AWS CloudHSM concepts clés du magasin - AWS Key Management Service
AWS CloudHSM magasin de clésAWS CloudHSM clusterUtilisateur de chiffrement kmsuserKMSclés dans un AWS CloudHSM magasin de clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudHSM concepts clés du magasin

Cette rubrique explique certains des concepts utilisés dans AWS CloudHSM magasins clés.

AWS CloudHSM magasin de clés

Un AWS CloudHSM le magasin de clés est un magasin de clés personnalisé associé à un AWS CloudHSM cluster que vous possédez et gérez. AWS CloudHSM les clusters sont soutenus par des modules de sécurité matériels (HSMs) certifiés FIPS140-2 niveau 3.

Lorsque vous créez une KMS clé dans votre AWS CloudHSM magasin de clés, AWS KMS génère une clé symétrique Advanced Encryption Standard (AES) de 256 bits, persistante et non exportable dans le AWS CloudHSM grappe. Ce matériel clé ne vous laisse jamais HSMs déchiffré. Lorsque vous utilisez une KMS clé dans un AWS CloudHSM magasin de clés, les opérations cryptographiques sont effectuées HSMs dans le cluster.

AWS CloudHSM les magasins de clés combinent l'interface de gestion des clés pratique et complète de AWS KMS avec les commandes supplémentaires fournies par un AWS CloudHSM cluster dans votre Compte AWS. Cette fonctionnalité intégrée vous permet de créer, de gérer et d'utiliser KMS des clés dans AWS KMS tout en gardant le contrôle total de ceux HSMs qui stockent leur matériel clé, y compris la gestion des clusters et des sauvegardes. HSMs Vous pouvez utiliser le plugin AWS KMS console et APIs pour gérer le AWS CloudHSM magasin de clés et ses KMS clés. Vous pouvez également utiliser AWS CloudHSM consoleAPIs, logiciel client et bibliothèques logicielles associées pour gérer le cluster associé.

Vous pouvez consulter et gérer votre AWS CloudHSM magasin de clés, modifiez ses propriétés, connectez-le et déconnectez-le de ses AWS CloudHSM grappe. Si vous devez supprimer un AWS CloudHSM magasin de clés, vous devez d'abord supprimer les KMS clés du AWS CloudHSM magasin de clés en programmant leur suppression et en attendant l'expiration du délai de grâce. Suppression du AWS CloudHSM le magasin de clés supprime la ressource de AWS KMS, mais cela n'affecte pas votre AWS CloudHSM grappe.

AWS CloudHSM cluster

Chaque AWS CloudHSM le magasin de clés est associé à un AWS CloudHSM grappe. Lorsque vous créez un AWS KMS key dans votre AWS CloudHSM magasin de clés, AWS KMS crée son matériau clé dans le cluster associé. Lorsque vous utilisez une KMS clé dans votre AWS CloudHSM magasin de clés, l'opération cryptographique est effectuée dans le cluster associé.

Chaque AWS CloudHSM le cluster ne peut être associé qu'à un AWS CloudHSM magasin de clés. Le cluster que vous choisissez ne peut pas être associé à un autre AWS CloudHSM stockez des clés ou partagez un historique de sauvegarde avec un cluster associé à un autre AWS CloudHSM magasin de clés. Le cluster doit être initialisé et actif, et il doit être dans le même Compte AWS et Region en tant que AWS CloudHSM magasin de clés. Vous pouvez créer un nouveau cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas l'utilisation exclusive du cluster. Pour créer KMS des clés dans AWS CloudHSM magasin de clés, son cluster associé, il doit en contenir au moins deux actifsHSMs. Toutes les autres opérations n'en nécessitent qu'une seuleHSM.

Vous spécifiez le AWS CloudHSM cluster lorsque vous créez le AWS CloudHSM magasin de clés, et vous ne pouvez pas le modifier. Cependant, vous pouvez remplacer n'importe quel cluster qui partage un historique de sauvegardes avec le cluster d'origine. Cela vous permet de supprimer le cluster, si nécessaire, et de le remplacer-le par un cluster créé à partir de l'une de ses sauvegardes. Vous conservez le contrôle total de ce qui y est associé AWS CloudHSM cluster afin que vous puissiez gérer les utilisateurs et les clés, créer et supprimerHSMs, et utiliser et gérer des sauvegardes.

Lorsque vous êtes prêt à utiliser votre AWS CloudHSM magasin de clés, vous le connectez à son magasin associé AWS CloudHSM grappe. Vous pouvez connecter et déconnecter votre magasin de clés personnalisé à tout moment. Lorsqu'un magasin de clés personnalisé est connecté, vous pouvez créer et utiliser ses KMS clés. Lorsqu'il est déconnecté, vous pouvez consulter et gérer AWS CloudHSM magasin de clés et ses KMS clés. Mais vous ne pouvez pas créer de nouvelles KMS clés ni utiliser les KMS clés du AWS CloudHSM magasin de clés pour les opérations cryptographiques.

