Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Siga las prácticas recomendadas de esta sección para gestionar claves en AWS CloudHSM.
Elija el tipo de clave correcto.
Cuando use una clave de sesión, sus transacciones por segundo (TPS) se limitarán a un HSM donde exista la clave. Añadir más HSMs en el clúster no aumentará el rendimiento de las solicitudes de esa clave. Si utilizas una clave simbólica para la misma aplicación, las solicitudes se repartirán entre todas las que estén disponibles HSMs en el clúster. Para obtener más información, consulte Ajustes clave de sincronización y durabilidad en AWS CloudHSM.
Gestione los límites de almacenamiento de claves.
HSMs tienen límites en cuanto al número máximo de claves de sesión y token que se pueden almacenar en un HSM a la vez. Para obtener información sobre los límites de almacenamiento de claves, consulte AWS CloudHSM cuotas. Si su aplicación requiere una cantidad superior al límite, puede emplear una o varias de las siguientes estrategias para gestionar las claves de forma eficaz:
Use un empaquetado fiable para almacenar las claves en un almacén de datos externo: si emplea un encapsulado de claves fiable, puede superar el límite de almacenamiento de claves guardándolas todas en un almacén de datos externo. Cuando tenga que usar una clave, puede desencapsularla en el HSM como clave de sesión, usarla para la operación requerida y, a continuación, descartar la clave de sesión. Los datos de la clave original permanecerán almacenados de forma segura en su almacén de datos para usarla siempre que la necesite. El uso de claves fiables maximiza su protección.
Distribuya las claves entre los clústeres: otra estrategia para superar el límite de almacenamiento de claves consiste en almacenar las claves en múltiples clústeres. Con este método, deberá mapear las claves almacenadas en cada clúster. Use este mapeo para redirigir las solicitudes de sus clientes al clúster que contiene la clave requerida. Para saber cómo conectarse a varios clústeres desde una misma aplicación de cliente, consulte los siguientes temas:
Gestionar y proteger el empaquetado de claves.
Las claves pueden marcarse como extraíbles o no extraíbles mediante el atributo EXTRACTABLE. De forma predeterminada, las claves de HSM se marcan como extraíbles.
Las claves extraíbles son aquellas que se pueden exportar desde el HSM mediante encapsulado de claves. Las claves empaquetadas se cifran, y se deben desencapsular con la misma clave de encapsulado para poder utilizarlas. Las claves no extraíbles no se pueden exportar desde el HSM bajo ninguna circunstancia. No es posible convertir una clave no extraíble en extraíble. Por ello, es importante que considere la necesidad de que sus claves sean o no extraíbles para definir el correspondiente atributo en consecuencia.
Si necesita empaquetar claves en su aplicación, deberá emplear un encapsulado de claves fiable, que permita limitar la capacidad de los usuarios de HSM. Así, estos solo podrán encapsular y desencapsular las claves que un administrador haya marcado explícitamente como de confianza. Para obtener más información, consulte los temas sobre encapsulado de claves de confianza en Llaves en AWS CloudHSM.
Recursos relacionados
