AWS CloudHSM toko-toko utama - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS CloudHSM toko-toko utama

Toko AWS CloudHSM kunci adalah toko kunci khusus yang didukung oleh AWS CloudHSM cluster. Saat Anda membuat AWS KMS key di penyimpanan kunci khusus, AWS KMS buat dan simpan materi kunci yang tidak dapat diekstraksi untuk KMS kunci dalam AWS CloudHSM klaster yang Anda miliki dan kelola. Bila Anda menggunakan KMS kunci di toko kunci kustom, operasi kriptografi dilakukan di HSMs dalam cluster. Fitur ini menggabungkan kenyamanan dan integrasi luas AWS KMS dengan kontrol tambahan AWS CloudHSM cluster di Anda Akun AWS.

AWS KMS menyediakan konsol penuh dan API dukungan untuk membuat, menggunakan, dan mengelola toko kunci kustom Anda. Anda dapat menggunakan KMS kunci di toko kunci khusus Anda dengan cara yang sama seperti Anda menggunakan KMS kunci apa pun. Misalnya, Anda dapat menggunakan KMS kunci untuk menghasilkan kunci data dan mengenkripsi data. Anda juga dapat menggunakan KMS kunci di toko kunci khusus Anda dengan AWS layanan yang mendukung kunci yang dikelola pelanggan.

Apakah saya memerlukan toko kunci khusus?

Bagi sebagian besar pengguna, penyimpanan AWS KMS kunci default, yang dilindungi oleh FIPS140-2 modul kriptografi yang divalidasi, memenuhi persyaratan keamanan mereka. Tidak perlu menambahkan lapisan tambahan dari tanggung jawab pemeliharaan atau dependensi pada layanan tambahan.

Namun, Anda dapat mempertimbangkan untuk membuat penyimpanan kunci kustom jika organisasi Anda memiliki salah satu persyaratan berikut:

  • Anda memiliki kunci yang secara eksplisit diperlukan untuk dilindungi dalam satu penyewa HSM atau di mana Anda memiliki HSM kendali langsung atas.

  • Anda membutuhkan kemampuan untuk segera menghapus materi kunci dari AWS KMS.

  • Anda harus dapat mengaudit semua penggunaan kunci Anda secara independen dari AWS KMS atau AWS CloudTrail.

Bagaimana cara kerja toko kunci khusus?

Setiap toko kunci khusus dikaitkan dengan AWS CloudHSM cluster di Anda Akun AWS. Saat Anda menghubungkan penyimpanan kunci khusus ke klasternya, AWS KMS buat infrastruktur jaringan untuk mendukung koneksi. Kemudian masuk ke AWS CloudHSM klien kunci di cluster menggunakan kredensyal pengguna crypto khusus di cluster.

Anda membuat dan mengelola toko kunci kustom Anda di AWS KMS dan membuat dan mengelola HSM cluster Anda di AWS CloudHSM. Saat Anda membuat AWS KMS keys di toko kunci AWS KMS khusus, Anda melihat dan mengelola KMS kunci di AWS KMS. Tetapi Anda juga dapat melihat dan mengelola material kunci di AWS CloudHSM, seperti yang akan Anda lakukan untuk kunci lain dalam klaster.

Mengelola KMS kunci di toko kunci khusus

Anda dapat membuat KMS kunci enkripsi simetris dengan materi kunci yang dihasilkan oleh AWS KMS di toko kunci kustom Anda. Kemudian gunakan teknik yang sama untuk melihat dan mengelola KMS kunci di toko kunci kustom Anda yang Anda gunakan untuk KMS kunci di toko AWS KMS kunci. Anda dapat mengontrol akses dengan IAM dan kebijakan kunci, membuat tag dan alias, mengaktifkan dan menonaktifkan KMS kunci, dan menjadwalkan penghapusan kunci. Anda dapat menggunakan KMS kunci untuk operasi kriptografi dan menggunakannya dengan AWS layanan yang terintegrasi dengannya AWS KMS.