Utilisateur de chiffrement kmsuser

Pour créer et gérer des éléments clés dans le AWS CloudHSM cluster en votre nom, AWS KMS utilise un outil dédié AWS CloudHSM utilisateur cryptographique (CU) dans le cluster nommékmsuser. Le kmsuser CU est un compte CU standard qui est automatiquement synchronisé avec tous les membres HSMs du cluster et enregistré dans les sauvegardes du cluster.

Avant de créer votre AWS CloudHSM magasin de clés, vous créez un compte kmsuser CU dans votre AWS CloudHSM cluster à l'aide de la commande user create dans le Cloud HSMCLI. Ensuite, lorsque vous créez le AWS CloudHSM magasin de clés, vous fournissez le mot de passe du kmsuser compte à AWS KMS. Lorsque vous connectez le magasin de clés personnalisé, AWS KMS se connecte au cluster en tant que kmsuser CU et change son mot de passe. AWS KMS chiffre votre kmsuser mot de passe avant de le stocker en toute sécurité. Lorsque le mot de passe a effectué une rotation, le nouveau mot de passe est chiffré et stocké de la même manière.

AWS KMS reste connecté kmsuser tant que AWS CloudHSM le magasin de clés est connecté. Vous ne devez pas utiliser ce compte CU à d'autres fins. Toutefois, vous gardez le contrôle ultime du compte CU kmsuser. À tout moment, vous pouvez retrouver les clés qui en sont kmsuser propriétaires. Si nécessaire, vous pouvez déconnecter le magasin de clés personnalisé, modifier le mot de passe kmsuser, vous connecter au cluster en tant que kmsuser et afficher et gérer les clés que kmsuser détient.

Pour obtenir des instructions sur la création de votre compte CU kmsuser, consultez Créer l'utilisateur de chiffrement (CU) kmsuser.

KMSclés dans un AWS CloudHSM magasin de clés

Vous pouvez utiliser le plugin AWS KMS or AWS KMS APIpour créer un AWS KMS keysdans un AWS CloudHSM magasin de clés. Vous utilisez la même technique que celle que vous utiliseriez sur n'importe quelle KMS touche. La seule différence est que vous devez identifier AWS CloudHSM stockez les clés et spécifiez que l'origine du matériau clé est AWS CloudHSM grappe.

Lorsque vous créez une KMS clé dans un AWS CloudHSM magasin de clés, AWS KMS crée la KMS clé dans AWS KMS et il génère une clé symétrique Advanced Encryption Standard (AES) de 256 bits, persistante et non exportable dans son cluster associé. Lorsque vous utilisez le AWS KMS clé lors d'une opération cryptographique, l'opération est effectuée dans AWS CloudHSM cluster à l'aide de la clé basée sur le clusterAES. Bien que AWS CloudHSM supporte des clés symétriques et asymétriques de différents types, AWS CloudHSM les magasins de clés ne prennent en charge que les clés de chiffrement AES symétriques.

Vous pouvez afficher les KMS clés dans un AWS CloudHSM magasin de clés dans le AWS KMS console, et utilisez les options de la console pour afficher l'ID de banque de clés personnalisé. Vous pouvez également utiliser l'DescribeKeyopération pour trouver AWS CloudHSM ID du magasin de clés et AWS CloudHSM ID du cluster.

Les KMS clés d'un AWS CloudHSM le magasin de clés fonctionne comme n'importe quelle KMS clé AWS KMS. Les utilisateurs autorisés ont besoin des mêmes autorisations pour utiliser et gérer les KMS clés. Vous utilisez les mêmes procédures et API opérations de console pour afficher et gérer les KMS clés d'un AWS CloudHSM magasin de clés. Il s'agit notamment de l'activation et de la désactivation KMS des clés, de la création et de l'utilisation de balises et d'alias, ainsi que de la définition et de la modification de IAM politiques clés. Vous pouvez utiliser les KMS touches d'un AWS CloudHSM magasin de clés pour les opérations cryptographiques, et utilisez-les avec AWS services qui prennent en charge l'utilisation de clés gérées par le client Cependant, vous ne pouvez pas activer la rotation automatique des clés ou importer du contenu clé dans une KMS clé d'un AWS CloudHSM magasin de clés.

Vous utilisez également le même processus pour planifier la suppression d'une KMS clé dans un AWS CloudHSM magasin de clés. Une fois le délai d'attente expiré, AWS KMS supprime la KMS clé de. KMS Ensuite, il fait de son mieux pour supprimer le contenu clé de la KMS clé dans le fichier associé AWS CloudHSM grappe. Cependant, il se peut que vous ayez besoin de supprimer manuellement les éléments de clé orphelins du cluster et de ses sauvegardes.