AWS CloudHSM toko-toko utama - AWS Key Management Service
AWS CloudHSM konsep toko utama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS CloudHSM toko-toko utama

Toko AWS CloudHSM kunci adalah toko kunci khusus yang didukung oleh AWS CloudHSM cluster. Saat Anda membuat AWS KMS key di penyimpanan kunci khusus, buat dan simpan materi AWS KMS kunci yang tidak dapat diekstraksi untuk kunci KMS dalam AWS CloudHSM klaster yang Anda miliki dan kelola. Bila Anda menggunakan kunci KMS di toko kunci kustom, operasi kriptografi dilakukan di HSMs dalam cluster. Fitur ini menggabungkan kenyamanan dan integrasi luas AWS KMS dengan kontrol tambahan AWS CloudHSM cluster di Anda Akun AWS.

AWS KMS menyediakan konsol lengkap dan dukungan API untuk membuat, menggunakan, dan mengelola toko kunci kustom Anda. Anda dapat menggunakan kunci KMS di toko kunci kustom Anda dengan cara yang sama seperti Anda menggunakan kunci KMS apa pun. Misalnya, Anda dapat menggunakan kunci KMS untuk menghasilkan kunci data dan mengenkripsi data. Anda juga dapat menggunakan kunci KMS di toko kunci kustom Anda dengan AWS layanan yang mendukung kunci yang dikelola pelanggan.

Apakah saya memerlukan toko kunci khusus?

Bagi sebagian besar pengguna, penyimpanan AWS KMS kunci default, yang dilindungi oleh modul kriptografi tervalidasi FIPS 140-3, memenuhi persyaratan keamanan mereka. Tidak perlu menambahkan lapisan tambahan dari tanggung jawab pemeliharaan atau dependensi pada layanan tambahan.

Namun, Anda dapat mempertimbangkan untuk membuat penyimpanan kunci kustom jika organisasi Anda memiliki salah satu persyaratan berikut:

  • Anda memiliki kunci yang secara eksplisit diperlukan untuk dilindungi dalam HSM penyewa tunggal atau dalam HSM yang Anda memiliki kendali langsung atas.

  • Anda membutuhkan kemampuan untuk segera menghapus materi kunci dari AWS KMS.

  • Anda harus dapat mengaudit semua penggunaan kunci Anda secara independen dari AWS KMS atau AWS CloudTrail.

Bagaimana cara kerja toko kunci khusus?

Setiap toko kunci khusus dikaitkan dengan AWS CloudHSM cluster di Anda Akun AWS. Saat Anda menghubungkan penyimpanan kunci khusus ke klasternya, AWS KMS buat infrastruktur jaringan untuk mendukung koneksi. Kemudian masuk ke AWS CloudHSM klien kunci di cluster menggunakan kredensyal pengguna crypto khusus di cluster.

Anda membuat dan mengelola toko kunci kustom Anda di AWS KMS dan membuat dan mengelola klaster HSM Anda di. AWS CloudHSM Saat Anda membuat AWS KMS keys di toko kunci AWS KMS khusus, Anda melihat dan mengelola kunci KMS di AWS KMS. Tetapi Anda juga dapat melihat dan mengelola material kunci di AWS CloudHSM, seperti yang akan Anda lakukan untuk kunci lain dalam klaster.

Mengelola kunci KMS di toko kunci khusus

Anda dapat membuat kunci KMS enkripsi simetris dengan materi kunci yang dihasilkan oleh AWS KMS di toko kunci kustom Anda. Kemudian gunakan teknik yang sama untuk melihat dan mengelola kunci KMS di toko kunci kustom Anda yang Anda gunakan untuk kunci KMS di toko AWS KMS kunci. Anda dapat mengontrol akses dengan IAM dan kebijakan kunci, membuat tag dan alias, mengaktifkan dan menonaktifkan kunci KMS, dan menjadwalkan penghapusan kunci. Anda dapat menggunakan kunci KMS untuk operasi kriptografi dan menggunakannya dengan AWS layanan yang terintegrasi dengannya. AWS KMS

Selain itu, Anda memiliki kontrol penuh atas AWS CloudHSM cluster, termasuk membuat dan menghapus HSMs dan mengelola cadangan. Anda dapat menggunakan AWS CloudHSM klien dan pustaka perangkat lunak yang didukung untuk melihat, mengaudit, dan mengelola materi utama untuk kunci KMS Anda. Sementara toko kunci khusus terputus, AWS KMS tidak dapat mengaksesnya, dan pengguna tidak dapat menggunakan kunci KMS di toko kunci khusus untuk operasi kriptografi. Lapisan kontrol tambahan ini membuat penyimpanan kunci kustom menjadi solusi yang ampuh untuk organisasi yang memerlukannya.