Selain itu, Anda memiliki kontrol penuh atas AWS CloudHSM cluster, termasuk membuat dan menghapus HSMs dan mengelola cadangan. Anda dapat menggunakan AWS CloudHSM klien dan pustaka perangkat lunak yang didukung untuk melihat, mengaudit, dan mengelola materi kunci untuk KMS kunci Anda. Sementara toko kunci khusus terputus, AWS KMS tidak dapat mengaksesnya, dan pengguna tidak dapat menggunakan KMS kunci di toko kunci khusus untuk operasi kriptografi. Lapisan kontrol tambahan ini membuat penyimpanan kunci kustom menjadi solusi yang ampuh untuk organisasi yang memerlukannya.

Di mana saya mulai?

Untuk membuat dan mengelola toko AWS CloudHSM kunci, Anda menggunakan fitur AWS KMS dan AWS CloudHSM.

  1. Mulai masuk AWS CloudHSM. Buat klaster AWS CloudHSM aktif atau pilih klaster yang ada. Cluster harus memiliki setidaknya dua yang aktif HSMs di Availability Zone yang berbeda. Kemudian buat akun pengguna kripto (CU) khusus di klaster tersebut untuk AWS KMS.

  2. Di AWS KMS, buat penyimpanan kunci khusus yang terkait dengan AWS CloudHSM cluster yang Anda pilih. AWS KMS menyediakan antarmuka manajemen lengkap yang memungkinkan Anda membuat, melihat, mengedit, dan menghapus toko kunci kustom Anda.

  3. Saat Anda siap menggunakan toko kunci kustom Anda, sambungkan ke AWS CloudHSM klaster terkait. AWS KMS menciptakan infrastruktur jaringan yang dibutuhkan untuk mendukung koneksi. Ini kemudian login ke klaster menggunakan kredensial akun pengguna kripto khusus sehingga dapat menghasilkan dan mengelola material kunci dalam klaster.

  4. Sekarang, Anda dapat membuat KMS kunci enkripsi simetris di toko kunci khusus Anda. Cukup tentukan toko kunci khusus saat Anda membuat KMS kunci.

Jika Anda bingung pada suatu titik, Anda dapat menemukan bantuan di topik Memecahkan masalah penyimpanan kunci kustom. Jika pertanyaan Anda tidak terjawab, gunakan tautan umpan balik di bagian bawah setiap halaman panduan ini atau posting pertanyaan di Forum Diskusi AWS Key Management Service.

Kuota

AWS KMS memungkinkan hingga 10 toko kunci khusus di masing-masing Akun AWS dan Wilayah, termasuk toko utama dan toko AWS CloudHSM kunci eksternal, terlepas dari status koneksi mereka. Selain itu, ada kuota AWS KMS permintaan tentang penggunaan KMS kunci di toko AWS CloudHSM kunci.

Penetapan Harga

Untuk informasi tentang biaya toko kunci AWS KMS khusus dan kunci yang dikelola pelanggan di toko kunci kustom, lihat AWS Key Management Service harga. Untuk informasi tentang biaya AWS CloudHSM klaster danHSMs, lihat AWS CloudHSM Harga.

Daerah

AWS KMS mendukung toko-toko AWS CloudHSM utama di semua Wilayah AWS tempat yang AWS KMS didukung, kecuali untuk Asia Pasifik (Melbourne), China (Beijing), China (Ningxia), dan Eropa (Spanyol).

Fitur yang tidak didukung

AWS KMS tidak mendukung fitur-fitur berikut di toko kunci khusus.

AWS CloudHSM konsep toko utama

Topik ini menjelaskan beberapa istilah dan konsep yang digunakan di toko-toko AWS CloudHSM utama.

AWS CloudHSM toko kunci

Toko AWS CloudHSM kunci adalah toko kunci khusus yang terkait dengan AWS CloudHSM cluster yang Anda miliki dan kelola. AWS CloudHSM cluster didukung oleh modul keamanan perangkat keras (HSMs) disertifikasi pada FIPS140-2 Level 3.

Saat Anda membuat KMS kunci di penyimpanan kunci Anda, AWS KMS buat AWS CloudHSM kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkait. AWS CloudHSM Materi kunci ini tidak pernah meninggalkan Anda yang HSMs tidak terenkripsi. Ketika Anda menggunakan KMS kunci di toko AWS CloudHSM kunci, operasi kriptografi dilakukan di HSMs dalam cluster.

