Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Che cos'è AWS CloudHSM?
AWS CloudHSM combina i vantaggi del AWS cloud con la sicurezza dei moduli di sicurezza hardware (HSMs). Un modulo di sicurezza hardware (HSM) è un dispositivo che elabora le operazioni di crittografia e offre uno storage sicuro per le chiavi di crittografia. Con AWS CloudHSM, hai il controllo completo sull'alta disponibilità presente HSMs nel cloud AWS, hai accesso a bassa latenza e un root of trust sicuro che automatizza la gestione HSM (inclusi backup, provisioning, configurazione e manutenzione).
AWS CloudHSM offre ai clienti una serie di vantaggi:
**Accesso a cluster FIPS e non FIPS**
AWS CloudHSM **offre cluster in due modalità: FIPS e non FIPS.** In modalità FIPS, è possibile utilizzare solo chiavi e algoritmi convalidati dal Federal Information Processing Standard (FIPS). La modalità non FIPS offre tutte le chiavi e gli algoritmi supportati da, indipendentemente dall'approvazione FIPS. AWS CloudHSM Per ulteriori informazioni, consulta [AWS CloudHSM modalità cluster](cluster-hsm-types.md).
**HSMs sono generici, a tenant singolo e sono convalidati FIPS 140-2 livello 3 o FIPS 140-3 livello 3 per i cluster in modalità FIPS**
AWS CloudHSM utilizza scopi generici HSMs che offrono maggiore flessibilità rispetto ai servizi AWS completamente gestiti che hanno algoritmi e lunghezze chiave predeterminati per l'applicazione. Offriamo HSMs prodotti conformi agli standard, single-tenant e convalidati FIPS 140-2 livello 3 o FIPS 140-3 livello 3 per i cluster in modalità FIPS. Per i clienti con casi d'uso che non rientrano nelle restrizioni della convalida FIPS 140-2 o FIPS 140-3 livello 3, offre anche cluster in modalità non FIPS. AWS CloudHSM Per ulteriori informazioni, consulta [AWS CloudHSM grappoli](clusters.md).
**La crittografia E2E non è visibile per AWS**
Poiché il piano dati è crittografato end-to-end (E2E) e non è visibile ad AWS, puoi controllare la tua gestione degli utenti (al di fuori dei ruoli IAM). Il compromesso per il controllo è una maggiore responsabilità rispetto a quando si utilizza un servizio AWS gestito.
**Controllo completo delle chiavi, degli algoritmi e dello sviluppo di applicazioni**
AWS CloudHSM ti dà il pieno controllo degli algoritmi e delle chiavi che usi. È possibile creare, archiviare, importare, esportare, gestire e utilizzare le chiavi crittografiche, tra cui chiavi di sessione, chiavi token, chiavi simmetriche e coppie di chiavi asimmetriche. Inoltre, AWS CloudHSM SDKs ti offre il pieno controllo sullo sviluppo delle applicazioni, sul linguaggio dell'applicazione, sul threading e sulla posizione fisica delle applicazioni.
**Esegui la migrazione dei carichi di lavoro di crittografia nel cloud**
I clienti che migrano un'infrastruttura a chiave pubblica che utilizzano Public Key Cryptography Standards \$111 (PKCS \$111), Java Cryptographic Extension (JCE), Cryptography API: Next Generation (CNG) o Key Storage Provider (KSP) possono effettuare la migrazione con meno modifiche alla propria applicazione. AWS CloudHSM
Per ulteriori informazioni su cosa è possibile utilizzare, consulta i seguenti argomenti. AWS CloudHSM Quando sei pronto per iniziare AWS CloudHSM, consulta[Nozioni di base](getting-started.md).
**Nota**
Se desideri un servizio gestito per la creazione e il controllo delle chiavi di crittografia ma non vuoi o non devi gestirlo da solo HSMs, prendi in considerazione l'utilizzo [AWS Key Management Service](https://aws.amazon.com/kms/).
Se stai cercando un servizio elastico che gestisca pagamenti HSMs e chiavi per le applicazioni di elaborazione dei pagamenti nel cloud, prendi in considerazione l'utilizzo di [AWS Payment Cryptography](https://aws.amazon.com/payment-cryptography/).