Di mana saya mulai?

Untuk membuat dan mengelola toko AWS CloudHSM kunci, Anda menggunakan fitur AWS KMS dan AWS CloudHSM.

  1. Mulai masuk AWS CloudHSM. Buat klaster AWS CloudHSM aktif atau pilih klaster yang ada. Cluster harus memiliki setidaknya dua yang aktif HSMs di Availability Zone yang berbeda. Kemudian buat akun pengguna kripto (CU) khusus di klaster tersebut untuk AWS KMS.

  2. Di AWS KMS, buat penyimpanan kunci khusus yang terkait dengan AWS CloudHSM cluster yang Anda pilih. AWS KMS menyediakan antarmuka manajemen lengkap yang memungkinkan Anda membuat, melihat, mengedit, dan menghapus toko kunci kustom Anda.

  3. Saat Anda siap menggunakan toko kunci kustom Anda, sambungkan ke AWS CloudHSM klaster terkait. AWS KMS menciptakan infrastruktur jaringan yang dibutuhkan untuk mendukung koneksi. Ini kemudian login ke klaster menggunakan kredensial akun pengguna kripto khusus sehingga dapat menghasilkan dan mengelola material kunci dalam klaster.

  4. Sekarang, Anda dapat membuat kunci KMS enkripsi simetris di toko kunci khusus Anda. Cukup tentukan toko kunci khusus saat Anda membuat kunci KMS.

Jika Anda bingung pada suatu titik, Anda dapat menemukan bantuan di topik Memecahkan masalah penyimpanan kunci kustom. Jika pertanyaan Anda tidak terjawab, gunakan tautan umpan balik di bagian bawah setiap halaman panduan ini atau posting pertanyaan di Forum Diskusi AWS Key Management Service.

Kuota

AWS KMS memungkinkan hingga 10 toko kunci khusus di masing-masing Akun AWS dan Wilayah, termasuk toko utama dan toko AWS CloudHSM kunci eksternal, terlepas dari status koneksi mereka. Selain itu, ada kuota AWS KMS permintaan tentang penggunaan kunci KMS di toko AWS CloudHSM kunci.

Penetapan Harga

Untuk informasi tentang biaya toko kunci AWS KMS khusus dan kunci yang dikelola pelanggan di toko kunci kustom, lihat AWS Key Management Service harga. Untuk informasi tentang biaya AWS CloudHSM cluster dan HSMs, lihat AWS CloudHSM Harga.

Daerah

AWS KMS mendukung toko-toko AWS CloudHSM utama di semua Wilayah AWS tempat yang AWS KMS didukung, kecuali untuk Asia Pasifik (Melbourne), Tiongkok (Beijing), Tiongkok (Ningxia), dan Eropa (Spanyol).

Fitur yang tidak didukung

AWS KMS tidak mendukung fitur-fitur berikut di toko kunci khusus.

AWS CloudHSM konsep toko utama

Topik ini menjelaskan beberapa istilah dan konsep yang digunakan di toko-toko AWS CloudHSM utama.

AWS CloudHSM toko kunci

Toko AWS CloudHSM kunci adalah toko kunci khusus yang terkait dengan AWS CloudHSM cluster yang Anda miliki dan kelola. AWS CloudHSM cluster didukung oleh modul keamanan perangkat keras (HSMs) yang disertifikasi di FIPS 140-2 atau FIPS 140-3Level 3.

Saat Anda membuat kunci KMS di toko kunci Anda, AWS KMS buat AWS CloudHSM kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkait. AWS CloudHSM Materi kunci ini tidak pernah meninggalkan Anda yang HSMs tidak terenkripsi. Bila Anda menggunakan kunci KMS di toko AWS CloudHSM kunci, operasi kriptografi dilakukan di HSMs dalam cluster.

