 보안 그룹 ID와 일치해야 합니다. 이들 규칙은 클러스터를 생성할 때 기본적으로 설정됩니다. 삭제하거나 변경하지 마세요.
+ **클러스터는 서로 다른 가용 영역에 활성 HSM을 최소 2개 포함하고 있어야 합니다**. HSMs 수를 확인하려면 AWS CloudHSM 콘솔 또는 [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 작업을 사용합니다. 필요한 경우 [HSM을 추가](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm)할 수 있습니다.

**트러스트 앵커 인증서 찾기**  
사용자 지정 키 스토어를 생성할 때 AWS CloudHSM 클러스터의 트러스트 앵커 인증서를에 업로드해야 합니다 AWS KMS. AWS CloudHSM 키 스토어를 연결된 AWS CloudHSM 클러스터에 연결하려면 트러스트 앵커 인증서가 AWS KMS 필요합니다.  
모든 활성 AWS CloudHSM 클러스터에는 *트러스트 앵커 인증서*가 있습니다. [클러스터를 초기화](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)할 때 이러한 인증서를 생성해서 `customerCA.crt` 파일에 저장하고 클러스터를 연결하는 호스트에 이를 복사합니다.

**에 대한 `kmsuser` 암호화 사용자 생성 AWS KMS**  <a name="kmsuser-concept"></a>
 AWS CloudHSM 키 스토어를 관리하려면가 선택한 클러스터의 [`kmsuser` CU(Crypto User](keystore-cloudhsm.md#concept-kmsuser)) 계정에 AWS KMS 로그인합니다. AWS CloudHSM 키 스토어를 생성하기 전에 `kmsuser` CU를 생성해야 합니다. 그런 다음 AWS CloudHSM 키 스토어를 생성할 때에 대한 암호를 제공합니다`kmsuser` AWS KMS. AWS CloudHSM 키 스토어를 연결된 AWS CloudHSM 클러스터에 연결할 때마다는 로 AWS KMS 로그인`kmsuser`하고 `kmsuser` 암호를 교체합니다.  
`kmsuser` CU를 생성할 때 `2FA` 옵션을 지정해서는 안 됩니다. 이렇게 하면 AWS KMS 가 로그인할 수 없으며 AWS CloudHSM 키 스토어를이 AWS CloudHSM 클러스터에 연결할 수 없습니다. 일단 2FA를 지정하면 실행 취소를 할 수 없습니다. 대신에 CU를 삭제한 다음 다시 생성해야 합니다.
**참고**  
다음 절차에서는 AWS CloudHSM 클라이언트 SDK 5 명령줄 도구인 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)를 사용합니다. CloudHSM CLI에서 `key-handle`을 `key-reference`로 대체합니다.  
2025년 1월 1일에 AWS CloudHSM 는 클라이언트 SDK 3 명령줄 도구, CloudHSM 관리 유틸리티(CMU) 및 키 관리 유틸리티(KMU)에 대한 지원을 종료합니다. Client SDK 3 명령줄 도구와 Client SDK 5 명령줄 도구의 차이점에 대한 자세한 내용은 *AWS CloudHSM 사용 설명서*의 [클라이언트 SDK 3 CMU 및 KMU에서 클라이언트 SDK 5 CloudHSM CLI로 마이그레이션](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)을 참조하세요.

1. *AWS CloudHSM 사용 설명서*의 [ CloudHSM 명령줄 인터페이스(CLI) 시작하기](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) 항목에 설명된 시작 절차를 따릅니다.

1. [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) 명령을 사용하여 `kmsuser`라는 CU를 생성합니다.

   암호는 7\$132자의 영숫자로만 구성되어야 합니다. 대소문자가 구분되며 어떤 특수 문자도 포함해서는 안 됩니다.

   다음 예제 명령은 `kmsuser` CU를 생성합니다.

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## 새 AWS CloudHSM 키 스토어 생성
<a name="create-hsm-keystore"></a>

[사전 조건을 수집한](#before-keystore) 후 AWS KMS 콘솔에서 또는 [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) 작업을 사용하여 새 AWS CloudHSM 키 스토어를 생성할 수 있습니다.

### AWS KMS 콘솔 사용
<a name="create-keystore-console"></a>

에서 AWS CloudHSM 키 스토어를 생성할 때 워크플로의 일부로 [사전 조건을](#before-keystore) 추가하고 생성할 AWS Management Console수 있습니다. 그러나 이들을 미리 수집하면 프로세스가 더 빨라집니다.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.

1. 탐색 창에서 **Custom key stores**(사용자 지정 키 스토어), **AWS CloudHSM key stores**를 선택합니다.

1. **키 스토어 생성**을 선택합니다.

1. 기억하기 쉬운 사용자 지정 키 스토어 이름을 입력합니다. 이름은 계정의 모든 사용자 지정 키 스토어에서 고유해야 합니다.
**중요**  
이 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.

