Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Segui le migliori pratiche riportate in questa sezione per la gestione delle chiavi in AWS CloudHSM.
Scegli il tipo di chiave giusto
Quando si utilizza una chiave di sessione, le transazioni al secondo (TPS) saranno limitate a un HSM laddove esiste la chiave. Extra HSMs nel tuo cluster non aumenterà il throughput delle richieste per quella chiave. Se utilizzi una chiave token per la stessa applicazione, il carico delle richieste verrà bilanciato su tutte le unità disponibili HSMs nel cluster. Per ulteriori informazioni, consulta Impostazioni di sincronizzazione e durabilità dei tasti in AWS CloudHSM.
Gestisci i limiti di archiviazione delle chiavi
HSMs hanno limiti al numero massimo di token e chiavi di sessione che possono essere archiviate su un HSM contemporaneamente. Per informazioni sui limiti di archiviazione delle chiavi, vedereAWS CloudHSM quote. Se l'applicazione richiede più del limite, è possibile utilizzare una o più delle seguenti strategie per gestire efficacemente le chiavi:
Utilizzate il Trusted Wrapping per archiviare le chiavi in un archivio dati esterno: utilizzando il Trusted Key Wrapping, potete superare il limite di archiviazione delle chiavi archiviando tutte le chiavi in un archivio dati esterno. Quando è necessario utilizzare questa chiave, è possibile estrarre la chiave nell'HSM come chiave di sessione, utilizzare la chiave per l'operazione richiesta e quindi scartare la chiave di sessione. I dati chiave originali rimangono archiviati in modo sicuro nell'archivio dati per essere utilizzati ogni volta che ne hai bisogno. L'utilizzo di chiavi affidabili a tale scopo massimizza la protezione.
Distribuisci le chiavi tra i cluster: un'altra strategia per superare il limite di archiviazione delle chiavi consiste nell'archiviazione delle chiavi in più cluster. In questo approccio, si mantiene una mappatura delle chiavi archiviate in ogni cluster. Utilizzate questa mappatura per indirizzare le richieste dei client al cluster con la chiave richiesta. Per informazioni su come connettersi a più cluster dalla stessa applicazione client, consulta i seguenti argomenti:
Gestione e protezione del key wrapping
Le chiavi possono essere contrassegnate come estraibili o non estraibili tramite l'attributo. EXTRACTABLE Per impostazione predefinita, le chiavi HSM sono contrassegnate come estraibili.
Le chiavi estraibili sono chiavi che possono essere esportate dall'HSM tramite key wrapping. Le chiavi impacchettate sono crittografate e devono essere aperte utilizzando la stessa chiave di avvolgimento prima di poter essere utilizzate. Le chiavi non estraibili non possono essere esportate dall'HSM in nessuna circostanza. Non è possibile rendere estraibile una chiave non estraibile. Per questo motivo, è importante considerare se è necessario che le chiavi siano estraibili o meno e impostare di conseguenza l'attributo chiave corrispondente.
Se avete bisogno del key wrapping nella vostra applicazione, dovreste utilizzare il Trusted Key Wrap per limitare la capacità degli utenti HSM di avvolgere/scartare solo le chiavi che sono state esplicitamente contrassegnate come attendibili da un amministratore. Per ulteriori informazioni, consulta gli argomenti sul Trusted Key Wrapping in. Chiavi in AWS CloudHSM
Risorse correlate
