Q: AWS CloudHSM이란 무엇입니까?

AWS CloudHSM 서비스는 AWS 클라우드 내의 전용 HSM(Hardware Security Module) 어플라이언스를 사용하여 데이터 보안에 대한 기업의 계약 및 규제 준수 요구 사항을 충족할 수 있도록 지원합니다. AWS와 AWS Marketplace 파트너는 AWS 플랫폼의 중요한 데이터를 보호하기 위한 다양한 솔루션을 제공하지만, 암호화 키 관리에 대한 계약 또는 규제 요건이 적용되는 일부 애플리케이션과 데이터의 경우 추가 보호가 필요할 수 있습니다. CloudHSM은 기존의 데이터 보호 솔루션을 보완합니다. 이를 통해 사용자는 안전한 키 관리를 위한 정부 표준에 따라 설계되고 검증된 HSM 내에서 암호화 키를 보호할 수 있습니다. CloudHSM을 사용하면 데이터 암호화에 사용되는 암호화 키를 사용자만 액세스할 수 있는 방법으로 안전하게 생성, 보관 및 관리할 수 있습니다.

Q: HSM(Hardware Security Module)이란 무엇입니까?

HSM(Hardware Security Module)이란 변조 방지 하드웨어 디바이스 내에서 안전하게 키를 저장하고 암호화 작업을 수행하도록 지원하는 하드웨어 어플라이언스입니다. HSM은 암호화 키 자료를 안전하게 보관하고 어플라이언스의 암호화 경계 외부에 노출하지 않고 키 자료를 사용하도록 설계되었습니다.

Q: CloudHSM으로 할 수 있는 작업은 무엇입니까?

CloudHSM 서비스를 사용하여 데이터베이스 암호화, 디지털 권한 관리(DRM), 공개 키 인프라(PKI), 인증 및 권한 부여, 문서 서명, 트랜잭션 처리 등과 같은 다양한 사용 사례와 애플리케이션을 지원할 수 있습니다.

Q: CloudHSM은 어떻게 작동합니까?

AWS CloudHSM 서비스를 사용할 때 CloudHSM 클러스터를 생성합니다. 클러스터는 여러 가용 영역에 걸쳐 최대 32개의 개별 HSM을 포함할 수 있으며, 자동으로 동기화되고 로드 밸런싱됩니다. 고객은 클러스터의 각 HSM에 대해 단일 테넌트 전용 액세스를 제공받게 됩니다. 각 HSM은 Virtual Private Cloud(VPC)에서 네트워크 리소스로 표시됩니다. 프로비저닝의 일부로서 클러스터에 대한 관리자 자격 증명을 받게 되며 필요에 따라 다른 사용자와 관리자를 생성할 수 있습니다. AWS CloudHSM API(또는 명령줄에서 AWS CLI를 사용)에 대한 호출 한 번으로 클러스터에서 HSM을 추가하고 제거할 수 있습니다. CloudHSM 클러스터를 생성 및 시작한 후, 애플리케이션이 인증된 보안 네트워크 연결을 통해 클러스터를 사용할 수 있도록 EC2 인스턴스에 클라이언트를 구성할 수 있습니다.

Amazon 관리자는 HSM의 상태를 모니터링하지만, HSM을 구성, 관리 또는 사용할 권한은 전혀 없습니다. 애플리케이션은 애플리케이션 인스턴스에 설치된 HSM 클라이언트 소프트웨어와 함께 표준 암호화 API를 사용하여 암호화 요청을 HSM으로 전송합니다. 클라이언트 소프트웨어는 클러스터의 모든 HSM에 대한 보안 채널을 유지 관리하며, 이 채널을 통해 요청을 전송합니다. HSM은 보안 채널을 통해 작업을 수행하고 결과를 반환합니다. 그런 다음 클라이언트에서 암호화 API를 통해 결과를 애플리케이션으로 반환합니다.

Q: 현재 VPC가 없습니다. 그래도 AWS CloudHSM을 사용할 수 있습니까?

아니요. 사용자의 CloudHSM을 다른 Amazon 고객으로부터 보호하고 격리하려면 VPC 내에 CloudHSM이 프로비저닝되어 있어야 합니다. VPC를 생성하는 것은 간단합니다. 자세한 정보는 VPC 시작 안내서를 참조하십시오.

