AWS CloudHSM conceptos clave de la tienda - AWS Key Management Service
AWS CloudHSM almacén de llavesAWS CloudHSM ClústerUsuario de criptografía de kmsuserKMSllaves en un AWS CloudHSM almacén de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS CloudHSM conceptos clave de la tienda

En este tema se explican algunos de los conceptos utilizados en AWS CloudHSM almacenes de claves.

AWS CloudHSM almacén de llaves

Una AWS CloudHSM el almacén de claves es un almacén de claves personalizado asociado a un AWS CloudHSM clúster que usted posee y administra. AWS CloudHSM los clústeres están respaldados por módulos de seguridad de hardware (HSMs) certificados con la certificación FIPS140-2 de nivel 3.

Al crear una KMS clave en su AWS CloudHSM almacén de claves, AWS KMS genera una clave simétrica del Estándar de Cifrado Avanzado (AES) persistente y no exportable de 256 bits en el AWS CloudHSM clúster. Este material clave nunca lo deja sin cifrar. HSMs Cuando utilizas una KMS clave en un AWS CloudHSM almacén de claves, las operaciones criptográficas se realizan HSMs en el clúster.

AWS CloudHSM los almacenes de claves combinan la práctica y completa interfaz de administración de claves de AWS KMS con los controles adicionales proporcionados por un AWS CloudHSM agrupar en tu Cuenta de AWS. Esta función integrada le permite crear, administrar y usar KMS claves en AWS KMS al tiempo HSMs que mantiene el control total de quienes almacenan su material clave, incluida la administración de clústeres y las copias de seguridad. HSMs Puede utilizar el AWS KMS consola y APIs para administrar la AWS CloudHSM almacén de claves y sus KMS claves. También puede utilizar el AWS CloudHSM la consolaAPIs, el software de cliente y las bibliotecas de software asociadas para administrar el clúster asociado.

Puede ver y administrar su AWS CloudHSM almacenar claves, editar sus propiedades y conectarlo y desconectarlo de su servidor asociado AWS CloudHSM clúster. Si necesita eliminar un AWS CloudHSM almacén de claves, primero debe eliminar las KMS claves del AWS CloudHSM almacene claves programando su eliminación y esperando a que caduque el período de gracia. Eliminar el AWS CloudHSM el almacén de claves elimina el recurso de AWS KMS, pero no afecta a su AWS CloudHSM clúster.

AWS CloudHSM Clúster

Cada AWS CloudHSM el almacén de claves está asociado a uno AWS CloudHSM clúster. Al crear un AWS KMS key en tu AWS CloudHSM tienda de llaves, AWS KMS crea su material clave en el clúster asociado. Cuando utilizas una KMS clave en tu AWS CloudHSM almacén de claves, la operación criptográfica se realiza en el clúster asociado.

Cada AWS CloudHSM el clúster solo se puede asociar a uno AWS CloudHSM almacén de claves. El clúster que elija no se puede asociar a otro AWS CloudHSM almacenar claves o compartir un historial de copias de seguridad con un clúster que esté asociado a otro AWS CloudHSM almacén de claves. El clúster debe estar inicializado y activo, y debe estar en el mismo Cuenta de AWS y Región como AWS CloudHSM almacén de claves. Puede crear un clúster nuevo o utilizar uno existente. AWS KMS no necesita el uso exclusivo del clúster. Para crear KMS claves en el AWS CloudHSM el almacén de claves, su clúster asociado, debe contener al menos dos activosHSMs. Todas las demás operaciones requieren solo unaHSM.

Usted especifica el AWS CloudHSM clúster al crear el AWS CloudHSM almacén de claves y no puede cambiarlo. Sin embargo, puede sustituir cualquier clúster que comparta un historial de copias de seguridad con el clúster original. De este modo podrá eliminar el clúster, en caso necesario, y reemplazarlo por uno creado a partir de una de sus copias de seguridad. Usted conserva el control total de lo asociado AWS CloudHSM agrupar para poder gestionar los usuarios y las claves, crear y eliminarHSMs, y utilizar y gestionar las copias de seguridad.

Cuando esté listo para usar su AWS CloudHSM almacén de claves, lo conectas a su almacén asociado AWS CloudHSM clúster. Puede conectar y desconectar su almacén de claves personalizado en cualquier momento. Cuando se conecta un almacén de claves personalizado, puede crear y utilizar sus KMS claves. Cuando está desconectado, puede ver y administrar el AWS CloudHSM almacén de claves y sus KMS claves. Sin embargo, no puede crear nuevas KMS claves ni utilizar las KMS claves del AWS CloudHSM almacén de claves para operaciones criptográficas.