**Topics**
+ [Casi d’uso](use-cases.md)
+ [Come funziona](whatis-concepts.md)
+ [Prezzi per AWS CloudHSM](pricing.md)
# AWS CloudHSM casi d'uso
AWS CloudHSM può essere usato per raggiungere una varietà di obiettivi. Il contenuto di questo argomento fornisce una panoramica di ciò che è possibile utilizzare. AWS CloudHSM
**Raggiungi la conformità alle normative**
Le aziende che devono allinearsi agli standard di sicurezza aziendali possono AWS CloudHSM utilizzare la gestione di chiavi private che proteggono dati altamente riservati. I prodotti HSMs forniti da AWS CloudHSM sono certificati FIPS 140-2 livello 3 e sono conformi allo standard PCI DSS. Inoltre, AWS CloudHSM è conforme a PCI PIN e PCI-3DS. Per ulteriori informazioni, consulta [Convalida della conformità per AWS CloudHSM](fips-validation.md).
**Crittografia e decrittografia dei dati**
Viene utilizzato AWS CloudHSM per gestire le chiavi private che proteggono i dati altamente riservati, la crittografia in transito e la crittografia inattiva. Inoltre, AWS CloudHSM offre un'integrazione conforme agli standard con più sistemi crittografici. SDKs
**Firma e verifica di documenti con chiavi private e pubbliche**
Nella crittografia, l'utilizzo di una chiave privata per **firmare** un documento consente ai destinatari di utilizzare una chiave pubblica per **verificare** che il documento sia stato effettivamente inviato dalla persona in questione (e non da qualcun altro). Viene utilizzato AWS CloudHSM per creare coppie di chiavi pubbliche e private asimmetriche progettate specificamente per questo scopo.
**Autentica i messaggi utilizzando e HMACs CMACs**
Nella crittografia, i codici di autenticazione dei messaggi cipher (CMACs) e i codici di autenticazione dei messaggi basati su hash (HMACs) vengono utilizzati per autenticare e garantire l'integrità dei messaggi inviati su reti non sicure. Con AWS CloudHSM, puoi creare e gestire in modo sicuro chiavi simmetriche che supportano e. HMACs CMACs
**Sfrutta i vantaggi di e AWS CloudHSM AWS Key Management Service**
I clienti possono combinare AWS CloudHSM e [AWS KMS](https://aws.amazon.com/kms/)archiviare il materiale chiave in un ambiente single-tenant, ottenendo al contempo i principali vantaggi di gestione, scalabilità e integrazione cloud di. AWS KMS Per ulteriori informazioni al riguardo, consulta gli [archivi delle chiavi AWS CloudHSM](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
**Elaborazione dell'offload SSL/TLS per server Web**
Per inviare dati in modo sicuro su Internet, i server Web utilizzano coppie di chiavi pubbliche-private e certificati a chiave SSL/TLS pubblica per stabilire sessioni HTTPS. Questo processo comporta molte operazioni di calcolo per i server Web, ma è possibile ridurre il carico di calcolo fornendo al contempo una maggiore sicurezza trasferendo parte di questa operazione al cluster. AWS CloudHSM Per informazioni sulla configurazione di SSL/TLS offload con, vedere. AWS CloudHSM[Offload SSL/TLS](ssl-offload.md)
**Abilitazione di Transparent Data Encryption (TDE)**
Transparent Data Encryption (TDE) viene utilizzato per crittografare i file di database. Utilizzando TDE, il software del database crittografa i dati prima di archiviarli su disco. È possibile ottenere una maggiore sicurezza memorizzando la chiave di crittografia principale TDE HSMs nel proprio. AWS CloudHSM Per informazioni sulla configurazione di Oracle TDE con AWS CloudHSM, vedere. [Oracle Database Encryption](oracle-tde.md)
**Gestire le chiavi private di un'autorità di certificazione emittente (CA)**
Un'autorità di certificazione (CA) è un'entità attendibile che emette certificati digitali che associano una chiave pubblica a un'identità (una persona o un'organizzazione). Per gestire una CA, è necessario mantenere l'attendibilità proteggendo la chiave privata che firma i certificati emessi dalla CA. È possibile memorizzare tali chiavi private nel AWS CloudHSM cluster e quindi utilizzarle HSMs per eseguire operazioni di firma crittografica.