Q: 내 애플리케이션은 CloudHSM 클러스터와 동일한 VPC에 상주해야 합니까?

아니요. 그러나 애플리케이션 및 HSM 클라이언트가 실행되고 있는 서버 또는 인스턴스는 클러스터의 모든 HSM에 네트워크(IP)로 연결되어 있어야 합니다. 동일한 VPC에서 애플리케이션을 운영하거나, VPC 피어링을 사용하거나, VPN 연결을 사용하거나, Direct Connect를 사용하는 등 여러 가지 방법으로 애플리케이션에서 HSM으로의 네트워크 연결을 구축할 수 있습니다. 자세한 내용은 VPC 피어링 설명서VPC 사용 설명서를 참조하십시오.

Q: CloudHSM은 온프레미스 HSM과 연동됩니까?

예. CloudHSM이 온프레미스 HSM과 직접 상호 운용되지는 않지만, 사용 사례, 키 유형 및 온프레미스 HSM 유형에 따라 서로 키를 이동하거나 동기화할 수도 있습니다. 이와 관련하여 지원을 받으려면 AWS 콘솔에서 AWS 기술 지원 사례를 개설하시기 바랍니다.

Q: 내 애플리케이션에서 CloudHSM을 사용하려면 어떻게 해야 합니까?

AWS에서는 SSL 오프로드를 위해 Oracle Database 11g 및 12c, 웹 서버(Apache, Nginx 등)와 같은 여러 타사 소프트웨어 솔루션과 CloudHSM을 통합하고 테스트해왔습니다. 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

자체 사용자 지정 애플리케이션을 개발하는 경우, 애플리케이션에서는 PKCS#11 및 Java JCA/JCE(Java Cryptography Architecture/Java Cryptography Extensions)를 비롯하여 CloudHSM에서 지원하는 표준 API를 사용할 수 있습니다. Microsoft CAPI/CNG에 대한 지원도 곧 제공될 예정입니다. 샘플 코드 및 시작 도움말은 CloudHSM 사용 설명서를 참조하십시오.

Q: CloudHSM을 사용하여 다른 AWS 서비스에서 사용하는 키를 저장하거나 데이터를 암호화할 수 있습니까?

예. CloudHSM가 통합된 애플리케이션에서는 모든 암호화를 수행할 수 있습니다. 이 경우, S3 또는 EBS와 같은 AWS 서비스는 암호화된 데이터만 보게 됩니다.

Q: 다른 AWS 서비스에서 CloudHSM을 사용하여 키를 저장하고 관리할 수 있습니까?

AWS 서비스는 현재 CloudHSM과 직접 통합되지 않습니다. 많은 AWS 서비스(EBS, S3, RDS 등)에서 제공하는 서버 측 암호화를 사용하려면, AWS Key Management Service 사용을 검토해야 합니다. 이후 CloudHSM과 다른 AWS 서비스도 통합하게 될 수 있습니다. 관심이 있는 경우 AWS에 문의해 주십시오.

Q: CloudHSM을 개인 식별 번호(PIN) 블록 번역 또는 직불 거래를 사용하는 기타 암호화 작업을 수행하는 데 사용할 수 있습니까?

현재 CloudHSM에서는 범용 HSM을 제공합니다. 시간이 지나면서 결제 기능을 제공할 수도 있습니다. 이 기능에 관심이 있는 경우 AWS에 문의해 주십시오.

Q: AWS Key Management Service(KMS)는 AWS CloudHSM과 어떻게 다릅니까?

AWS Key Management Service(KMS)는 암호화 키를 사용하고 관리할 수 있는 멀티 테넌트 관리형 서비스입니다. 두 서비스 모두 암호화 키를 위한 높은 수준의 보안을 제공합니다. AWS CloudHSM은 Amazon Virtual Private Cloud(VPC)에서 바로 FIPS 140-2 레벨 3 전용 HSM을 제공하며 이 HSM은 사용자가 독점적으로 제어하게 됩니다.

