AWS CloudHSM FAQ

Q: AWS CloudHSM이란 무엇입니까?

AWS CloudHSM 서비스는 AWS 클라우드 내에서 전용 HSM(Hardware Security Module) 인스턴스를 사용함으로써 데이터 보안에 대한 기업, 계약 및 규제 준수 요구 사항을 충족하는 데 도움이 됩니다. AWS와 AWS Marketplace 파트너는 AWS 플랫폼의 중요한 데이터를 보호하기 위한 다양한 솔루션을 제공하지만, 암호화 키 관리에 대한 계약 또는 규제 요건이 적용되는 일부 애플리케이션과 데이터의 경우 추가 보호가 필요할 수 있습니다. CloudHSM은 기존의 데이터 보호 솔루션을 보완합니다. 이를 통해 사용자는 안전한 키 관리를 위한 정부 표준에 따라 설계되고 검증된 HSM 내에서 암호화 키를 보호할 수 있습니다. CloudHSM을 사용하면 데이터 암호화에 사용되는 암호화 키를 사용자만 액세스할 수 있는 방법으로 안전하게 생성, 보관 및 관리할 수 있습니다.

Q: HSM(하드웨어 보안 모듈)이란 무엇입니까?

HSM(하드웨어 보안 모듈)은 변조 방지 하드웨어 디바이스 내에서 안전한 키 스토리지와 암호화 작업을 제공합니다. HSM은 암호화 키 자료를 안전하게 저장하고 해당 키 자료를 하드웨어의 암호화 경계 외부에 노출하지 않고 사용하도록 설계되었습니다.

Q: CloudHSM으로 할 수 있는 작업은 무엇입니까?

CloudHSM 서비스를 사용하여 데이터베이스 암호화, 디지털 권한 관리(DRM), 공개 키 인프라(PKI), 인증 및 권한 부여, 문서 서명, 트랜잭션 처리 등과 같은 다양한 사용 사례와 애플리케이션을 지원할 수 있습니다.

Q: CloudHSM은 어떻게 작동합니까?

AWS CloudHSM 서비스를 사용할 때 CloudHSM 클러스터를 생성합니다. 클러스터는 리전 내 여러 가용 영역에 걸쳐 다수의 HSM을 포함할 수 있습니다. 클러스터의 HSM은 자동으로 동기화되고 로드밸런싱됩니다. 고객은 클러스터의 각 HSM에 대해 전용 단일 테넌트 액세스를 제공받게 됩니다. 각 HSM은 Amazon Virtual Private Cloud(VPC)에서 네트워크 리소스로 표시됩니다. AWS CloudHSM API를 한 번만 호출하거나 명령줄에서 AWS CLI를 사용하여 클러스터에서 HSM을 추가하고 제거할 수 있습니다. CloudHSM 클러스터를 생성 및 시작한 후 애플리케이션이 인증된 보안 네트워크 연결을 통해 클러스터를 사용할 수 있도록 EC2 인스턴스에 클라이언트를 구성할 수 있습니다.

이 서비스는 HSM의 상태를 자동으로 모니터링하지만 AWS 직원은 고객의 키 또는 데이터에 액세스할 수 없습니다. 애플리케이션은 애플리케이션 인스턴스에 설치된 HSM 클라이언트 소프트웨어와 함께 표준 암호화 API를 사용하여 암호화 요청을 HSM으로 전송합니다. 클라이언트 소프트웨어는 클러스터의 모든 HSM에 대한 보안 채널을 유지 관리하며, 이 채널을 통해 요청을 전송합니다. HSM은 보안 채널을 통해 작업을 수행하고 결과를 반환합니다. 그런 다음 클라이언트에서 암호화 API를 통해 결과를 애플리케이션으로 반환합니다.

Q: 현재 VPC가 없습니다. 그래도 AWS CloudHSM을 사용할 수 있습니까?

아니요. 사용자의 AWS CloudHSM을 다른 Amazon 고객으로부터 보호하고 격리하기 위해 VPC 내에 CloudHSM이 프로비저닝되어 있어야 합니다. VPC는 간단하게 생성할 수 있습니다. 자세한 정보는 VPC 시작 안내서를 참조하십시오.

Q: 내 애플리케이션은 CloudHSM 클러스터와 동일한 VPC에 상주해야 합니까?