**Generare numeri casuali**
La generazione di numeri casuali per creare chiavi di crittografia è fondamentale per la sicurezza online. AWS CloudHSM possono essere utilizzati per generare in modo sicuro numeri casuali sotto il HSMs tuo controllo e sono visibili solo a te.
# Come AWS CloudHSM funziona
Questo argomento fornisce una panoramica dei concetti e dell'architettura di base utilizzati per crittografare in modo sicuro i dati ed eseguire operazioni crittografiche. HSMs AWS CloudHSM opera nel tuo Amazon Virtual Private Cloud (VPC). Prima di poterlo utilizzare AWS CloudHSM, devi prima creare un cluster, HSMs aggiungerlo, creare utenti e chiavi e quindi utilizzare Client SDKs per integrarlo HSMs con la tua applicazione. [Fatto ciò, usi i log di Client SDK AWS CloudTrail, i log di controllo e Amazon CloudWatch per il monitoraggio. AWS CloudHSM](get-logs.md)
Scopri i concetti AWS CloudHSM di base e come interagiscono per proteggere i tuoi dati.
**Topics**
+ [AWS CloudHSM grappoli](clusters.md)
+ [Utenti in AWS CloudHSM](hsm-users.md)
+ [Chiavi in AWS CloudHSM](whatis-hsm-keys.md)
+ [Cliente SDKs per AWS CloudHSM](client-tools-and-libraries.md)
+ [AWS CloudHSM backup dei cluster](backups.md)
+ [Regioni supportate per AWS CloudHSM](regions.md)
# AWS CloudHSM grappoli
*Far HSMs lavorare insieme le persone in modo sincronizzato, ridondante e ad alta disponibilità può essere difficile, ma AWS CloudHSM fornisce moduli di sicurezza hardware () in cluster per voi rappresenta un grosso problema. HSMs* Un cluster è un insieme di individui che si mantengono sincronizzati. HSMs AWS CloudHSM Quando si esegue un'attività o un'operazione su un HSM in un cluster, gli altri HSMs componenti del cluster vengono aggiornati automaticamente.
AWS CloudHSM *offre cluster in due modalità: FIPS e non *FIPS*.* In modalità FIPS, è possibile utilizzare solo chiavi e algoritmi convalidati dal Federal Information Processing Standard (FIPS). La modalità non FIPS offre tutte le chiavi e gli algoritmi supportati da, indipendentemente dall'approvazione FIPS. AWS CloudHSM AWS CloudHSM **offre anche due tipi di HSMs: hsm1.medium e hsm2m.medium.** Per i dettagli sulle differenze tra ogni tipo di HSM e la modalità cluster, vedere. [AWS CloudHSM modalità cluster](cluster-hsm-types.md) Il tipo *HSM hsm1.medium* sta raggiungendo la fine del supporto, quindi non è possibile creare nuovi cluster con questo tipo. [Per ulteriori informazioni, consulta Notifiche di deprecazione per i dettagli.](compliance-dep-notif.md#hsm-dep-1)
Per raggiungere gli obiettivi di disponibilità, durabilità e scalabilità, è necessario impostare il numero di componenti del cluster HSMs in più zone di disponibilità. Puoi creare un cluster da 1 a 28 HSMs (il [limite predefinito](limits.md) è 6 HSMs per AWS account per [AWS regione](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)). Puoi posizionarlo HSMs in diverse [zone di disponibilità](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html) di una AWS regione. L'aggiunta di altri HSMs elementi a un cluster offre prestazioni più elevate. La diffusione di cluster tra le zone di disponibilità fornisce ridondanza e disponibilità elevate.
Per ulteriori informazioni sui cluster, consulta [Cluster in AWS CloudHSM](manage-clusters.md).
Per creare un cluster, consulta [Nozioni di base](getting-started.md).