Q: AWS KMS 대신 AWS CloudHSM을 사용해야 하는 경우는 언제입니까?

다음의 경우에는 AWS CloudHSM 사용을 고려해야 합니다.

  • 키가 사용자의 독점적 제어 하에 전용 타사 인증 하드웨어 보안 모듈에 저장되어 있음.
  • FIPS 140-2 규정 준수.
  • PKCS#11, Java JCE 또는 Microsoft CNG 인터페이스를 사용하여 애플리케이션과 통합.
  • VPC 내 고성능 암호화 가속화(대량 암호화).

Q: 내 Safenet 기반 HSM은 폐기됩니까?

아니요. 새로운 CloudHSM 서비스의 기능 세트와 비용이 훨씬 매력적인 대안을 제공한다고 생각하지만, AWS에서는 기존 고객을 위해 AWS CloudHSM Classic을 유지할 것입니다. CloudHSM Classic에서 새로운 서비스로 마이그레이션하는 데 도움이 되는 리소스가 곧 제공될 예정입니다.

Q: CloudHSM을 시작하려면 어떻게 해야 합니까?

CloudHSM 콘솔에서 또는 AWS SDK나 API를 통한 API 호출 몇 번으로 CloudHSM 클러스터를 프로비저닝할 수 있습니다. 시작하기에 대한 자세한 내용은 CloudHSM 사용 설명서를, CloudHSM API에 대한 자세한 내용은 CloudHSM 설명서를, 그리고 SDK에 대한 자세한 내용은 Amazon Web Services용 도구 페이지를 참조하십시오.

Q: CloudHSM 서비스는 종료하려면 어떻게 해야 합니까?

CloudHSM API 또는 SDK를 사용하여 HSM을 삭제하고 서비스 사용을 중단할 수 있습니다. 자세한 지침은 CloudHSM 사용 설명서를 참조하십시오.

Q: AWS CloudHSM 서비스의 사용료는 어떻게 부과되고 청구됩니까?

CloudHSM 클러스터에 HSM이 프로비저닝된 각 시간(또는 부분 시간)에 대해 시간당 비용이 부과됩니다. HSM이 없는 클러스터에는 요금이 청구되지 않으며, AWS의 암호화된 백업용 자동 스토리지에도 요금이 청구되지 않습니다. Amazon은 매월 5,000GB를 초과하여 AWS CloudHSM에서 송수신되는 네트워크 데이터에 대해 비용을 부과할 권리가 있습니다. 자세한 내용은 CloudHSM 요금 페이지를 참조하십시오.

Q: CloudHSM 서비스에 대한 프리 티어가 있습니까?

아니요. CloudHSM에는 프리 티어가 제공되지 않습니다.

Q: CloudHSM 가입을 위한 사전 조건이 있습니까?

예. CloudHSM을 사용하려면 CloudHSM 서비스를 사용하려는 리전 내에 Virtual Private Cloud(VPC)가 있어야 하는 등, 몇 가지 사전 조건이 있습니다. 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: 내 HSM의 펌웨어를 관리해야 합니까?

아니요. AWS에서 하드웨어의 펌웨어를 관리합니다. 펌웨어는 타사에서 유지 관리하며, 모든 펌웨어는 FIPS 140-2 레벨 3 규정을 준수하는지 NIST의 검증을 받아야 합니다. FIPS 키에 의해 암호화 방식으로 서명된 펌웨어만 설치할 수 있으며, AWS는 이 키에 대한 액세스 권한이 없습니다.

Q: CloudHSM 클러스터에 HSM을 몇 개까지 추가할 수 있습니까?

AWS에서는 프로덕션 워크로드의 경우 2개의 서로 다른 가용 영역에서 2개 이상의 HSM을 사용할 것을 권장합니다. 미션 크리티컬 워크로드의 경우, 2개 이상의 개별 AZ에서 3개 이상의 HSM을 사용할 것을 권장합니다. CloudHSM 클라이언트는 자동으로 HSM 장애를 처리하고 애플리케이션에 대한 로드를 2개 이상의 HSM 간에 투명하게 밸런싱합니다.

Q: 키 내구성에 대한 책임은 누구에게 있습니까?