아니요. 그러나 애플리케이션 및 HSM 클라이언트가 실행되고 있는 서버 또는 인스턴스는 클러스터의 모든 HSM에 네트워크(IP)로 연결되어 있어야 합니다. 동일한 VPC에서 애플리케이션을 운영하거나, VPC 피어링을 사용하거나, VPN 연결을 사용하거나, Direct Connect를 사용하는 등 여러 가지 방법으로 애플리케이션에서 HSM으로의 네트워크 연결을 구축할 수 있습니다. 자세한 내용은 VPC 피어링 설명서 및 VPC 사용 설명서를 참조하십시오.

Q: CloudHSM은 온프레미스 HSM과 연동됩니까?

예. CloudHSM은 온프레미스 HSM과 직접적으로 상호 운영되지 않지만, 몇 가지 지원되는 RSA 키 래핑 방법 중 하나를 사용하여 CloudHSM과 대부분의 상용 HSM 간에 내보내기 가능한 키를 안전하게 전송할 수 있습니다.   

Q: 내 애플리케이션에서 CloudHSM을 사용하려면 어떻게 해야 합니까?

AWS에서는 SSL 오프로드를 위해 Oracle Database 11g 및 12c, 웹 서버(Apache, Nginx 등)와 같은 여러 타사 소프트웨어 솔루션과 CloudHSM을 통합하고 테스트해왔습니다. 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

자체 사용자 지정 애플리케이션을 개발하는 경우에는 PKCS#11과 Java JCA/JCE(Java Cryptography Architecture/Java Cryptography Extensions)를 비롯하여 CloudHSM에서 지원하는 표준 API, 또는 Microsoft CAPI/CNG를 애플리케이션에 사용할 수 있습니다. 샘플 코드 및 시작 도움말은 CloudHSM 사용 설명서를 참조하십시오.

CloudHSM Classic 또는 온프레미스 HSM에서 CloudHSM으로 기존 워크로드를 이전하는 경우 CloudHSM 마이그레이션 안내서에서 마이그레이션을 계획하고 실행하는 방법에 대한 정보를 참조할 수 있습니다.

Q: CloudHSM을 사용하여 다른 AWS 서비스에서 사용하는 키를 저장하거나 데이터를 암호화할 수 있습니까?

예. CloudHSM가 통합된 애플리케이션에서는 모든 암호화를 수행할 수 있습니다. 이 경우 Amazon S3 또는 Amazon EBS(Elastic Block Store)와 같은 AWS 서비스는 암호화된 데이터만 보게 됩니다.

Q: 다른 AWS 서비스에서 CloudHSM을 사용하여 키를 저장하고 관리할 수 있습니까?

AWS 서비스는 AWS Key Management Service와 통합되며, 이는 다시 KMS 사용자 지정 키 스토어 기능을 통해 AWS CloudHSM와 통합됩니다. 여러 AWS 서비스(예: EBS, S3 또는 Amazon RDS)에서 제공하는 서버 측 암호화를 사용하려는 경우 AWS KMS의 사용자 지정 키를 구성해야 암호화를 사용할 수 있습니다.

Q: CloudHSM을 PIN(개인 식별 번호) 블록 변환 또는 직불 거래에 사용되는 기타 암호화 작업을 수행하는 데 사용할 수 있습니까?

현재 CloudHSM에서는 범용 HSM을 제공합니다. 추후에 결제 기능이 제공될 수도 있습니다. 이 기능에 관심이 있는 경우 AWS에 문의해 주십시오.

Q: CloudHSM을 시작하려면 어떻게 해야 합니까?

CloudHSM 콘솔에서 또는 AWS SDK나 API를 통한 API 호출 몇 번으로 CloudHSM 클러스터를 프로비저닝할 수 있습니다. 시작하기에 대한 자세한 내용은 CloudHSM 사용 설명서를, CloudHSM API에 대한 자세한 내용은 CloudHSM 설명서를, 그리고 SDK에 대한 자세한 내용은 Amazon Web Services용 도구 페이지를 참조하십시오.

Q: CloudHSM 서비스를 종료하려면 어떻게 해야 합니까?

CloudHSM 콘솔, API 또는 SDK를 사용하여 HSM을 삭제하고 서비스 사용을 중단할 수 있습니다. 자세한 지침은 CloudHSM 사용 설명서를 참조하십시오.