# Utenti in AWS CloudHSM
A differenza della maggior parte dei AWS servizi e delle risorse, non si utilizzano utenti AWS Identity and Access Management (IAM) o policy IAM per accedere alle risorse all'interno AWS CloudHSM del cluster. Al contrario, si utilizzano *gli utenti HSM* direttamente HSMs nel AWS CloudHSM cluster.
Gli utenti HSM sono diversi dagli utenti IAM. Gli utenti IAM che dispongono delle credenziali corrette possono creare HSMs interagendo con le risorse tramite l'API AWS. Poiché la crittografia E2E non è visibile per AWS, è necessario utilizzare credenziali utente HSM per autenticare le operazioni nell'HSM poiché le credenziali vengono impiegate direttamente nell'HSM. L'HSM autentica ogni utente HSM tramite credenziali definite e gestite da te. Ogni utente HSM dispone di un *tipo* che stabilisce quali operazioni può eseguire nell'HSM. Ogni HSM autentica ogni utente HSM tramite credenziali definite utilizzando la [CLI di CloudHSM](cloudhsm_cli.md).
Se utilizzi la [serie di versioni SDK precedente](choose-client-sdk.md), utilizzerai [CloudHSM Management Utility (CMU)](cloudhsm_mgmt_util.md).
# Chiavi in AWS CloudHSM
AWS CloudHSM consente di generare, archiviare e gestire in modo sicuro le chiavi di crittografia in single-tenant che si trovano HSMs nel cluster. AWS CloudHSM Le chiavi possono essere simmetriche o asimmetriche, possono essere chiavi di sessione (chiavi temporanee) per sessioni singole, chiavi token (chiavi persistenti) per uso a lungo termine e possono essere esportate e importate in AWS CloudHSM . Le chiavi possono essere utilizzate anche per completare attività e funzioni crittografiche comuni:
+ Firmare dati crittografici ed eseguire la verifica della firma con algoritmi di crittografia simmetrici e asimmetrici.
+ Utilizza le funzioni hash per calcolare i digest dei messaggi e i codici di autenticazione dei messaggi basati su hash (). HMACs
+ Eseguire il wrapping di altre chiavi e proteggerle.
+ Accedere a dati casuali protetti da crittografia.
Il numero massimo di chiavi che un cluster può avere dipende dal tipo di chiavi HSMs presenti nel cluster. Ad esempio, hsm2m.medium memorizza più chiavi di hsm1, medium. Per un confronto, vedi. [AWS CloudHSM quote](limits.md)
Inoltre, AWS CloudHSM segue alcuni principi fondamentali per l'utilizzo e la gestione delle chiavi:
**Molti tipi di chiavi e algoritmi tra cui scegliere**
Per consentire la personalizzazione delle proprie soluzioni, AWS CloudHSM offre molti tipi di chiavi e algoritmi tra cui scegliere. Gli algoritmi supportano una vasta gamma di dimensioni di chiavi. Per ulteriori informazioni, consulta le pagine relative agli attributi e ai meccanismi di ogni [Operazioni di offload con Client AWS CloudHSM SDKs](use-hsm.md).
**Come gestire le chiavi**
AWS CloudHSM le chiavi sono gestite tramite strumenti SDKs a riga di comando. Per ulteriori informazioni su come utilizzare questi strumenti per gestire le chiavi, consulta le pagine [Chiavi in AWS CloudHSM](manage-keys.md) e [Le migliori pratiche per AWS CloudHSM](best-practices.md).
**Chi possiede le chiavi**
Nel AWS CloudHSM, l'utente crittografico (CU) che crea la chiave la possiede. Il proprietario può utilizzare i **key unshare** comandi **key share** and per condividere e annullare la condivisione della chiave con altri. CUs Per ulteriori informazioni, consulta [Condividi e annulla la condivisione delle chiavi utilizzando la CLI di CloudhSM](manage-keys-cloudhsm-cli-share.md).
**L'accesso e l'utilizzo possono essere controllati con la crittografia basata su attributi**
AWS CloudHSM consente di utilizzare la crittografia basata sugli attributi, una forma di crittografia che consente di utilizzare gli attributi chiave per controllare chi può decrittografare i dati in base alle politiche.