AWS는 매일 CloudHSM 클러스터의 암호화된 자동 백업을 수행하고, 클러스터 수명 주기 이벤트(HSM 추가 또는 제거 등)가 발생하면 추가 백업을 수행합니다. 백업과 백업 사이의 24시간 기간에는 사용자가 클러스터에 생성되거나 클러스터로 가져온 키 자료의 내구성을 모두 책임집니다. 키의 내구성을 보장하기 위해서는 생성된 모든 키가 2개의 서로 다른 가용 영역에서 2개 이상의 HSM으로 동기화되도록 하는 것이 좋습니다. 키 동기화 확인에 대한 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: 고가용성(HA) 구성을 설정하려면 어떻게 해야 합니까?

CloudHSM 클러스터에 2개 이상의 HSM을 구성하면 고가용성이 자동으로 제공됩니다. 추가 구성은 필요하지 않습니다. 클러스터의 HSM에 장애가 발생하면, 프로세스 중단 없이 해당 HSM이 자동으로 교체되고 새로운 구성이 반영되도록 모든 클라이언트가 업데이트됩니다. AWS API 또는 SDK를 통해 클러스터에 HSM을 추가하면 애플리케이션 중단 없이 가용성을 높일 수 있습니다.

Q: CloudHSM 클러스터에 HSM을 몇 개까지 연결할 수 있습니까?

단일 CloudHSM 클러스터는 최대 32개의 HSM을 포함할 수 있습니다.

Q: CloudHSM의 콘텐츠를 백업할 수 있습니까?

CloudHSM 클러스터는 AWS에서 매일 백업하고 있습니다. 키도 "내보내기 불가"로 생성되지 않은 한, 클러스터에서 내보내어("래핑") 온프레미스에 저장할 수 있습니다. 현재는 다른 백업 옵션이 제공되지 않지만, 곧 좀 더 포괄적인 온프레미스 백업 기능을 제공할 예정입니다.

Q: CloudHSM에 대한 SLA가 있습니까?

현재 CloudHSM용 SLA는 없습니다.

Q: 다른 AWS 고객과 CloudHSM을 공유하게 됩니까?

아니요. 서비스의 일부로서 HSM에 대한 단일 테넌트 액세스를 제공받게 됩니다. 기본 하드웨어는 다른 고객과 공유될 수 있지만, HSM은 해당 고객만 액세스할 수 있습니다.

Q: AWS는 내 암호화 키에 액세스하지 않고도 HSM을 어떻게 관리합니까?

업무 분리 및 역할 기반 액세스 제어는 CloudHSM의 설계에 포함되어 있습니다. AWS는 HSM의 상태와 가용성을 모니터링하고 유지 관리하고, 암호화된 백업을 수행하고, 감사 로그를 추출하여 CloudWatch Logs에 게시할 수 있는 제한된 자격 증명을 보유하고 있습니다. AWS는 고객의 키를 보거나 액세스하거나 사용할 수 없으며, 고객의 HSM이 고객의 키를 사용하여 암호화 작업을 수행하도록 할 수도 없습니다.

업무 분리와 각 사용자 클래스가 HSM에 수행할 수 있는 기능에 대한 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: HSM 어플라이언스를 모니터링할 수 있습니까?

예. CloudHSM에서는 CloudHSM 클러스터와 개별 HSM에 대한 다양한 CloudWatch 지표를 게시합니다. AWS CloudWatch 콘솔, API 또는 SDK를 사용하여 해당 지표에 대한 경보를 받을 수 있습니다.

Q: CloudHSM에서 '엔트로피 소스'(임의 소스)란 무엇입니까?

각 HSM에는 SP800-90B를 준수하는 HSM 하드웨어 모듈 내 True Random Number Generator(TRNG)가 시드한 FIPS 인증 Deterministic Random Bit Generator(DRBG)가 있습니다. 이는 HSM별로 초당 20Mb의 엔트로피를 생성할 수 있는 고품질 엔트로피 소스입니다.

Q: 누군가 HSM 어플라이언스를 변조하면 어떻게 됩니까?