Q: AWS CloudHSM 서비스의 사용료는 어떻게 부과되고 청구됩니까?

CloudHSM 클러스터에 HSM이 프로비저닝된 각 시간(또는 부분 시간)에 대해 시간당 비용이 부과됩니다. HSM이 없는 클러스터에는 요금이 청구되지 않으며, AWS의 암호화된 백업용 자동 스토리지에도 요금이 청구되지 않습니다. 자세한 내용은 CloudHSM 요금 페이지를 참조하십시오. HSM에서 발생하는 네트워크 데이터 전송에는 요금이 별도로 부과됩니다. 자세한 내용은 EC2의 데이터 전송 요금을 참조하십시오.

Q: CloudHSM 서비스에 대한 프리 티어가 있습니까?

아니요. CloudHSM는 프리 티어로 제공되지 않습니다.

Q: HSM에 생성하는 사용자 또는 키 수에 따라 요금이 달라집니까?

아니요. 리전별로 다른 시간당 요금은 HSM 사용량에 따라 달라지지 않습니다.

Q: CloudHSM에 예약 인스턴스 요금을 제공합니까?

아니요. CloudHSM에는 예약 인스턴스 요금을 제공하지 않습니다.

Q: CloudHSM 사용을 위한 사전 조건이 있습니까?

예. CloudHSM을 사용하려면 CloudHSM 서비스를 사용하려는 리전 내에 Virtual Private Cloud(VPC)가 있어야 하는 등, 몇 가지 사전 조건이 있습니다. 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: 내 HSM의 펌웨어를 관리해야 합니까?

AWS에서 하드웨어의 펌웨어를 관리합니다. 펌웨어는 타사에서 유지 관리하며, 모든 펌웨어는 FIPS 140-2 레벨 3 규정을 준수하는지 NIST의 검증을 받아야 합니다. FIPS 키에 의해 암호화 방식으로 서명된 펌웨어만 설치할 수 있으며, AWS는 이 키에 대한 액세스 권한이 없습니다.

Q: CloudHSM 클러스터에 HSM을 몇 개까지 추가할 수 있습니까?

AWS에서는 프로덕션 워크로드의 경우 2개의 서로 다른 가용 영역에서 2개 이상의 HSM을 사용할 것을 권장합니다. 미션 크리티컬 워크로드의 경우, 2개 이상의 개별 AZ에서 3개 이상의 HSM을 사용할 것을 권장합니다. CloudHSM 클라이언트는 자동으로 HSM 장애를 처리하고 애플리케이션에 대한 로드를 2개 이상의 HSM 간에 투명하게 밸런싱합니다.

Q: 키 내구성에 대한 책임은 누구에게 있습니까?

AWS는 매일 CloudHSM 클러스터의 암호화된 자동 백업을 수행하고, 클러스터 수명 주기 이벤트(HSM 추가 또는 제거 등)가 발생하면 추가 백업을 수행합니다. 백업과 백업 사이의 24시간 기간에는 사용자가 클러스터에 생성되거나 클러스터로 가져온 키 자료의 내구성을 모두 책임집니다. 키의 내구성을 보장하기 위해서는 생성된 모든 키가 2개의 서로 다른 가용 영역에서 2개 이상의 HSM으로 동기화되도록 하는 것이 좋습니다. 키 동기화 확인에 대한 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: 고가용성(HA) 구성을 설정하려면 어떻게 해야 합니까?

CloudHSM 클러스터에 2개 이상의 HSM을 구성하면 고가용성이 자동으로 제공됩니다. 추가 구성은 필요하지 않습니다. 클러스터의 HSM에 장애가 발생하면, 프로세스 중단 없이 해당 HSM이 자동으로 교체되고 새로운 구성이 반영되도록 모든 클라이언트가 업데이트됩니다. AWS API 또는 SDK를 통해 클러스터에 HSM을 추가하면 애플리케이션 중단 없이 가용성을 높일 수 있습니다.

Q: CloudHSM 클러스터에 HSM을 몇 개까지 포함할 수 있습니까?

계정 서비스 제한에 따라 CloudHSM 클러스터 하나에 최대 28개의 HSM을 포함할 수 있습니다. 서비스 한도 및 한도 증가 요청 방법은 온라인 설명서에서 자세히 알아볼 수 있습니다.

