조직에 여러 AWS 계정이 있습니다. 내 AWS CloudHSM 클러스터를 이러한 AWS 계정과 공유하려면 어떻게 해야 합니까?
간략한 설명
AWS Resource Access Manager를 사용하여 CloudHSM이 포함된 Amazon Virtual Private Cloud(Amazon VPC)의 서브넷을 다른 AWS 계정과 공유할 수 있습니다.
해결 방법
AWS RAM을 사용하여 AWS Organizations의 다른 AWS 계정으로 CloudHSM에 액세스합니다. 다음 예에서 Account 1에는 CloudHSM 클러스터가 포함되고 Account 2에는 CloudHSM 클라이언트 인스턴스가 포함됩니다.
AWS RAM을 사용하여 공유 활성화
- Organizations 관리 계정으로 CloudHSM과 동일한 리전에서 AWS RAM 콘솔을 열고 [설정(Settings)]을 선택합니다.
- [AWS Organization에서 공유 활성화(Enable sharing within your AWS Organization)] 확인란을 선택합니다.
- Organizations 관리 계정으로 AWS Organization 콘솔을 엽니다.
- [설정(Settings)]을 선택하고 [조직 ID(Organization ID)]를 기록합니다.
다른 계정을 사용하여 계정 1과 리소스 공유 만들기
- CloudHSM과 동일한 리전에서 Account 1을 사용하여 AWS RAM 콘솔을 엽니다.
- 탐색 창의 [내가 공유함(Shared by me)]에서 [리소스 공유(Resource shares)]를 선택합니다.
- [리소스 공유 생성(Create resource share)]을 선택합니다.
- [이름(Name)]에 리소스 공유의 이름을 입력합니다.
- [리소스(Resources)]에서 CloudHSM의 Amazon VPC [서브넷 ID]를 선택합니다.
- [보안 주체(Principals)]에서 [외부 계정 허용(Allow external accounts)]을 선택 취소합니다.
- [Add AWS account number] 검색 창에서 조직 ID를 입력하고 [Add]를 선택한 다음 [Create resource share]를 선택합니다.
참고: OU(조직 단위) 및 AWS 계정도 공유할 수 있습니다.
CloudHSM 클라이언트에서 CloudHSM 클러스터에 연결할 수 있도록 하는 보안 그룹 구성
- CloudHSM 클러스터와 동일한 리전에서 Account 1을 사용하여 CloudHSM 콘솔을 엽니다.
- 탐색 창에서 [Clusters]를 선택합니다.
- [Cluster ID]에서 공유하려는 CloudHSM 클러스터를 선택합니다.
- [보안 그룹(Security group)]에서 보안 그룹을 선택합니다.
- [인바운드(Inbound)] 탭을 선택한 후 [편집(Edit)]을 선택합니다.
- [규칙 추가(Add Rule)]를 선택합니다.
- [Port Range]에 2223-2225를 입력합니다.
- [소스(Source)]에 클라이언트 인스턴스의 IP 주소를 입력하고 [저장(Save)]을 선택합니다.
참고: 클라이언트 인스턴스 프라이빗 IP 주소를 가져오려면 EC2 콘솔을 사용하여 IPv4 주소 보기를 참조하세요.
Account 2와 공유하는 서브넷에 대한 클라이언트 인스턴스 생성
- Account 2로 Amazon EC2 콘솔을 열고 [인스턴스 시작(Launch Instance)]을 선택한 다음 AMI(Amazon Machine Image)를 선택합니다.
- [다음: 인스턴스 정보 구성(Next: Configure Instance Details)]을 선택합니다.
- [네트워크(Network)]에서 Account 2와 공유하는 Amazon VPC를 선택합니다.
- [서브넷(Subnet)]에서 Account 2와 공유하는 서브넷을 선택합니다.
- [Auto-assign Public IP]에서 [Enable]을 선택한 다음 [Next: Add Storage]를 선택합니다.
- [Next: Add Tags]를 선택한 다음 [Next: Configure Security Group]을 선택합니다.
- [보안 그룹 할당(Assign a security group)]에서 인스턴스 유형에 따라 [새 보안 그룹 생성(Create a new security group)] 또는 [기존 보안 그룹 선택(Select an existing security group)]을 선택합니다.
- [검토 및 시작(Review and Launch)]을 선택한 다음 [시작(Launch)]을 선택합니다.
- 인스턴스 유형에 따라 기존 키 페어를 선택하거나 새 키 페어를 생성한 다음 계약 확인란을 선택합니다.
- [인스턴스 시작(Launch Instances)]을 선택합니다.
관련 정보
AWS 리소스 공유
보안 그룹 작업
공유 서브넷 권한