AWS CloudHSM negozi chiave - AWS Key Management Service
AWS CloudHSM concetti chiave del negozio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudHSM negozi chiave

Un AWS CloudHSM key store è un archivio di chiavi personalizzato supportato da un AWS CloudHSM cluster. Quando ne crei uno AWS KMS key in un archivio di chiavi personalizzato, AWS KMS genera e archivia materiale chiave non estraibile per la KMS chiave in un AWS CloudHSM cluster di tua proprietà e gestione. Quando si utilizza una KMS chiave in un archivio di chiavi personalizzato, le operazioni crittografiche vengono eseguite nel HSMs cluster. Questa funzionalità combina la praticità e l'ampia integrazione AWS KMS con il controllo aggiuntivo di un AWS CloudHSM cluster all'interno dell'azienda Account AWS.

AWS KMS offre console e API supporto completi per la creazione, l'utilizzo e la gestione degli archivi di chiavi personalizzati. È possibile utilizzare le KMS chiavi nell'archivio chiavi personalizzato nello stesso modo in cui si utilizza qualsiasi KMS chiave. Ad esempio, puoi utilizzare le KMS chiavi per generare chiavi di dati e crittografare i dati. Puoi anche utilizzare KMS le chiavi nel tuo archivio chiavi personalizzato con AWS servizi che supportano le chiavi gestite dai clienti.

È necessario uno store di chiavi personalizzato?

Per la maggior parte degli utenti, l'archivio di AWS KMS chiavi predefinito, protetto da FIPS140-2 moduli crittografici convalidati, soddisfa i requisiti di sicurezza. Non è richiesto un livello supplementare di responsabilità per la manutenzione o la dipendenza da un ulteriore servizio.

Tuttavia, è possibile prendere in considerazione la creazione di uno store di chiavi personalizzato qualora l'organizzazione possieda i seguenti requisiti:

  • Hai delle chiavi che devono essere protette in modo esplicito in un singolo tenant HSM o in un HSM appartamento su cui hai il controllo diretto.

  • È necessaria la possibilità di rimuovere immediatamente il materiale chiave da. AWS KMS

  • Devi essere in grado di controllare tutti gli usi delle tue chiavi indipendentemente da AWS KMS o AWS CloudTrail.

Come funzionano gli store di chiavi personalizzati?

Ogni archivio di chiavi personalizzato è associato a un AWS CloudHSM cluster del tuo Account AWS. Quando connetti l'archivio di chiavi personalizzato al relativo cluster, AWS KMS crea l'infrastruttura di rete per supportare la connessione. Quindi accede al AWS CloudHSM client chiave del cluster utilizzando le credenziali di un utente crittografico dedicato nel cluster.

Crei e gestisci i tuoi archivi di chiavi personalizzati AWS KMS e crei e gestisci i tuoi HSM cluster in. AWS CloudHSM Quando crei AWS KMS keys in un archivio di chiavi AWS KMS personalizzato, visualizzi e gestisci le KMS chiavi in AWS KMS. Tuttavia, in AWS CloudHSMè anche possibile visualizzare e gestire il proprio materiale chiave, esattamente come avviene per le altre chiavi nel cluster.

Gestione delle KMS chiavi in un archivio di chiavi personalizzato

È possibile creare KMS chiavi di crittografia simmetriche con materiale chiave generato dal proprio AWS KMS archivio di chiavi personalizzato. Utilizza quindi le stesse tecniche per visualizzare e gestire le KMS chiavi nell'archivio chiavi personalizzato utilizzate per KMS le chiavi nell'archivio AWS KMS chiavi. Puoi controllare l'accesso IAM e le politiche chiave, creare tag e alias, abilitare e disabilitare le KMS chiavi e pianificare l'eliminazione delle chiavi. È possibile utilizzare le KMS chiavi per operazioni crittografiche e utilizzarle con AWS servizi che si integrano con. AWS KMS

Inoltre, hai il pieno controllo sul AWS CloudHSM cluster, inclusa la creazione, l'eliminazione HSMs e la gestione dei backup. È possibile utilizzare il AWS CloudHSM client e le librerie software supportate per visualizzare, controllare e gestire il materiale chiave per le KMS chiavi. Sebbene l'archivio chiavi personalizzato sia disconnesso, AWS KMS non possono accedervi e gli utenti non possono utilizzare le KMS chiavi nell'archivio chiavi personalizzato per operazioni di crittografia. Questo ulteriore livello di controllo rende gli store di chiavi personalizzati una soluzione potente per le aziende che lo richiedono.