Q: CloudHSM의 콘텐츠를 백업할 수 있습니까?

CloudHSM 클러스터는 AWS에서 매일 백업하고 있습니다. 키는 ‘내보내기 불가’로 생성되지 않은 한, 클러스터에서 내보내어("래핑") 온프레미스에 저장할 수도 있습니다.

Q: CloudHSM에 대한 SLA가 있습니까?

예. 여기에서 AWS CloudHSM에 대한 서비스 수준 계약(SLA)을 확인할 수 있습니다.

Q: 다른 AWS 고객과 CloudHSM을 공유하게 되나요?

서비스의 일부로서 HSM에 대한 단일 테넌트 액세스를 제공받게 됩니다. 기본 하드웨어는 다른 고객과 공유될 수 있지만, HSM은 해당 고객만 액세스할 수 있습니다.

Q: AWS는 내 암호화 키에 액세스하지 않고도 HSM을 어떻게 관리합니까?

업무 분리 및 역할 기반 액세스 제어는 CloudHSM의 설계에 포함되어 있습니다. AWS는 HSM에 대한 제한된 자격 증명으로 HSM의 상태 및 가용성을 모니터링 및 유지 관리하고, 암호화된 백업을 수행하고, CloudWatch Logs에 감사 로그를 추출 및 게시할 수 있지만, CloudHSM 클러스터 내부의 키 또는 데이터에 액세스하거나 HSM 어플라이언스 사용자에게 허용된 것 이외의 작업을 수행할 수는 없습니다.

업무 분리와 각 사용자 클래스가 HSM에 수행할 수 있는 기능에 대한 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: 내 HSM을 모니터링할 수 있습니까?

예. CloudHSM에서는 CloudHSM 클러스터와 개별 HSM에 대한 다양한 CloudWatch 지표를 게시합니다. AWS CloudWatch 콘솔, API 또는 SDK를 사용하여 해당 지표에 대한 경보를 받을 수 있습니다.

Q: CloudHSM에서 '엔트로피 소스'(임의 소스)란 무엇입니까?

각 HSM에는 SP800-90B를 준수하는 HSM 하드웨어 모듈 내 True Random Number Generator(TRNG)가 시드한 FIPS 인증 Deterministic Random Bit Generator(DRBG)가 있습니다. 이는 HSM별로 초당 20Mb의 엔트로피를 생성할 수 있는 고품질 엔트로피 소스입니다.

Q: 누군가 HSM 하드웨어를 변조하면 어떻게 됩니까?

CloudHSM은 물리적 및 논리적 변조 감지와 대응 메커니즘을 갖추고 있어 하드웨어의 키 삭제(제로화)가 트리거됩니다. 하드웨어는 물리적 장벽이 침해되는 경우 변조를 감지하도록 설계되었습니다. 또한 HSM은 무작위 로그인 공격으로부터 보호됩니다. CO(Crypto Officer) 자격 증명으로 HSM에 액세스하려는 시도가 일정 회수 실패하면 HSM이 CO를 잠금 처리합니다. 이와 비슷하게 CU(Crypto User) 자격 증명으로 HSM에 액세스하려는 시도가 일정 회수 실패하면 사용자는 잠금 설정되며 CO가 잠금을 해제해야 합니다.

Q: 오류가 발생하면 어떻게 됩니까?

Amazon은 HSM과 네트워크의 가용성 및 오류 상태를 모니터링하고 관리합니다. HSM에 장애가 발생하거나 네트워크 연결이 끊어지면, HSM이 자동으로 교체됩니다. CloudHSM API, SDK, CLI 도구를 사용하여 개별 HSM의 상태를 확인하고, AWS 서비스 상태 대시보드를 사용하여 언제든지 서비스의 전체적인 상태를 확인할 수 있습니다.

Q: 단일 HSM에서 장애가 발생하면 내 키가 손실될 수 있습니까?

CloudHSM 클러스터에 HSM이 하나만 있는 경우에는 가장 최근의 일일 백업 이후 생성된 키가 손실될 수 있습니다. HSM이 둘 이상 있는(별개의 가용 영역에 있는 것이 이상적) CloudHSM 클러스터는 단일 HSM에서 장애가 발생해도 키가 손실되지 않습니다. 자세한 내용은 모범 사례를 참조하세요.