AWS CloudHSM toko utama menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kontrol tambahan yang disediakan oleh AWS CloudHSM cluster di Anda Akun AWS. Fitur terintegrasi ini memungkinkan Anda membuat, mengelola, dan menggunakan KMS kunci AWS KMS sambil mempertahankan kontrol penuh dari HSMs yang menyimpan materi utama mereka, termasuk mengelola cluster,HSMs, dan backup. Anda dapat menggunakan AWS KMS konsol dan APIs mengelola toko AWS CloudHSM kunci dan KMS kuncinya. Anda juga dapat menggunakan AWS CloudHSM konsol, perangkat lunak klienAPIs, dan pustaka perangkat lunak terkait untuk mengelola klaster terkait.

Anda dapat melihat dan mengelola toko AWS CloudHSM kunci Anda, mengedit propertinya, dan menghubungkan dan memutusnya dari AWS CloudHSM klaster terkait. Jika Anda perlu menghapus toko AWS CloudHSM kunci, Anda harus terlebih dahulu menghapus KMS kunci di toko AWS CloudHSM kunci dengan menjadwalkan penghapusan mereka dan menunggu sampai masa tenggang berakhir. Menghapus penyimpanan AWS CloudHSM kunci menghapus sumber daya dari AWS KMS, tetapi itu tidak mempengaruhi AWS CloudHSM cluster Anda.

AWS CloudHSM kluster

Setiap toko AWS CloudHSM kunci dikaitkan dengan satu AWS CloudHSM cluster. Saat Anda membuat AWS KMS key di toko AWS CloudHSM kunci Anda, AWS KMS buat materi kuncinya di cluster terkait. Ketika Anda menggunakan KMS kunci di toko AWS CloudHSM kunci Anda, operasi kriptografi dilakukan di cluster terkait.

Setiap AWS CloudHSM cluster dapat dikaitkan dengan hanya satu penyimpanan AWS CloudHSM kunci. Cluster yang Anda pilih tidak dapat dikaitkan dengan penyimpanan AWS CloudHSM kunci lain atau berbagi riwayat cadangan dengan klaster yang terkait dengan penyimpanan AWS CloudHSM kunci lain. Cluster harus diinisialisasi dan aktif, dan harus sama Akun AWS dan Region sebagai penyimpanan AWS CloudHSM kunci. Anda dapat membuat cluster baru atau menggunakan yang sudah ada. AWS KMS tidak perlu penggunaan cluster secara eksklusif. Untuk membuat KMS kunci di penyimpanan AWS CloudHSM kunci, cluster terkait itu harus berisi setidaknya dua aktifHSMs. Semua operasi lain hanya membutuhkan satuHSM.

Anda menentukan AWS CloudHSM cluster saat Anda membuat penyimpanan AWS CloudHSM kunci, dan Anda tidak dapat mengubahnya. Namun, Anda dapat mengganti setiap klaster yang berbagi riwayat cadangan dengan klaster asli. Hal ini memungkinkan Anda menghapus klaster, jika perlu, dan menggantinya dengan klaster yang dibuat dari salah satu cadangan. Anda mempertahankan kontrol penuh atas AWS CloudHSM klaster terkait sehingga Anda dapat mengelola pengguna dan kunci, membuat dan menghapusHSMs, serta menggunakan dan mengelola cadangan.

Ketika Anda siap untuk menggunakan toko AWS CloudHSM kunci Anda, Anda menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutus penyimpanan kunci kustom Anda kapan saja. Saat toko kunci khusus terhubung, Anda dapat membuat dan menggunakan KMS kuncinya. Ketika terputus, Anda dapat melihat dan mengelola toko AWS CloudHSM kunci dan kuncinyaKMS. Tetapi Anda tidak dapat membuat KMS kunci baru atau menggunakan KMS kunci di toko AWS CloudHSM kunci untuk operasi kriptografi.

Pengguna kripto kmsuser

Untuk membuat dan mengelola materi utama di AWS CloudHSM klaster terkait atas nama Anda, AWS KMS gunakan pengguna AWS CloudHSM kripto khusus (CU) di cluster bernamakmsuser. kmsuserCU adalah akun CU standar yang secara otomatis disinkronkan ke semua HSMs di cluster dan disimpan dalam cadangan cluster.