1.  AWS CloudHSM 키 스토어의 [AWS CloudHSM 클러스터](keystore-cloudhsm.md#concept-cluster)를 선택합니다. 또는 새 AWS CloudHSM 클러스터를 생성하려면 **클러스터 생성 AWS CloudHSM ** 링크를 선택합니다.

   메뉴에는 아직 AWS CloudHSM 키 스토어와 연결되지 않은 계정 및 리전의 AWS CloudHSM 클러스터가 표시됩니다. 사용자 지정 키 스토어를 연결하려면 클러스터가 [요구 사항을 충족](#before-keystore)해야 합니다.

1. **파일 선택을** 선택한 다음 선택한 AWS CloudHSM 클러스터에 대한 트러스트 앵커 인증서를 업로드합니다. 이것은 [클러스터를 초기화](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr)할 때 생성한 `customerCA.crt` 파일입니다.

1. 선택한 클러스터에서 생성한 [`kmsuser` CU(Crypto User)](keystore-cloudhsm.md#concept-kmsuser)의 암호를 입력합니다.

1. **생성(Create)**을 선택합니다.

프로시저가 성공하면 계정 및 리전의 AWS CloudHSM AWS CloudHSM 키 스토어 목록에 새 키 스토어가 나타납니다. 절차가 실패하면 오류 메시지가 나타나서 문제를 설명하고 이를 수정할 수 있는 방법에 대한 도움말을 제공합니다. 도움이 더 필요한 경우 [사용자 지정 키 스토어 문제 해결](fix-keystore.md) 섹션을 참조하십시오.

연결이 *해제* AWS CloudHSM 된 기존 AWS CloudHSM 키 스토어와 동일한 속성 값을 모두 사용하여 키 스토어를 생성하려고 하면 AWS KMS 가 새 AWS CloudHSM 키 스토어를 생성하지 않으며 예외가 발생하거나 오류가 표시되지 않습니다. 대신는 재시도의 결과로 중복을 AWS KMS 인식하고 기존 AWS CloudHSM 키 스토어의 ID를 반환합니다.

**다음**: 새 AWS CloudHSM 키 스토어는 자동으로 연결되지 않습니다. AWS CloudHSM 키 스토어 AWS KMS keys 에서를 생성하려면 먼저 사용자 [지정 키 스토어를 연결된 클러스터에 연결](connect-keystore.md)해야 합니다. AWS CloudHSM 

### AWS KMS API 사용
<a name="create-keystore-api"></a>

[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html) 작업을 사용하여 계정 및 리전의 AWS CloudHSM 클러스터와 연결된 새 AWS CloudHSM 키 스토어를 생성할 수 있습니다. 이 예제들은 AWS Command Line Interface (AWS CLI)를 사용하지만, 사용자는 어떤 지원되는 프로그래밍 언어라도 사용할 수 있습니다.

`CreateCustomKeyStore` 작업에서는 다음과 같은 파라미터 값이 필요합니다.
+ CustomKeyStoreName – 계정에서 고유한 기억하기 쉬운 사용자 지정 키 스토어의 이름입니다.
**중요**  
이 필드에 기밀 또는 민감한 정보를 포함하지 마십시오. 이 필드는 CloudTrail 로그 및 기타 출력에 일반 텍스트로 표시될 수 있습니다.
+ CloudHsmClusterId - AWS CloudHSM 키 스토어[에 대한 요구 사항을 충족하는](#before-keystore) 클러스터의 AWS CloudHSM 클러스터 ID입니다.
+ KeyStorePassword – 지정된 클러스터의 `kmsuser` CU 계정 암호입니다.
+ TrustAnchorCertificate – [클러스터를 초기화](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html)할 때 생성한 `customerCA.crt` 파일의 내용입니다.

다음 예제는 가상의 클러스터 ID를 사용합니다. 명령을 실행하기 전에 유효한 클러스터 ID로 이를 바꿉니다.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

를 사용하는 경우 콘텐츠 대신 트러스트 앵커 인증서 파일을 지정할 AWS CLI수 있습니다. 다음 예제에서 `customerCA.crt` 파일은 루트 디렉터리에 있습니다.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

작업이 성공하면 `CreateCustomKeyStore`가 사용자 지정 키 스토어 ID를 반환합니다(다음 예제 응답 참조).

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

작업이 실패할 경우 예외로 표시된 오류를 정정하고 다시 시도해보세요. 추가적인 도움말은 [사용자 지정 키 스토어 문제 해결](fix-keystore.md) 섹션을 참조하십시오.

연결이 *해제* AWS CloudHSM 된 기존 AWS CloudHSM 키 스토어와 동일한 속성 값을 모두 사용하여 키 스토어를 생성하려고 하면 AWS KMS 가 새 AWS CloudHSM 키 스토어를 생성하지 않으며 예외가 발생하거나 오류가 표시되지 않습니다. 대신는 재시도의 결과로 중복을 AWS KMS 인식하고 기존 AWS CloudHSM 키 스토어의 ID를 반환합니다.

**다음**: AWS CloudHSM 키 스토어를 사용하려면 [AWS CloudHSM 클러스터에 연결합니다](connect-keystore.md).