Usuario de criptografía de kmsuser

Para crear y gestionar el material clave en el entorno asociado AWS CloudHSM agrupar en tu nombre, AWS KMS utiliza un dedicado AWS CloudHSM usuario criptográfico (CU) del clúster denominadokmsuser. La kmsuser CU es una cuenta de CU estándar que se sincroniza automáticamente con todos los componentes del clúster y se guarda HSMs en las copias de seguridad del clúster.

Antes de crear su AWS CloudHSM almacén de claves, crea una cuenta kmsuser CU en su AWS CloudHSM agrupe mediante el comando user create en Cloud HSMCLI. Luego, cuando crees el AWS CloudHSM almacén de claves, usted proporciona la contraseña de la kmsuser cuenta a AWS KMS. Al conectar el almacén de claves personalizadas, AWS KMS inicia sesión en el clúster como la kmsuser CU y cambia su contraseña. AWS KMS cifra la kmsuser contraseña antes de guardarla de forma segura. Cuando se gira la contraseña, la nueva contraseña se cifra y se almacena de la misma manera.

AWS KMS permanece conectado kmsuser mientras el AWS CloudHSM el almacén de claves está conectado. No debería usar esta cuenta de CU para otros fines. Sin embargo, conservará el control total de la cuenta del CU kmsuser. En cualquier momento, puede encontrar las llaves que kmsuser posee. Si es necesario, puede desconectar el almacén de claves personalizado, cambiar la contraseña de kmsuser, iniciar sesión en el clúster como kmsuser, y ver y administrar las claves propiedad de kmsuser.

Para obtener instrucciones sobre cómo crear la cuenta del CU kmsuser, consulte Crear el usuario de criptografía kmsuser.

KMSllaves en un AWS CloudHSM almacén de claves

Puede utilizar el AWS KMS o AWS KMS APIpara crear un AWS KMS keysen un AWS CloudHSM tienda de llaves. Usas la misma técnica que usarías en cualquier KMS tecla. La única diferencia es que debes identificar el AWS CloudHSM almacenar claves y especificar que el origen del material clave es el AWS CloudHSM clúster.

Al crear una KMS clave en un AWS CloudHSM almacén de claves, AWS KMS crea la KMS clave en AWS KMS y genera un material de clave simétrica del Estándar de Cifrado Avanzado (AES) persistente y no exportable de 256 bits en su clúster asociado. Cuando se utiliza el AWS KMS clave en una operación criptográfica, la operación se realiza en AWS CloudHSM agrupar utilizando la clave basada en el clústerAES. Aunque AWS CloudHSM admite claves simétricas y asimétricas de diferentes tipos, AWS CloudHSM los almacenes de claves solo admiten claves de cifrado AES simétricas.

Puede ver las KMS claves en un AWS CloudHSM almacén de claves en el AWS KMS y utilice las opciones de la consola para mostrar el ID del almacén de claves personalizado. También puede utilizar la DescribeKeyoperación para buscar el AWS CloudHSM ID del almacén de claves y AWS CloudHSM ID de clúster.

Las KMS claves de un AWS CloudHSM el almacén de llaves funciona igual que cualquier KMS llave de AWS KMS. Los usuarios autorizados necesitan los mismos permisos para usar y administrar las KMS claves. Se utilizan los mismos procedimientos y API operaciones de la consola para ver y gestionar las KMS claves de un AWS CloudHSM almacén de claves. Estas incluyen habilitar y deshabilitar KMS las claves, crear y usar etiquetas y alias, y establecer IAM y cambiar las políticas clave. Puede utilizar las KMS claves en un AWS CloudHSM almacene claves para operaciones criptográficas y utilícelas de forma integrada AWS servicios que admiten el uso de claves gestionadas por el cliente Sin embargo, no puede habilitar la rotación automática de claves ni importar material clave a una KMS clave de un AWS CloudHSM almacén de claves.

También se utiliza el mismo proceso para programar la eliminación de una KMS clave en un AWS CloudHSM almacén de claves. Una vez transcurrido el período de espera, AWS KMS elimina la KMS clave deKMS. Luego, hace todo lo posible por eliminar el material clave de la KMS clave del archivo asociado AWS CloudHSM clúster. Sin embargo, es posible que deba eliminar el material de claves huérfano manualmente del clúster y de sus copias de seguridad.