Sebelum membuat penyimpanan AWS CloudHSM kunci, Anda membuat akun kmsuser CU di AWS CloudHSM klaster menggunakan perintah buat pengguna di Cloud HSMCLI. Kemudian ketika Anda membuat toko AWS CloudHSM kunci, Anda memberikan kata sandi kmsuser akun ke AWS KMS. Saat Anda menghubungkan toko kunci khusus, AWS KMS masuk ke cluster sebagai kmsuser CU dan memutar kata sandinya. AWS KMS mengenkripsi kmsuser kata sandi Anda sebelum menyimpannya dengan aman. Ketika kata sandi diputar, kata sandi baru dienkripsi dan disimpan dengan cara yang sama.

AWS KMS tetap masuk kmsuser selama toko AWS CloudHSM kunci terhubung. Anda tidak boleh menggunakan akun CU ini untuk tujuan lain. Namun, Anda mempertahankan kontrol tertinggi dari akun CU kmsuser. Kapan saja, Anda dapat menemukan kunci yang kmsuser dimilikinya. Jika perlu, Anda dapat memutuskan koneksi penyimpanan kunci kustom, mengubah kata sandi kmsuser,login ke klaster sebagai kmsuser, serta melihat dan mengelola kunci yang dimiliki kmsuser.

Untuk petunjuk tentang cara membuat akun CU kmsuser Anda, lihat Membuat Pengguna Kripto kmsuser.

KMSkunci di toko AWS CloudHSM kunci

Anda dapat menggunakan AWS KMS atau AWS KMS API untuk membuat AWS KMS keys di toko AWS CloudHSM kunci. Anda menggunakan teknik yang sama yang akan Anda gunakan pada KMS kunci apa pun. Satu-satunya perbedaan adalah Anda harus mengidentifikasi penyimpanan AWS CloudHSM kunci dan menentukan bahwa asal bahan utama adalah AWS CloudHSM cluster.

Saat Anda membuat KMS kunci di penyimpanan kunci, AWS KMS buat AWS CloudHSM kunci AWS KMS dan itu menghasilkan materi KMS kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkaitnya. Bila Anda menggunakan AWS KMS kunci dalam operasi kriptografi, operasi dilakukan di AWS CloudHSM cluster menggunakan kunci berbasis clusterAES. Meskipun AWS CloudHSM mendukung kunci simetris dan asimetris dari berbagai jenis, toko AWS CloudHSM kunci hanya mendukung kunci enkripsi AES simetris.

Anda dapat melihat KMS kunci di penyimpanan AWS CloudHSM kunci di AWS KMS konsol, dan menggunakan opsi konsol untuk menampilkan ID penyimpanan kunci khusus. Anda juga dapat menggunakan DescribeKeyoperasi untuk menemukan ID penyimpanan AWS CloudHSM kunci dan ID AWS CloudHSM cluster.

KMSKunci di toko AWS CloudHSM kunci berfungsi sama seperti KMS kunci apa pun AWS KMS. Pengguna yang berwenang memerlukan izin yang sama untuk menggunakan dan mengelola KMS kunci. Anda menggunakan prosedur dan API operasi konsol yang sama untuk melihat dan mengelola KMS kunci di penyimpanan AWS CloudHSM kunci. Ini termasuk mengaktifkan dan menonaktifkan KMS kunci, membuat dan menggunakan tag dan alias, dan pengaturan dan perubahan IAM dan kebijakan utama. Anda dapat menggunakan KMS kunci di toko AWS CloudHSM kunci untuk operasi kriptografi, dan menggunakannya dengan AWS layanan terintegrasi yang mendukung penggunaan kunci yang dikelola pelanggan Namun, Anda tidak dapat mengaktifkan rotasi kunci otomatis atau mengimpor materi kunci ke dalam KMS kunci di toko AWS CloudHSM kunci.

Anda juga menggunakan proses yang sama untuk menjadwalkan penghapusan KMS kunci di toko AWS CloudHSM kunci. Setelah masa tunggu berakhir, AWS KMS hapus KMS kunci dari. KMS Kemudian itu membuat upaya terbaik untuk menghapus materi kunci untuk KMS kunci dari AWS CloudHSM cluster terkait. Namun, Anda mungkin perlu secara manual menghapus material kunci tanpa induk dari klaster dan cadangannya.