Da dove iniziare?

Per creare e gestire un archivio di AWS CloudHSM chiavi, si utilizzano le funzionalità di AWS KMS e. AWS CloudHSM

  1. Inizia in AWS CloudHSM. Creare un cluster AWS CloudHSM attivo oppure selezionare un cluster esistente. Il cluster deve avere almeno due zone di disponibilità attive HSMs in zone di disponibilità diverse. Creare poi un account utente di crittografia dedicato (CU, crypto user) in quel cluster per AWS KMS.

  2. In AWS KMS, crea un archivio di chiavi personalizzato associato al AWS CloudHSM cluster selezionato. AWS KMS fornisce un'interfaccia di gestione completa che consente di creare, visualizzare, modificare ed eliminare gli archivi di chiavi personalizzati.

  3. Quando sei pronto per utilizzare il tuo archivio di chiavi personalizzato, collegalo al AWS CloudHSM cluster associato. AWS KMS crea l'infrastruttura di rete necessaria per supportare la connessione. Effettua poi l'accesso al cluster tramite le credenziali dell'account crypto user (CU) dedicato, in modo da poter generare e gestire il materiale chiave nel cluster.

  4. Ora puoi creare chiavi di crittografia simmetriche nel tuo archivio di KMS chiavi personalizzato. Basta specificare l'archivio chiavi personalizzato quando si crea la KMS chiave.

Qualora durante questa procedura non si riesca a procedere, cercare assistenza nell'argomento Risoluzione di problemi relativi a store delle chiavi personalizzate. Se non si trova risposta, utilizzare il collegamento di feedback nella parte inferiore di ogni pagina della guida o pubblicare una domanda nel Forum di discussione AWS Key Management Service.

Quote

AWS KMS consente fino a 10 archivi di chiavi personalizzati in ciascuna Account AWS regione, inclusi archivi AWS CloudHSM chiavi e archivi chiavi esterni, indipendentemente dallo stato della connessione. Inoltre, sono previste quote di AWS KMS richiesta per l'uso delle KMS chiavi in un archivio di AWS CloudHSM chiavi.

Prezzi

Per informazioni sul costo degli archivi di chiavi AWS KMS personalizzati e delle chiavi gestite dai clienti in un archivio di chiavi personalizzato, consulta AWS Key Management Service i prezzi. Per informazioni sul costo dei AWS CloudHSM cluster eHSMs, consulta la sezione AWS CloudHSM Prezzi.

Regioni

AWS KMS supporta i AWS CloudHSM principali negozi in tutti i paesi in Regioni AWS cui AWS KMS è supportato, ad eccezione di Asia Pacifico (Melbourne), Cina (Pechino), Cina (Ningxia) ed Europa (Spagna).

Caratteristiche non supportate

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.

AWS CloudHSM concetti chiave del negozio

In questo argomento vengono descritti alcuni termini e concetti utilizzati nei AWS CloudHSM key store.

AWS CloudHSM archivio di chiavi

Un AWS CloudHSM key store è un archivio di chiavi personalizzato associato a un AWS CloudHSM cluster di cui sei proprietario e che gestisci. AWS CloudHSM i cluster sono supportati da moduli di sicurezza hardware (HSMs) certificati FIPS140-2 di livello 3.

Quando si crea una KMS chiave nel proprio archivio chiavi, AWS KMS genera una AWS CloudHSM chiave simmetrica Advanced Encryption Standard (AES) a 256 bit, persistente e non esportabile nel cluster associato. AWS CloudHSM Questo materiale chiave non esce mai non crittografato. HSMs Quando si utilizza una KMS chiave in un archivio di AWS CloudHSM chiavi, le operazioni crittografiche vengono eseguite HSMs nel cluster.