# Cliente SDKs per AWS CloudHSM
Durante l'utilizzo AWS CloudHSM, si eseguono operazioni crittografiche con [AWS CloudHSM Client Software Development Kits (](use-hsm.md)). SDKs AWS CloudHSM Il client include SDKs :
+ Public Key Cryptography Standard \$111 (PKCS \$111)
+ Provider JCE
+ OpenSSL Dynamic Engine
+ Key Storage Provider (KSP) per Microsoft Windows
Puoi utilizzare uno o tutti questi SDK nel tuo AWS CloudHSM cluster. Scrivi il codice dell'applicazione per utilizzarli SDKs per eseguire operazioni crittografiche nel tuo. HSMs Per scoprire quali piattaforme e tipi di HSM supportano ciascun SDK, consulta [AWS CloudHSM Piattaforme supportate da Client SDK 5](client-supported-platforms.md)
Gli strumenti di utilità e da riga di comando sono necessari non solo per l'uso, SDKs ma anche per configurare le credenziali, le politiche e le impostazioni dell'applicazione. Per ulteriori informazioni, vedi [AWS CloudHSM strumenti da riga di comando](command-line-tools.md).
Per ulteriori informazioni sull'installazione e sull'utilizzo dell'SDK del client o sulla sicurezza della connessione del client, consulta le pagine [Cliente SDKs](use-hsm.md) e [End-to-end crittografia](client-end-to-end-encryption.md).
# AWS CloudHSM backup dei cluster
AWS CloudHSM esegue backup periodici degli utenti, delle chiavi e delle politiche del cluster. I backup sono sicuri, durevoli e aggiornati secondo una pianificazione prevedibile. La figura seguente mostra la relazione tra i backup e il cluster.
![\[AWS CloudHSM backup di cluster crittografati in un bucket Amazon S3 controllato dal servizio.\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/cluster-backup.png)
Per ulteriori informazioni sull'utilizzo dei backup, consulta [Backup del cluster](manage-backups.md).
**Sicurezza**
Quando AWS CloudHSM esegue un backup dall'HSM, quest'ultimo crittografa tutti i dati prima di inviarli a. AWS CloudHSM I dati non lasciano mai l'HSM sotto forma di testo normale. Inoltre, i backup non possono essere decrittografati AWS perché AWS non ha accesso alla chiave utilizzata per decrittografare i backup. Per ulteriori informazioni, consulta [Sicurezza dei backup dei cluster](data-protection-backup-security.md)
**Durabilità**
AWS CloudHSM archivia i backup in un bucket Amazon Simple Storage Service (Amazon S3) controllato dal servizio nella stessa regione del cluster. I backup hanno un livello di durabilità del 99,999999999%, come qualsiasi oggetto archiviato in Amazon S3.
# Regioni supportate per AWS CloudHSM
Per informazioni sulle regioni supportate per AWS CloudHSM, consulta [AWS CloudHSM Regioni ed endpoint](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) nella *Riferimenti generali di AWS*o [nella tabella delle regioni.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
AWS CloudHSM potrebbe non essere disponibile in tutte le zone di disponibilità di una determinata regione. Tuttavia, ciò non dovrebbe influire sulle prestazioni, poiché il carico AWS CloudHSM viene automaticamente bilanciato su tutti i componenti HSMs di un cluster.
Come la maggior parte AWS delle risorse, i cluster e HSMs sono risorse regionali. Non puoi riutilizzare o estendere un cluster tra più regioni. Per creare un cluster in una nuova regione, devi eseguire la procedura indicata in [Guida introduttiva con AWS CloudHSM](getting-started.md).
Ai fini del disaster recovery, AWS CloudHSM consente di copiare i backup del AWS CloudHSM cluster da una regione all'altra. Per ulteriori informazioni, consulta [AWS CloudHSM backup dei cluster](backups.md).
# Prezzi per AWS CloudHSM
Con AWS CloudHSM, paghi a ore senza impegni a lungo termine o pagamenti anticipati. Per ulteriori informazioni, consulta la sezione [AWS CloudHSM Prezzi](https://aws.amazon.com/cloudhsm/pricing/) sul AWS sito web.