Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre la synchronisation AWS CloudHSM des touches
AWS CloudHSM utilise la synchronisation des clés pour cloner les clés de jeton sur tous les modules de sécurité matériels (HSM) d'un cluster. Vous créez des clés de jeton en tant que clés persistantes lors des opérations de génération, d'importation ou de désencapsulage de clés. Pour distribuer ces clés au sein du cluster, Cloud HSM propose une synchronisation des clés côté client et côté serveur.
L'objectif de la synchronisation des clés, à la fois côté serveur et côté client, est de distribuer les nouvelles clés dans le cluster le plus rapidement possible après les avoir créées. Ceci est important car les appels suivants que vous effectuez pour utiliser de nouvelles clés peuvent être routés vers toutes les clés disponibles HSM dans le cluster. Si l'appel que vous effectuez est acheminé vers un appel HSM sans la clé, l'appel échoue. Vous pouvez atténuer ce type d'échec en spécifiant que vos applications réessayent les appels suivants effectués après les opérations de création de clés. Le temps nécessaire à la synchronisation peut varier en fonction de la charge de travail de votre cluster et des autres actifs incorporels. Utilisez CloudWatch des métriques pour déterminer le calendrier que votre application doit utiliser dans ce type de situation. Pour plus d'informations, consultez la section CloudWatch Métriques.
Le défi de la synchronisation des clés dans un environnement cloud réside dans la durabilité des clés. Vous créez des clés sur une clé HSM et vous commencez souvent à les utiliser immédiatement. Si le système HSM sur lequel vous créez les clés échoue avant que les clés n'aient été clonées vers un autre élément HSM du cluster, vous perdez les clés et l'accès à tout ce qui est chiffré par les clés. Pour atténuer ce risque, nous proposons une synchronisation côté client. La synchronisation côté client est un processus côté client qui clone les clés que vous créez lors des opérations de génération, d'importation ou de désencapsulage des clés. Le clonage des clés au fur et à mesure de leur création les rend plus durables. Bien entendu, vous ne pouvez pas cloner des clés dans un cluster avec une clé uniqueHSM. Pour améliorer la durabilité des clés, nous vous recommandons également de configurer votre cluster pour en utiliser au moins deuxHSMs. Grâce à la synchronisation côté client et à un cluster composé de deuxHSMs, vous pouvez relever le défi de la durabilité des clés dans un environnement cloud.