AWS CloudHSM gli archivi di chiavi combinano la comoda e completa interfaccia di gestione delle chiavi AWS KMS con i controlli aggiuntivi forniti da un AWS CloudHSM cluster del tuo Account AWS. Questa funzionalità integrata consente di creare, gestire e utilizzare KMS le chiavi AWS KMS mantenendo il pieno controllo del materiale su HSMs cui sono archiviate le chiavi, inclusa la gestione di cluster e backup. HSMs È possibile utilizzare la AWS KMS console e APIs gestire l'archivio delle AWS CloudHSM chiavi e le relative KMS chiavi. È inoltre possibile utilizzare la AWS CloudHSM consoleAPIs, il software client e le librerie software associate per gestire il cluster associato.

È possibile visualizzare e gestire l'archivio delle AWS CloudHSM chiavi, modificarne le proprietà e connetterlo e disconnetterlo dal AWS CloudHSM cluster associato. Se è necessario eliminare un archivio AWS CloudHSM chiavi, è necessario innanzitutto eliminare le KMS chiavi nell'archivio AWS CloudHSM chiavi pianificandone l'eliminazione e attendendo la scadenza del periodo di prova. L'eliminazione del AWS CloudHSM key store rimuove la risorsa dal cluster AWS KMS, ma non ha alcun effetto. AWS CloudHSM

AWS CloudHSM ammasso

Ogni archivio di AWS CloudHSM chiavi è associato a un AWS CloudHSM cluster. Quando ne crei uno AWS KMS key nel tuo AWS CloudHSM key store, AWS KMS crea il relativo materiale chiave nel cluster associato. Quando si utilizza una KMS chiave nell'archivio delle AWS CloudHSM chiavi, l'operazione di crittografia viene eseguita nel cluster associato.

Ogni AWS CloudHSM cluster può essere associato a un solo archivio di AWS CloudHSM chiavi. Il cluster scelto non può essere associato a un altro archivio AWS CloudHSM chiavi o condividere una cronologia di backup con un cluster associato a un altro archivio AWS CloudHSM chiavi. Il cluster deve essere inizializzato e attivo e deve trovarsi nella stessa Account AWS regione dell'archivio delle AWS CloudHSM chiavi. È possibile creare un nuovo cluster o utilizzarne uno esistente. AWS KMS non necessita dell'uso esclusivo del cluster. Per creare KMS chiavi nel AWS CloudHSM key store, il cluster associato deve contenerne almeno due attiveHSMs. Tutte le altre operazioni ne richiedono solo unaHSM.

Il AWS CloudHSM cluster viene specificato quando si crea l'archivio delle AWS CloudHSM chiavi e non è possibile modificarlo. Puoi tuttavia sostituire qualsiasi cluster che condivide una cronologia dei backup con il cluster originale. Ciò ti consente di eliminare il cluster, se necessario, e sostituirlo con un cluster creato a partire da uno dei relativi backup. L'utente mantiene il pieno controllo del AWS CloudHSM cluster associato in modo da poter gestire utenti e chiavi, creare ed eliminareHSMs, utilizzare e gestire i backup.

Quando sei pronto per utilizzare l'archivio AWS CloudHSM delle chiavi, lo connetti al AWS CloudHSM cluster associato. Puoi connettere e disconnettere lo store delle chiavi personalizzate in qualsiasi momento. Quando è connesso un archivio chiavi personalizzato, è possibile creare e utilizzare KMS le relative chiavi. Quando è disconnesso, è possibile visualizzare e gestire l'archivio delle AWS CloudHSM chiavi e KMS le relative chiavi. Tuttavia, non è possibile creare nuove KMS chiavi o utilizzare le KMS chiavi nell'archivio AWS CloudHSM chiavi per operazioni crittografiche.

Crypto user (CU) kmsuser

Per creare e gestire il materiale chiave nel AWS CloudHSM cluster associato per tuo conto, AWS KMS utilizza un utente AWS CloudHSM crittografico (CU) dedicato nel cluster denominato. kmsuser Il kmsuser CU è un account CU standard che viene automaticamente sincronizzato con tutti gli utenti del cluster e salvato HSMs nei backup del cluster.