AWS CloudHSM toko utama menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kontrol tambahan yang disediakan oleh AWS CloudHSM cluster di Anda Akun AWS. Fitur terintegrasi ini memungkinkan Anda membuat, mengelola, dan menggunakan kunci KMS AWS KMS sambil mempertahankan kontrol penuh dari HSMs yang menyimpan materi utama mereka, termasuk mengelola cluster, HSMs, dan backup. Anda dapat menggunakan AWS KMS konsol dan APIs mengelola toko AWS CloudHSM kunci dan kunci KMS-nya. Anda juga dapat menggunakan AWS CloudHSM konsol, perangkat lunak klien APIs, dan pustaka perangkat lunak terkait untuk mengelola klaster terkait.

Anda dapat melihat dan mengelola toko AWS CloudHSM kunci Anda, mengedit propertinya, dan menghubungkan dan memutusnya dari AWS CloudHSM klaster terkait. Jika Anda perlu menghapus toko AWS CloudHSM kunci, Anda harus terlebih dahulu menghapus kunci KMS di toko AWS CloudHSM kunci dengan menjadwalkan penghapusan mereka dan menunggu sampai masa tenggang berakhir. Menghapus penyimpanan AWS CloudHSM kunci menghapus sumber daya dari AWS KMS, tetapi itu tidak mempengaruhi AWS CloudHSM cluster Anda.

AWS CloudHSM kluster

Setiap toko AWS CloudHSM kunci dikaitkan dengan satu AWS CloudHSM cluster. Saat Anda membuat AWS KMS key di toko AWS CloudHSM kunci Anda, AWS KMS buat materi utamanya di cluster terkait. Ketika Anda menggunakan kunci KMS di toko AWS CloudHSM kunci Anda, operasi kriptografi dilakukan di cluster terkait.

Setiap AWS CloudHSM cluster dapat dikaitkan dengan hanya satu penyimpanan AWS CloudHSM kunci. Cluster yang Anda pilih tidak dapat dikaitkan dengan penyimpanan AWS CloudHSM kunci lain atau berbagi riwayat cadangan dengan cluster yang terkait dengan penyimpanan AWS CloudHSM kunci lain. Cluster harus diinisialisasi dan aktif, dan harus sama Akun AWS dan Wilayah sebagai penyimpanan AWS CloudHSM kunci. Anda dapat membuat cluster baru atau menggunakan yang sudah ada. AWS KMS tidak perlu penggunaan cluster secara eksklusif. Untuk membuat kunci KMS di toko AWS CloudHSM kunci, cluster terkait itu harus berisi setidaknya dua aktif HSMs. Semua operasi lain hanya memerlukan satu HSM.

Anda menentukan AWS CloudHSM cluster saat Anda membuat penyimpanan AWS CloudHSM kunci, dan Anda tidak dapat mengubahnya. Namun, Anda dapat mengganti setiap klaster yang berbagi riwayat cadangan dengan klaster asli. Hal ini memungkinkan Anda menghapus klaster, jika perlu, dan menggantinya dengan klaster yang dibuat dari salah satu cadangan. Anda mempertahankan kontrol penuh atas AWS CloudHSM klaster terkait sehingga Anda dapat mengelola pengguna dan kunci, membuat dan menghapus HSMs, serta menggunakan dan mengelola cadangan.

Ketika Anda siap untuk menggunakan toko AWS CloudHSM kunci Anda, Anda menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutus penyimpanan kunci kustom Anda kapan saja. Ketika toko kunci khusus terhubung, Anda dapat membuat dan menggunakan kunci KMS-nya. Ketika terputus, Anda dapat melihat dan mengelola toko AWS CloudHSM kunci dan kunci KMS-nya. Tetapi Anda tidak dapat membuat kunci KMS baru atau menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi.

Pengguna kripto kmsuser

Untuk membuat dan mengelola materi utama di AWS CloudHSM klaster terkait atas nama Anda, AWS KMS gunakan pengguna AWS CloudHSM kripto khusus (CU) di cluster bernamakmsuser. kmsuserCU adalah akun CU standar yang secara otomatis disinkronkan ke semua HSMs di cluster dan disimpan dalam cadangan cluster.

Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda membuat akun kmsuser CU di AWS CloudHSM cluster Anda menggunakan perintah user create di CloudHSM CLI. Kemudian ketika Anda membuat toko AWS CloudHSM kunci, Anda memberikan kata sandi kmsuser akun ke AWS KMS. Saat Anda menghubungkan toko kunci khusus, AWS KMS masuk ke cluster sebagai kmsuser CU dan memutar kata sandinya. AWS KMS mengenkripsi kmsuser kata sandi Anda sebelum menyimpannya dengan aman. Ketika kata sandi diputar, kata sandi baru dienkripsi dan disimpan dengan cara yang sama.

AWS KMS tetap masuk kmsuser selama toko AWS CloudHSM kunci terhubung. Anda tidak boleh menggunakan akun CU ini untuk tujuan lain. Namun, Anda mempertahankan kontrol tertinggi dari akun CU kmsuser. Kapan saja, Anda dapat menemukan kunci yang kmsuser dimilikinya. Jika perlu, Anda dapat memutuskan koneksi penyimpanan kunci kustom, mengubah kata sandi kmsuser,login ke klaster sebagai kmsuser, serta melihat dan mengelola kunci yang dimiliki kmsuser.

Untuk petunjuk tentang cara membuat akun CU kmsuser Anda, lihat Membuat Pengguna Kripto kmsuser.

Kunci KMS di toko AWS CloudHSM kunci

Anda dapat menggunakan AWS KMS API AWS KMS atau untuk membuat AWS KMS keys di toko AWS CloudHSM kunci. Anda menggunakan teknik yang sama yang akan Anda gunakan pada kunci KMS apa pun. Satu-satunya perbedaan adalah Anda harus mengidentifikasi penyimpanan AWS CloudHSM kunci dan menentukan bahwa asal bahan utama adalah AWS CloudHSM cluster.

Saat Anda membuat kunci KMS di penyimpanan kunci, buat AWS CloudHSM kunci KMS AWS KMS dan itu menghasilkan AWS KMS materi kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkaitnya. Ketika Anda menggunakan AWS KMS kunci dalam operasi kriptografi, operasi dilakukan di AWS CloudHSM cluster menggunakan kunci AES berbasis cluster. Meskipun AWS CloudHSM mendukung kunci simetris dan asimetris dari berbagai jenis, toko AWS CloudHSM kunci hanya mendukung kunci enkripsi simetris AES.

Anda dapat melihat kunci KMS di penyimpanan AWS CloudHSM kunci di AWS KMS konsol, dan menggunakan opsi konsol untuk menampilkan ID penyimpanan kunci khusus. Anda juga dapat menggunakan DescribeKeyoperasi untuk menemukan ID penyimpanan AWS CloudHSM kunci dan ID AWS CloudHSM cluster.

Kunci KMS di toko AWS CloudHSM kunci berfungsi seperti kunci KMS apa pun. AWS KMS Pengguna yang berwenang memerlukan izin yang sama untuk menggunakan dan mengelola kunci KMS. Anda menggunakan prosedur konsol dan operasi API yang sama untuk melihat dan mengelola kunci KMS di penyimpanan AWS CloudHSM kunci. Ini termasuk mengaktifkan dan menonaktifkan kunci KMS, membuat dan menggunakan tag dan alias, dan mengatur dan mengubah IAM dan kebijakan utama. Anda dapat menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi, dan menggunakannya dengan AWS layanan terintegrasi yang mendukung penggunaan kunci yang dikelola pelanggan Namun, Anda tidak dapat mengaktifkan rotasi kunci otomatis atau mengimpor bahan kunci ke kunci KMS di toko kunci. AWS CloudHSM

Anda juga menggunakan proses yang sama untuk menjadwalkan penghapusan kunci KMS di toko kunci. AWS CloudHSM Setelah masa tunggu berakhir, AWS KMS hapus kunci KMS dari KMS. Kemudian itu membuat upaya terbaik untuk menghapus materi kunci untuk kunci KMS dari AWS CloudHSM cluster terkait. Namun, Anda mungkin perlu secara manual menghapus material kunci tanpa induk dari klaster dan cadangannya.