Q: HSM에 대한 자격 증명을 분실한 경우 Amazon에서 내 키를 복구할 수 있습니까?

아니요. Amazon은 사용자 키 또는 자격 증명에 대한 액세스 권한을 가지지 않으므로 자격 증명을 분실할 경우 키를 복구할 수 없습니다.

Q: CloudHSM을 신뢰해도 될지 어떻게 알 수 있습니까?

CloudHSM은 FIPS(Federal Information Processing Standard) 140-2 레벨 3을 인증받은 하드웨어를 기반으로 구축되었습니다. CloudHSM에서 사용하는 하드웨어에 대한 FIPS 140-2 보안 프로필과 실행하는 펌웨어에 대한 정보는 규정 준수 페이지에서 확인할 수 있습니다.

Q: CloudHSM 서비스는 FIPS 140-2 레벨 3을 지원합니까?

예. CloudHSM은 FIPS 140-2 레벨 3 인증 HSM을 제공합니다. CloudHSM 사용 설명서의 HSM의 자격 증명 확인 섹션에 나온 절차를 따라 하면 이전 질문의 NIST 보안 정책에 명시된 것과 같은 하드웨어 모델에 인증된 HSM을 보유하고 있음을 확인할 수 있습니다.

Q: FIPS 140-2 모드에서 CloudHSM을 작동하려면 어떻게 해야 합니까?

CloudHSM은 항상 FIPS 140-2 모드 상태입니다. 이는 CloudHSM 사용 설명서에 설명된 대로 CLI 도구를 사용하여 FIPS 모드 상태를 표시하는 getHsmInfo 명령을 실행하면 확인할 수 있습니다.

Q: 내 계정에서 이루어진 모든 CloudHSM API 호출 기록을 얻을 수 있습니까?

예. AWS CloudTrail은 계정에 대한 AWS API 호출을 기록합니다. CloudTrail에서 작성하는 AWS API 호출 기록을 사용해 보안 분석, 리소스 변경 추적, 규정 준수 감사를 수행할 수 있습니다. CloudTrail 홈페이지에서 CloudTrail에 대해 자세히 알아보고 CloudTrail의 AWS Management Console을 통해 활성화하십시오.

Q: CloudTrail에 기록되지 않는 이벤트는 무엇입니까?

CloudTrail은 HSM 디바이스 또는 액세스 로그를 포함하지 않습니다. 이러한 로그는 CloudWatch Logs를 통해 AWS 계정에 직접 제공됩니다. 자세한 내용은 CloudHSM 사용 설명서를 참조하세요.

Q: CloudHSM을 포함하는 AWS 준수 이니셔티브는 무엇인가요?

CloudHSM을 포함하는 규정 준수 프로그램에 대한 자세한 정보는 AWS 규정 준수 사이트를 참조하십시오. 다른 AWS 서비스와는 달리 CloudHSM과 관련된 규정 준수 요구 사항은 대개 별도의 감사 프로그램의 하나로서가 아니라 FIPS 140-2 레벨 3 하드웨어 자체 인증으로 충족됩니다.

Q: FIPS 140-2 레벨 3이 중요한 이유는 무엇입니까?

FIPS 140-2 레벨 3은 문서 서명, 결제 또는 SSL 인증서용 공개 인증 기관으로서의 운영 등 특정 사용 사례의 요구 사항입니다.

Q: CloudHSM이 범위에 포함된 규정 준수 보고서를 요청하려면 어떻게 해야 합니까?

CloudHSM의 범위에 포함된 규정 준수 보고서를 확인하려면 규정 준수 프로그램 제공 범위 내 AWS 서비스를 검토하십시오. 무료 셀프 서비스 온디맨드 규정 준수 보고서를 생성하려면 AWS Artifact를 사용하십시오.

CloudHSM에서 제공되는 HSM의 FIPS 검증에만 관심이 있는 경우 FIPS 검증을 참조하세요.

Q: CloudHSM으로 초당 몇 개의 암호화 작업을 수행할 수 있나요?

