Grundlegendes AWS CloudHSM zur Schlüsselsynchronisierung - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes AWS CloudHSM zur Schlüsselsynchronisierung

AWS CloudHSM verwendet die Schlüsselsynchronisierung, um Tokenschlüssel für alle Hardware-Sicherheitsmodule (HSM) in einem Cluster zu klonen. Sie erstellen Token-Schlüssel als persistente Schlüssel bei der Schlüsselgenerierung, beim Import oder beim Entpacken. Um diese Schlüssel im Cluster zu verteilen, HSM bietet Cloud sowohl die clientseitige als auch die serverseitige Schlüsselsynchronisierung.

Key synchronization diagram showing client-side and server-side sync for CloudHSM Cluster.

Das Ziel der Schlüsselsynchronisierung – sowohl serverseitig als auch clientseitig – besteht darin, neue Schlüssel so schnell wie möglich im Cluster zu verteilen, nachdem Sie sie erstellt haben. Dies ist wichtig, da die nachfolgenden Aufrufe, die Sie zur Verwendung neuer Schlüssel tätigen, an alle im Cluster verfügbaren HSM Schlüssel weitergeleitet werden können. Wenn der Anruf, den Sie tätigen, an einen HSM ohne den Schlüssel weitergeleitet wird, schlägt der Anruf fehl. Sie können diese Art von Fehlern beheben, indem Sie angeben, dass Ihre Anwendungen nachfolgende Aufrufe wiederholen, die nach der Schlüsselerstellung ausgeführt wurden. Die für die Synchronisierung benötigte Zeit kann je nach der Arbeitslast Ihres Clusters und anderen immateriellen Vermögenswerten variieren. Verwenden Sie CloudWatch Metriken, um das Timing zu bestimmen, das Ihre Anwendung in einer solchen Situation verwenden sollte. Weitere Informationen finden Sie unter CloudWatch Metriken.

Die Herausforderung bei der Schlüsselsynchronisierung in einer Cloud-Umgebung ist die Haltbarkeit der Schlüssel. Sie erstellen Schlüssel auf einem einzelnen HSM und beginnen oft sofort, diese Schlüssel zu verwenden. Wenn der Schlüssel, für den Sie Schlüssel erstellen, fehlschlägt, bevor die Schlüssel HSM auf einen anderen Schlüssel HSM im Cluster geklont wurden, verlieren Sie die Schlüssel und den Zugriff auf alles, was mit den Schlüsseln verschlüsselt wurde. Um dieses Risiko zu minimieren, bieten wir Client-Synchronisierung an. Die clientseitige Synchronisation ist ein clientseitiger Prozess, bei dem die Schlüssel geklont werden, die Sie beim Generieren, Importieren oder Entpacken von Schlüsseln erstellen. Durch das Klonen von Schlüsseln während der Erstellung werden Schlüssel langlebiger. Natürlich können Sie Schlüssel in einem Cluster nicht mit einem einzigen HSM Schlüssel klonen. Um Schlüssel langlebiger zu machen, empfehlen wir Ihnen außerdem, Ihren Cluster so zu konfigurieren, dass mindestens zwei Schlüssel verwendet HSMs werden. Mit der clientseitigen Synchronisation und einem Cluster mit zwei HSMs können Sie die Herausforderung der Schlüsselbeständigkeit in einer Cloud-Umgebung bewältigen.