CloudHSM은 물리적 및 논리적 변조 감지와 대응 메커니즘을 갖추고 있어 어플라이언스의 키 삭제(제로화)가 트리거됩니다. HSM은 HSM의 물리적 장벽에 대한 침범이 발생할 경우 변조를 감지하도록 설계되었습니다. 또한, Crypto Officer(CO) 자격 증명을 통해 HSM에 액세스하려는 시도가 5번 실패하면, HSM 어플라이언스가 자체 삭제를 수행합니다. Crypto Officer(CO) 자격 증명을 통해 HSM에 액세스하려는 시도가 5번 실패하면, 사용자는 잠금 설정되며 CO에서 잠금을 해제해야 합니다.

Q: 오류가 발생하면 어떻게 됩니까?

Amazon은 HSM과 네트워크의 가용성 및 오류 상태를 모니터링하고 관리합니다. HSM에 장애가 발생하거나 네트워크 연결이 끊어지면, HSM이 자동으로 교체됩니다. CloudHSM API, SDK, CLI 도구를 사용하여 개별 HSM의 상태를 확인하고, AWS 서비스 상태 대시보드를 사용하여 언제든지 서비스의 전체적인 상태를 확인할 수 있습니다.

Q: 단일 HSM 어플라이언스가 고장 나면 내 키를 분실할 수 있습니까?

예. 사용 중인 CloudHSM 클러스터에 장애가 발생하고 HSM을 1개만 사용하고 있는 경우에는 가장 최근 일일 백업 이후로 생성된 키가 손실될 수도 있습니다. Amazon에서는 어떤 프로덕션 CloudHSM 클러스터든 별도의 가용 영역에 2개 이상의 HSM을 사용할 것을 강력하게 권장합니다.

Q: 어플라이언스에 대한 내 자격 증명을 분실하면 Amazon이 내 키를 복구할 수 있습니까?

아니요. Amazon은 사용자 키 또는 자격 증명에 대한 액세스 권한을 가지지 않으므로 자격 증명을 분실할 경우 키를 복구할 수 없습니다.

Q: CloudHSM 어플라이언스를 신뢰해도 될지 어떻게 알 수 있습니까?

CloudHSM은 Federal Information Processing Standard(FIPS) 140-2 레벨 3 표준을 충족하도록 설계되었습니다. CloudHSM에서 사용하는 기본 하드웨어에 대한 FIPS 140-2 보안 프로필은 여기(http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf)에서 확인할 수 있습니다.

CloudHSM 사용 설명서의 Verify the Authenticity of Your HSM 섹션에 나온 절차를 따라 하면 위에 링크된 NIST 보안 정책에 명시된 것과 같은 모델의 하드웨어에 인증된 HSM을 보유하고 있음을 확인할 수 있습니다.

Q: FIPS 140-2 모드에서 CloudHSM을 작동하려면 어떻게 해야 합니까?

CloudHSM은 항상 FIPS 140-2 모드 상태입니다. 이는 CloudHSM 사용 설명서에 설명된 대로 CLI 도구를 사용하여 FIPS 모드 상태를 표시하는 getHsmInfo 명령을 실행하면 확인할 수 있습니다.

Q: CloudHSM 서비스는 FIPS 140-2 레벨 3를 지원합니까?

예. CloudHSM은 항상 FIPS 140-2 레벨 3 모드 상태입니다.

Q: 인스턴스에 HSM 파티션 자격 증명을 안전하게 배포하려면 어떻게 해야 합니까?

IAM 역할을 사용하여 AWS 자격 증명이 아닌 다른 자격 증명을 EC2 인스턴스에 배포하는 방법에 대해 설명하는 AWS 보안 블로그 게시물을 참조하십시오.

Q: 내 계정에서 이루어진 모든 CloudHSM API 호출 기록을 얻을 수 있습니까?

예. AWS CloudTrail은 계정에 대한 AWS API 호출을 기록합니다. CloudTrail에서 작성하는 AWS API 호출 기록을 사용해 보안 분석, 리소스 변경 추적, 규정 준수 감사를 수행할 수 있습니다. CloudTrail 홈페이지에서 CloudTrail에 대해 자세히 알아보고 CloudTrail의 AWS Management Console을 통해 활성화하십시오.