AWS CloudHSM 클러스터의 성능은 특정 워크로드에 따라 달라집니다. 아래 표는 EC2 인스턴스에서 실행되는 일반적인 암호화 알고리즘의 대략적인 성능을 보여줍니다. 성능을 높이려면 클러스터에 HSM 인스턴스를 추가하면 됩니다. 성능은 구성, 데이터 크기 및 EC2 인스턴스의 추가 애플리케이션 로드에 따라 달라질 수 있습니다. 애플리케이션에 대한 로드 테스트를 통해 규모 조정 요구 사항을 결정하는 것이 좋습니다.

Q: CloudHSM 클러스터에 저장할 수 있는 키는 몇 개인가요?

CloudHSM 클러스터는 모든 유형 또는 크기의 키를 약 3,300개 저장할 수 있습니다.

Q: CloudHSM에서는 Amazon RDS Oracle TDE를 지원하나요?

직접적으로 지원하지는 않습니다. AWS CloudHSM 클러스터에서 생성 및 저장되는 키를 사용하여 Amazon RDS 데이터를 보호하려면 AWS Key Management Service(KMS)와 사용자 지정 키 스토어를 함께 사용해야 합니다.

Q: CloudHSM을 다른 소프트웨어에 대한 신뢰 루트로 사용할 수 있습니까?

여러 타사 공급업체에서 AWS CloudHSM을 신뢰 루트로 지원합니다. 즉, CloudHSM 클러스터에서 기본 키를 생성하고 저장하는 동안 원하는 소프트웨어 솔루션을 활용할 수 있습니다.

Q: CloudHSM 클라이언트란 무엇입니까?

CloudHSM 클라이언트는 AWS에서 제공하는 소프트웨어 패키지로서, 고객과 고객의 애플리케이션이 CloudHSM 클러스터와 상호 작용할 수 있도록 지원합니다.

Q: CloudHSM 클라이언트는 AWS가 내 CloudHSM 클러스터에 액세스하도록 권한을 부여합니까?

아니요. 클라이언트와 HSM 간 모든 통신은 전 과정에서 암호화됩니다. AWS는 이 통신을 보거나 가로챌 수 없으며 클러스터 액세스 자격 증명을 전혀 볼 수 없습니다.

Q: CloudHSM CLI(명령줄 인터페이스) 도구란 무엇입니까?

CloudHSM 클라이언트는 명령줄에서 HSM을 관리하고 사용할 수 있도록 CLI 도구 세트가 함께 제공됩니다. 현재 Linux 및 Microsoft Windows가 지원됩니다. Apple macOS에 대한 지원은 로드맵에 있습니다. 이러한 도구는 CloudHSM 클라이언트와 같은 패키지로 제공됩니다.

Q: CloudHSM 명령줄 인터페이스 도구를 다운로드하고 시작하려면 어떻게 해야 합니까?

CloudHSM 사용 설명서에서 지침을 찾아볼 수 있습니다.

Q: CloudHSM CLI 도구는 AWS에 HSM의 콘텐츠에 대한 액세스 권한을 제공합니까?

아니요. CloudHSM 도구는 안전하고 상호 인증된 채널에서 CloudHSM 클라이언트를 통해 CloudHSM 클러스터와 직접 통신합니다. AWS는 클라이언트, 도구 및 HSM 간 통신을 확인 수 없으며, 이러한 통신은 엔드 투 엔드 암호화됩니다.

Q: CloudHSM 클라이언트와 CLI 도구는 어떤 운영 체제에서 사용할 수 있습니까?

지원되는 운영 체제의 전체 목록은 온라인 설명서에 나와 있습니다.

Q: CloudHSM 명령줄 인터페이스 도구를 사용하기 위한 네트워크 연결 요구 사항은 무엇입니까?

CloudHSM 클라이언트를 실행하거나 CLI 도구를 사용하는 호스트가 CloudHSM 클러스터의 모든 HSM에 네트워크로 연결되어 있어야 합니다.

Q: CloudHSM API 및 SDK로 무엇을 할 수 있습니까?

CloudHSM 클러스터와 HSM을 생성, 수정 및 삭제하고 상태를 확보할 수 있습니다. AWS CloudHSM API로 할 수 있는 작업은 AWS가 제한된 액세스 권한으로 수행할 수 있는 작업에 한정됩니다. API는 HSM의 콘텐츠에 액세스할 수 없으며, 사용자, 정책 또는 다른 설정을 변경할 수도 없습니다. API에 대한 자세한 내용은 CloudHSM 설명서를, SDK에 대한 자세한 내용은 Amazon Web Services용 도구 페이지를 참조하십시오.

