Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penyimpanan kunci kustom
Penyimpanan kunci adalah lokasi yang aman untuk menyimpan kunci kriptografis. Penyimpanan kunci default AWS KMS juga mendukung metode untuk menghasilkan dan mengelola kunci yang disimpannya. Secara default, materi kunci kriptografi untuk AWS KMS keys yang Anda buat dihasilkan dan dilindungi oleh modul keamanan perangkat keras (HSM) yang AWS KMS merupakan modul kriptografi tervalidasi FIPS 140-2
Namun, jika Anda memerlukan lebih banyak kontrol dari HSM, Anda dapat membuat toko kunci khusus.
Toko kunci khusus adalah toko kunci logis di dalamnya AWS KMS yang didukung oleh manajer kunci di luar AWS KMS yang Anda miliki dan kelola. Toko kunci khusus menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kemampuan untuk memiliki dan mengontrol materi utama dan operasi kriptografi. Ketika Anda menggunakan kunci KMS di toko kunci khusus, operasi kriptografi dilakukan oleh manajer kunci Anda menggunakan kunci kriptografi Anda. Akibatnya, Anda memikul lebih banyak tanggung jawab atas ketersediaan dan daya tahan kunci kriptografi, dan untuk pengoperasian HSM.
AWS KMSmendukung dua jenis toko kunci khusus.
-
Toko AWS CloudHSM kunci adalah toko kunci AWS KMS khusus yang didukung oleh AWS CloudHSM cluster. Saat Anda membuat kunci KMS di toko kunci Anda, AWS KMS buat AWS CloudHSM kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkait. AWS CloudHSM Materi utama ini tidak pernah meninggalkan AWS CloudHSM cluster Anda tidak terenkripsi. Bila Anda menggunakan kunci KMS di AWS CloudHSM key store, operasi kriptografi dilakukan di HSM di cluster. AWS CloudHSMcluster didukung oleh modul keamanan perangkat keras (HSM) yang disertifikasi di FIPS 140-2
Level 3. -
Toko kunci eksternal adalah toko kunci AWS KMS khusus yang didukung oleh manajer kunci eksternal di luar AWS yang Anda miliki dan kendalikan. Ketika Anda menggunakan kunci KMS di toko kunci eksternal Anda, semua operasi enkripsi dan dekripsi dilakukan oleh manajer kunci eksternal Anda menggunakan kunci kriptografi Anda. Toko kunci eksternal dirancang untuk mendukung berbagai manajer kunci eksternal dari vendor yang berbeda.
AWS KMSJangan pernah langsung melihat, mengakses, atau berinteraksi dengan manajer kunci eksternal atau kunci kriptografi Anda. Ketika Anda mengenkripsi atau mendekripsi dengan kunci KMS di toko kunci eksternal, operasi dilakukan oleh manajer kunci eksternal Anda menggunakan kunci eksternal Anda. Anda mempertahankan kendali penuh atas kunci kriptografi Anda, termasuk kemampuan untuk menolak atau menghentikan operasi kriptografi tanpa berinteraksi dengannya. AWS Namun, karena jarak dan pemrosesan ekstra, kunci KMS di toko kunci eksternal mungkin memiliki latensi dan kinerja yang lebih buruk, dan mungkin memiliki karakteristik ketersediaan yang berbeda dari kunci KMS dengan bahan utama. AWS KMS Untuk informasi selengkapnya tentang pengelola kunci yang kompatibel dengan fitur penyimpanan kunci AWS KMS eksternal, lihat Vendor eksternal mana yang mendukung spesifikasi Proxy XKS?
di AWS Key Management ServiceFAQ.
Kedua jenis toko kunci khusus ini sangat berbeda dari toko AWS KMS kunci standar dan satu sama lain. Model keamanan mereka, fokus tanggung jawab, kinerja, harga, dan kasus penggunaan juga sangat berbeda. Sebelum memilih toko kunci khusus, baca dokumentasi terkait dan konfirmasikan bahwa konfigurasi tambahan dan tanggung jawab pemeliharaan adalah pertukaran yang bijaksana untuk kontrol ekstra. Namun, jika aturan dan peraturan di mana Anda beroperasi memerlukan kontrol langsung atas materi utama, toko kunci khusus mungkin merupakan pilihan yang baik untuk Anda.
Fitur yang tidak didukung
AWS KMStidak mendukung fitur berikut di toko kunci khusus.