Q: CloudTrail에 기록되지 않는 이벤트는 무엇입니까?

CloudTrail은 HSM 디바이스 또는 액세스 로그를 포함하지 않습니다. 이러한 로그는 CloudWatch Logs를 통해 AWS 계정에 직접 제공됩니다. 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: CloudHSM을 포함하는 AWS 준수 이니셔티브는 무엇입니까?

CloudHSM을 포함하는 규정 준수 프로그램에 대한 자세한 정보는 AWS 규정 준수 사이트를 참조하십시오. 다른 AWS 서비스와는 달리 CloudHSM과 관련된 규정 준수 요구 사항은 대개 별도의 감사 프로그램의 하나로서가 아니라 FIPS 140-2 레벨 3 하드웨어 자체 인증으로 충족됩니다.

Q: FIPS 140-2 레벨 3이 중요한 이유는 무엇입니까?

FIPS 140-2 레벨 3은 문서 서명, 결제 또는 SSL 인증서용 공개 인증 기관으로서의 운영 등 특정 사용 사례의 요구 사항입니다.

Q: CloudHSM을 범위에 포함한 준수 보고서를 요청하려면 어떻게 해야 합니까?

비즈니스 개발 담당자를 통해 준수 보고서를 요청할 수 있습니다. 비즈니스 개발 담당자가 없는 경우 여기에서 신청할 수 있습니다.

Q: CloudHSM은 초당 몇 개의 암호화 작업을 수행할 수 있습니까?

개별 HSM의 성능은 특정 워크로드에 따라 달라집니다. 아래 표는 몇 가지 일반적인 암호화 알고리즘에 대한 단일 HSM의 성능을 보여줍니다. 각 CloudHSM 클러스터는 최대 32개의 HSM을 포함할 수 있으며 아래 표에 명시된 성능의 최대 32배까지 제공합니다. 성능은 정확한 구성과 데이터 크기에 따라 달라질 수 있으므로 필요한 규모를 정확하게 파악하기 위해서는 CloudHSM으로 애플리케이션에 대한 로드 테스트를 수행하는 것이 좋습니다.

RSA 2048비트 서명/확인

1,100/초

EC P256

315포인트 mul/초

AES 256

300Mb/초 전이중 대량 암호화

2048비트 RSA 키 생성

~2/초

임의 번호 생성(CSPRNG)

20Mb/초

Q: CloudHSM 인스턴스에 몇 개의 키를 저장할 수 있습니까?

CloudHSM 클러스터는 모든 유형 또는 크기의 키를 최대 3,500개 저장할 수 있습니다.

Q: CloudHSM에서는 Amazon RDS Oracle TDE를 지원합니까?

아니요. Amazon RDS Oracle TDE는 지원되지 않지만, EC2에서 운영되는 Oracle 데이터베이스(11g 및 12c)에는 Oracle TDE가 지원됩니다. 자세한 내용은 CloudHSM 사용 설명서를 참조하십시오.

Q: CloudHSM 클라이언트란 무엇입니까?

CloudHSM 클라이언트는 AWS에서 제공하는 소프트웨어 패키지로서, 고객과 고객의 애플리케이션이 CloudHSM 클러스터와 상호 작용할 수 있도록 지원합니다.

Q: CloudHSM 클라이언트는 AWS가 내CloudHSM 클러스터에 액세스하도록 권한을 부여합니까?

아니요. CloudHSM 클라이언트는 오픈 소스이며 BSD 라이선스의 적용을 받습니다. 전체 소스 배포는 요청 시 제공되며, 자체 컴파일러 도구를 사용해 구축할 수 있습니다. AWS에서는 편의를 위해 바이너리 RPM을 기본적으로 제공합니다.

Q: CloudHSM CLI(명령줄 인터페이스) 도구란 무엇입니까?

CloudHSM 클라이언트는 명령줄에서 HSM을 관리하고 사용할 수 있도록 CLI 도구 세트가 함께 제공됩니다. 현재 Linux가 지원되며, MacOS 및 Windows에 대한 지원은 곧 제공될 예정입니다. 이러한 도구는 CloudHSM 클라이언트와 같은 패키지로 제공됩니다.