Prima di creare il tuo AWS CloudHSM key store, crei un account kmsuser CU nel AWS CloudHSM cluster utilizzando il comando user create in Cloud. HSM CLI Quindi, quando crei il AWS CloudHSM key store, fornisci la password dell'kmsuseraccount a AWS KMS. Quando si connette l'archivio di chiavi personalizzato, AWS KMS accede al cluster come kmsuser CU e ne modifica la password. AWS KMS crittografa la kmsuser password prima di archiviarla in modo sicuro. Quando la password viene ruotata, la nuova password viene crittografata e archiviata in modo analogo.

AWS KMS rimane connesso kmsuser finché l'archivio delle AWS CloudHSM chiavi è connesso. Non devi utilizzare questo account utente di crittografia per altri scopi. Mantieni tuttavia il controllo finale dell'account utente di crittografia kmsuser. In qualsiasi momento, puoi trovare le chiavi che kmsuser possiede. Se necessario, è possibile disconnettere l'archivio delle chiavi personalizzate, modificare la password di kmsuser, accedere al cluster come kmsuser e visualizzare e gestire le chiavi di cui l'kmsuser è proprietario.

Per istruzioni sulla creazione dell'account utente di crittografia kmsuser, consulta Creazione del crypto user (CU)kmsuser.

KMSchiavi in un archivio di AWS CloudHSM chiavi

È possibile utilizzare AWS KMS o AWS KMS API per creare un file AWS KMS keys in un archivio di AWS CloudHSM chiavi. Usi la stessa tecnica che useresti su qualsiasi KMS chiave. L'unica differenza è che è necessario identificare l'archivio delle AWS CloudHSM chiavi e specificare che l'origine del materiale chiave è il AWS CloudHSM cluster.

Quando create una KMS chiave in un AWS CloudHSM key store, AWS KMS crea la chiave in AWS KMS e genera una KMS chiave simmetrica Advanced Encryption Standard (AES) a 256 bit, persistente e non esportabile nel cluster associato. Quando si utilizza la AWS KMS chiave in un'operazione di crittografia, l'operazione viene eseguita nel cluster utilizzando la chiave basata sul cluster. AWS CloudHSM AES Sebbene AWS CloudHSM supportino chiavi simmetriche e asimmetriche di diversi tipi, gli archivi di chiavi supportano solo chiavi di crittografia simmetriche. AWS CloudHSM AES

È possibile visualizzare le KMS chiavi in un archivio AWS CloudHSM chiavi della console e utilizzare le opzioni della AWS KMS console per visualizzare l'ID dell'archivio chiavi personalizzato. È inoltre possibile utilizzare l'DescribeKeyoperazione per trovare l'ID dell'archivio AWS CloudHSM chiavi e l'ID AWS CloudHSM del cluster.

Le KMS chiavi in un AWS CloudHSM key store funzionano esattamente come tutte KMS le chiavi in esso contenute AWS KMS. Gli utenti autorizzati necessitano delle stesse autorizzazioni per utilizzare e gestire le KMS chiavi. Utilizzate le stesse procedure e API operazioni della console per visualizzare e gestire le KMS chiavi in un archivio di AWS CloudHSM chiavi. Queste includono l'attivazione e la disabilitazione KMS delle chiavi, la creazione e l'utilizzo di tag e alias e l'impostazione e la modifica delle IAM politiche chiave. È possibile utilizzare le KMS chiavi in un archivio di AWS CloudHSM chiavi per operazioni crittografiche e utilizzarle con AWS servizi integrati che supportano l'uso di chiavi gestite dal cliente. Tuttavia, non è possibile abilitare la rotazione automatica delle chiavi o importare materiale chiave in una chiave in un archivio di KMS chiavi. AWS CloudHSM

Lo stesso processo viene utilizzato anche per pianificare l'eliminazione di una KMS chiave in un archivio di AWS CloudHSM chiavi. Dopo la scadenza del periodo di attesa, AWS KMS elimina la KMS chiave da. KMS Quindi fa del suo meglio per eliminare il materiale chiave relativo alla KMS chiave dal cluster associato AWS CloudHSM . È tuttavia possibile che sia necessario eliminare manualmente il materiale della chiave orfano dal cluster e dai relativi backup.