Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS CloudHSM toko-toko utama
Toko AWS CloudHSM kunci adalah toko kunci khusus yang didukung oleh AWS CloudHSM cluster. Saat Anda membuat AWS KMS keydi penyimpanan kunci khusus, buat dan simpan materi AWS KMS kunci yang tidak dapat diekstraksi untuk kunci KMS dalam AWS CloudHSM klaster yang Anda miliki dan kelola. Bila Anda menggunakan kunci KMS di toko kunci kustom, operasi kriptografi dilakukan di HSM di cluster. Fitur ini menggabungkan kenyamanan dan integrasi luas AWS KMS dengan kontrol tambahan AWS CloudHSM cluster di Anda Akun AWS.
AWS KMS menyediakan konsol lengkap dan dukungan API untuk membuat, menggunakan, dan mengelola toko kunci kustom Anda. Anda dapat menggunakan kunci KMS di toko kunci kustom Anda dengan cara yang sama seperti Anda menggunakan kunci KMS apa pun. Misalnya, Anda dapat menggunakan kunci KMS untuk menghasilkan kunci data dan mengenkripsi data. Anda juga dapat menggunakan kunci KMS di toko kunci kustom Anda dengan AWS layanan yang mendukung kunci yang dikelola pelanggan.
Apakah saya memerlukan toko kunci khusus?
Bagi sebagian besar pengguna, penyimpanan AWS KMS kunci default, yang dilindungi oleh modul kriptografi tervalidasi FIPS 140-2
Namun, Anda dapat mempertimbangkan untuk membuat penyimpanan kunci kustom jika organisasi Anda memiliki salah satu persyaratan berikut:
-
Anda memiliki kunci yang secara eksplisit diperlukan untuk dilindungi dalam HSM penyewa tunggal atau dalam HSM yang Anda memiliki kendali langsung atas.
-
Anda membutuhkan kemampuan untuk segera menghapus materi kunci dari AWS KMS.
-
Anda harus dapat mengaudit semua penggunaan kunci Anda secara independen dari AWS KMS atau AWS CloudTrail.
Bagaimana cara kerja toko kunci khusus?
Setiap toko kunci khusus dikaitkan dengan AWS CloudHSM cluster di Anda Akun AWS. Saat Anda menghubungkan penyimpanan kunci khusus ke klasternya, AWS KMS buat infrastruktur jaringan untuk mendukung koneksi. Kemudian masuk ke AWS CloudHSM klien kunci di cluster menggunakan kredensyal pengguna crypto khusus di cluster.
Anda membuat dan mengelola toko kunci kustom Anda di AWS KMS dan membuat dan mengelola klaster HSM Anda di. AWS CloudHSM Saat Anda membuat AWS KMS keys di toko kunci AWS KMS khusus, Anda melihat dan mengelola kunci KMS di AWS KMS. Tetapi Anda juga dapat melihat dan mengelola materi kunci mereka AWS CloudHSM, seperti yang akan Anda lakukan untuk kunci lain di cluster.
Anda dapat membuat kunci KMS enkripsi simetris dengan materi kunci yang dihasilkan oleh AWS KMS di toko kunci kustom Anda. Kemudian gunakan teknik yang sama untuk melihat dan mengelola kunci KMS di toko kunci kustom Anda yang Anda gunakan untuk kunci KMS di toko AWS KMS kunci. Anda dapat mengontrol akses dengan IAM dan kebijakan kunci, membuat tag dan alias, mengaktifkan dan menonaktifkan kunci KMS, dan menjadwalkan penghapusan kunci. Anda dapat menggunakan kunci KMS untuk operasi kriptografi dan menggunakannya dengan AWS layanan yang terintegrasi dengannya. AWS KMS
Selain itu, Anda memiliki kontrol penuh atas AWS CloudHSM cluster, termasuk membuat dan menghapus HSM dan mengelola cadangan. Anda dapat menggunakan AWS CloudHSM klien dan pustaka perangkat lunak yang didukung untuk melihat, mengaudit, dan mengelola materi utama untuk kunci KMS Anda. Sementara toko kunci khusus terputus, AWS KMS tidak dapat mengaksesnya, dan pengguna tidak dapat menggunakan kunci KMS di toko kunci khusus untuk operasi kriptografi. Lapisan kontrol tambahan ini membuat penyimpanan kunci kustom menjadi solusi yang ampuh untuk organisasi yang memerlukannya.
Di mana saya mulai?
Untuk membuat dan mengelola toko AWS CloudHSM kunci, Anda menggunakan fitur AWS KMS dan AWS CloudHSM.
-
Mulai masuk AWS CloudHSM. Buat klaster AWS CloudHSM aktif atau pilih klaster yang ada. Klaster harus memiliki setidaknya dua HSM aktif di Availability Zone yang berbeda. Kemudian buat akun pengguna kripto (CU) khusus di klaster tersebut untuk AWS KMS.
-
Di AWS KMS, buat penyimpanan kunci khusus yang terkait dengan AWS CloudHSM cluster yang Anda pilih. AWS KMS menyediakan antarmuka manajemen lengkap yang memungkinkan Anda membuat, melihat, mengedit, dan menghapus toko kunci kustom Anda.
-
Saat Anda siap menggunakan toko kunci kustom Anda, sambungkan ke AWS CloudHSM klaster terkait. AWS KMS menciptakan infrastruktur jaringan yang dibutuhkan untuk mendukung koneksi. Ini kemudian login ke klaster menggunakan kredensial akun pengguna kripto khusus sehingga dapat menghasilkan dan mengelola material kunci dalam klaster.
-
Sekarang, Anda dapat membuat kunci KMS enkripsi simetris di toko kunci khusus Anda. Cukup tentukan toko kunci khusus saat Anda membuat kunci KMS.
Jika Anda bingung pada suatu titik, Anda dapat menemukan bantuan di topik Memecahkan masalah penyimpanan kunci kustom. Jika pertanyaan Anda tidak terjawab, gunakan tautan umpan balik di bagian bawah setiap halaman panduan ini atau posting pertanyaan di Forum Diskusi AWS Key Management Service
Kuota
AWS KMS memungkinkan hingga 10 toko kunci khusus di masing-masing Akun AWS dan Wilayah, termasuk toko utama dan toko AWS CloudHSM kunci eksternal, terlepas dari status koneksi mereka. Selain itu, ada kuota AWS KMS permintaan tentang penggunaan kunci KMS di toko AWS CloudHSM kunci.
Penetapan Harga
Untuk informasi tentang biaya toko kunci AWS KMS khusus dan kunci yang dikelola pelanggan di toko kunci kustom, lihat AWS Key Management Service harga
Daerah
AWS KMS mendukung toko-toko AWS CloudHSM utama di semua Wilayah AWS tempat yang AWS KMS didukung, kecuali untuk Asia Pasifik (Melbourne), China (Beijing), China (Ningxia), dan Eropa (Spanyol).
Fitur yang tidak didukung
AWS KMS tidak mendukung fitur berikut di toko kunci khusus.
Topik
