Memahami sinkronisasi AWS CloudHSM kunci - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami sinkronisasi AWS CloudHSM kunci

AWS CloudHSM menggunakan sinkronisasi kunci untuk mengkloning kunci token di semua modul keamanan perangkat keras (HSM) dalam sebuah cluster. Anda membuat kunci token sebagai kunci persisten selama operasi pembuatan, impor, atau membuka kunci. Untuk mendistribusikan kunci ini di seluruh cluster, Cloud HSM menawarkan sinkronisasi kunci sisi klien dan sisi server.

Key synchronization diagram showing client-side and server-side sync for CloudHSM klaster.

Tujuan dengan sinkronisasi kunci—baik sisi server maupun sisi klien—adalah mendistribusikan kunci baru di seluruh klaster secepat mungkin setelah Anda membuatnya. Ini penting karena panggilan berikutnya yang Anda buat untuk menggunakan kunci baru dapat dirutekan ke yang tersedia HSM di cluster. Jika panggilan Anda membuat rute ke HSM tanpa kunci, maka panggilan gagal. Anda dapat mengurangi kegagalan jenis ini dengan menentukan bahwa panggilan coba lagi aplikasi Anda berikutnya dilakukan setelah operasi pembuatan kunci. Waktu yang diperlukan untuk menyinkronkan dapat bervariasi, tergantung pada beban kerja klaster Anda dan hal-hal tak berwujud lainnya. Gunakan CloudWatch metrik untuk menentukan waktu yang harus digunakan aplikasi Anda dalam situasi seperti ini. Untuk informasi selengkapnya, lihat CloudWatch Metrik.

Tantangan dengan sinkronisasi kunci di lingkungan cloud adalah daya tahan kunci. Anda membuat kunci pada satu HSM dan sering mulai menggunakan kunci itu segera. Jika HSM di mana Anda membuat kunci harus gagal sebelum kunci telah dikloning ke yang lain HSM di cluster, Anda kehilangan kunci dan akses ke apa pun yang dienkripsi oleh kunci. Untuk mengurangi risiko ini, kami menawarkan sinkronisasi sisi klien. Sinkronisasi sisi klien adalah proses sisi klien yang mengkloning kunci yang Anda buat selama operasi menghasilkan, impor, atau membuka kunci. Kunci kloning saat Anda membuatnya membuat kunci lebih tahan lama. Tentu saja, Anda tidak dapat mengkloning kunci dalam cluster dengan satuHSM. Untuk membuat kunci lebih tahan lama, kami juga menyarankan Anda mengonfigurasi cluster Anda untuk menggunakan minimal duaHSMs. Dengan sinkronisasi sisi klien dan cluster dengan duaHSMs, Anda dapat memenuhi tantangan ketahanan kunci di lingkungan cloud.