기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS CloudHSM 사용자 관리 모범 사례
<a name="bp-hsm-user-management"></a>

 AWS CloudHSM 클러스터에서 사용자를 효과적으로 관리하려면이 섹션의 모범 사례를 따르세요. HSM 사용자는 IAM 사용자와 다릅니다. 적절한 권한이 있는 ID 기반 정책을 보유한 IAM 사용자 및 엔터티는 API를 통해 리소스와 상호 작용하여 HSM을 생성할 수 있습니다. HSM을 생성한 후에는 HSM 사용자 보안 인증 정보를 사용하여 HSM에서의 작업을 인증해야 합니다. HSM 사용자에 대한 자세한 안내는 [의 HSM 사용자 AWS CloudHSM](manage-hsm-users.md) 섹션을 참조하십시오.

## HSM 사용자의 보안 인증 정보 보호
<a name="bp-protect-users"></a>

HSM 사용자는 HSM에서 암호화 및 관리 작업을 수행하고 액세스할 수 있는 엔터티이므로 HSM 사용자의 보안 인증 정보를 안전하게 보호하는 것이 필수적입니다. AWS CloudHSM 는 HSM 사용자 보안 인증 정보에 액세스할 수 없으며 액세스 권한을 상실할 경우 지원해 드릴 수 없습니다.

## 관리자를 두 명 이상 두고 계정 잠금 방지
<a name="bp-prevent-lockout"></a>

클러스터에서 잠기지 않도록 하려면 관리자 암호 하나를 분실할 경우에 대비하여 최소 두 명의 관리자를 두는 것이 좋습니다. 이 경우 다른 관리자를 통해 암호를 재설정할 수 있습니다.

**참고**  
클라이언트 SDK 5의 *관리자*는 Client SDK 3의 *CO(Crypto Officer)*와 동의어입니다.

## 모든 사용자 관리 작업에 쿼럼 활성화
<a name="bp-enable-quorum"></a>

쿼럼을 사용하면 작업을 수행하기 전에 사용자 관리 작업을 승인해야 하는 최소 관리자 수를 설정할 수 있습니다. 관리자가 가질 수 있는 권한 때문에 모든 사용자 관리 작업에 대해 쿼럼을 활성화하는 것이 좋습니다. 이렇게 하면 관리자 암호 중 하나가 손상될 경우 미칠 수 있는 영향을 제한할 수 있습니다. 자세한 내용은 [Managing Quorum](quorum-auth-chsm-cli.md)를 참조하십시오.

## 각각 권한이 제한된 암호 사용자를 여러 명 생성
<a name="bp-multiple-crypto-users"></a>

암호 사용자의 책임을 분리함으로써 어느 사용자도 전체 시스템을 완전히 통제할 수 없게 됩니다. 따라서 여러 암호 사용자를 만들고 각 사용자의 권한을 제한하는 것이 좋습니다. 일반적으로 이 작업은 암호 사용자마다 수행하는 책임과 작업이 확연히 다릅니다(예: 한 명의 암호 사용자가 키를 생성하고 다른 암호 사용자와 공유한 다음 이를 애플리케이션에서 사용하는 경우).

관련 리소스:
+ [CloudHSM CLI를 사용하여 키 공유](cloudhsm_cli-key-share.md)
+ [CloudHSM CLI를 사용하여 키 공유 해제](cloudhsm_cli-key-unshare.md)