Q: AWS CloudHSM으로 마이그레이션을 계획하려면 어떻게 해야 합니까?

필요한 알고리즘과 모드를 CloudHSM에서 지원하는지 확인하는 것부터 시작하십시오. 필요한 경우 계정 관리자가 AWS로 기능 요청을 제출할 수 있습니다. 그런 다음 키 교체 전략을 결정하십시오. 일반 사용 사례에 대한 제안은 다음 Q/A에 나와 있습니다. 또한 AWS에서 게시한 CloudHSM용 심층 마이그레이션 안내서도 활용하십시오. 이제 CloudHSM으로 시작할 준비가 되었습니다.

Q: 키를 교체하려면 어떻게 해야 합니까?

교체 전략은 애플리케이션 유형에 따라 달라집니다. 일반적인 사례는 다음과 같습니다.

• 서명용 프라이빗 키: 일반적으로 HSM의 프라이빗 키는 중간 인증서에 해당하며 오프라인 엔터프라이즈 루트가 이를 서명하게 됩니다. 사용자는 새로운 중간 인증서를 발행하는 방식으로 키를 교체합니다. CloudHSM에서 새로운 프라이빗 키를 만들고 OpenSSL을 사용해 해당 CSR을 생성합니다. 그런 다음 동일한 오프라인 엔터프라이즈 루트를 사용해 CSR을 서명합니다. 이 새로운 인증서를 전체 인증서 체인을 자동으로 확인하지 않는 모든 파트너에 등록해야 할 수 있습니다. 이후로는 새로운 인증서에 해당하는 이 새로운 프라이빗 키를 사용해 모든 새로운 요청(문서, 코드 또는 다른 인증서 등)에 서명합니다. 해당하는 퍼블릭 키를 사용해 원래 프라이빗 키의 서명을 계속 확인할 수 있습니다. 취소는 필요 없습니다. 이 프로세스는 서명 키를 폐기하거나 아카이브할 때 따르는 프로세스와 유사합니다.
• Oracle Transparent Data Encryption: 하드웨어 키 스토어(원래 HSM)에서 소프트웨어 키 스토어로 전환한 후 다시 하드웨어 키 스토어(CloudHSM)로 전환하여 지갑을 전송할 수 있습니다. 참고: Amazon RDS를 사용하는 경우 위의 FAQ에서 “CloudHSM에서는 Amazon RDS Oracle TDE를 지원합니까?”를 참조하십시오.
• 봉투 암호화를 위한 대칭 키: 봉투 암호화는 HSM의 키 하나가 애플리케이션 호스트의 데이터 키 여러 개를 암호화/복호화하는 키 아키텍처를 말합니다. 여러분은 아마도 이미 키 교체 프로세스를 갖추고 있으며, 이전 래핑 키로 데이터 키를 복호화하고 새로운 래핑 키로 이를 다시 암호화하고 계실 겁니다. 마이그레이션 중에 유일한 차이점은 원래 HSM이 아니라 CloudHSM에서 새로운 래핑 키가 생성되고 사용된다는 것입니다. 키 교체 도구와 프로세스를 아직 갖추지 않은 경우, 이를 생성해야 합니다.

Q: 키를 교체할 수 없는 경우는 어떻게 합니까?

Q: AWS CloudHSM에는 예약된 유지 관리 기간이 있습니까?

아니요. 그러나 업그레이드가 필요하거나 하드웨어 결함이 발생할 경우에는 AWS가 유지 관리를 수행해야 할 수도 있습니다. AWS는 영향이 예상되는 경우 Personal Health Dashboard를 통해 사전에 알릴 수 있도록 최선을 다할 것입니다.

고가용성을 위해 클러스터를 설계하는 것은 고객의 책임입니다. AWS에서는 별도의 가용 영역에서 2개 이상의 HSM이 포함된 CloudHSM 클러스터를 사용할 것을 강력히 권장합니다. 온라인 설명서에서 권장 모범 사례에 대해 자세히 알아볼 수 있습니다.

Q: CloudHSM에 문제가 있습니다. 어떻게 해야 합니까?

문제 해결 안내서에서 일반적인 문제에 대한 해결 방법을 찾을 수 있습니다. 그 후에도 여전히 문제가 발생하면 AWS Support에 문의하십시오.