Q: CloudHSM 명령줄 인터페이스 도구를 다운로드하고 시작하려면 어떻게 해야 합니까?

CloudHSM 사용 설명서에서 지침을 찾아볼 수 있습니다.

Q: CloudHSM CLI 도구는 AWS에 HSM의 콘텐츠에 대한 액세스 권한을 제공합니까?

아니요. CloudHSM 도구는 안전하고 상호 인증된 채널에서 CloudHSM 클라이언트를 통해 CloudHSM 클러스터와 직접 통신합니다. AWS는 클라이언트, 도구 및 HSM 간 통신을 확인 수 없으며, 이러한 통신은 엔드 투 엔드 암호화됩니다.

Q: CloudHSM 클라이언트와 CLI 도구는 어떤 운영 체제에서 사용할 수 있습니까?

다양한 Linux 버전(Amazon Linux, Redhat, Centos 및 Ubuntu 최신 버전), Microsoft Windows 및 Apple Macos. CloudHSM 클라이언트와 CLI 도구를 다른 운영 체제에서 사용하고 싶은 경우 AWS에 문의해 주십시오.

Q: CloudHSM 명령줄 인터페이스 도구를 사용하기 위한 네트워크 연결 요구 사항은 무엇입니까?

CloudHSM 클라이언트를 실행하거나 CLI 도구를 사용하는 호스트가 CloudHSM 클러스터의 모든 HSM에 네트워크로 연결되어 있어야 합니다.

Q: CloudHSM API 및 SDK로 무엇을 할 수 있습니까?

CloudHSM 클러스터와 HSM을 생성, 수정 및 삭제하고 상태를 확보할 수 있습니다. AWS CloudHSM API로 할 수 있는 작업은 AWS가 제한된 액세스 권한으로 수행할 수 있는 작업에 한정됩니다. API는 HSM의 콘텐츠에 액세스할 수 없으며, 사용자, 정책 또는 다른 설정을 변경할 수도 없습니다. API에 대한 자세한 내용은 CloudHSM 설명서를, SDK에 대한 자세한 내용은 Amazon Web Services용 도구 페이지를 참조하십시오.

Q: HSM 어플라이언스에서 정기 유지 관리는 어떻게 수행됩니까?

AWS에서 수행하는 HSM 어플라이언스 정기 유지 보수 절차는 동일한 리전의 여러 AZ에서 동시에 가동이 중단되는 것을 방지하도록 설계되었습니다.

AWS에서는 HSM을 모니터링하고 유지 관리하며 특정 하드웨어를 업그레이드, 교체 또는 테스트하기 위해 서비스에서 HSM을 제거해야 할 수도 있습니다. 교체해야 하는 경우 이러한 작업에는 몇 분밖에 소요되지 않으며 정상적인 환경에서는 CloudHSM 클러스터의 성능에 영향을 주지 않습니다. 클러스터의 특정 HSM을 활발히 사용하고 있는 애플리케이션의 경우, 해당 HSM을 교체하면 CloudHSM 클라이언트가 클러스터의 다른 HSM에서 작업을 다시 시도하는 동안 일시적인 중단을 경험하게 될 수 있습니다.

AWS는 24시간 이내에 동일한 리전의 여러 AZ에 있는 HSM 어플라이언스에 대해 정기 유지 관리를 수행하지 않습니다.

예기치 않은 상황에서는 AWS가 사전 통지 없이 긴급 유지 관리를 수행할 수 있습니다. AWS는 이러한 상황과 동일 리전의 여러 AZ에 있는 HSM 어플라이언스에 대해 24시간 이내에 긴급 유지 관리를 수행하는 상황을 방지하기 위해 노력할 것입니다.

AWS에서는 잠재적 중단을 방지하기 위해 별도의 가용 영역에서 2개 이상의 HSM으로 CloudHSM 클러스터를 사용할 것을 강력히 권장합니다.

Q: CloudHSM에 문제가 있습니다. 어떻게 해야 합니까?

AWS Support에 문의하십시오.


AWS CloudHSM Classic에 대한 문의는 AWS CloudHSM Classic FAQ를 참조해 주십시오.