AWS CloudHSM negozi chiave - AWS Key Management Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudHSM negozi chiave

Un AWS CloudHSM key store è un archivio di chiavi personalizzato supportato da un AWS CloudHSM cluster. Quando ne crei uno AWS KMS keyin un archivio di chiavi personalizzato, AWS KMS genera e archivia materiale chiave non estraibile per la chiave KMS in un AWS CloudHSM cluster di tua proprietà e gestione. Quando utilizzi una chiave KMS in un archivio delle chiavi personalizzate, le operazioni di crittografia vengono eseguite negli HSM nel cluster. Questa funzionalità combina la praticità e l'ampia integrazione di AWS KMS con il controllo aggiuntivo di un AWS CloudHSM cluster nel tuo. Account AWS

AWS KMS fornisce supporto completo per console e API per la creazione, l'utilizzo e la gestione degli archivi di chiavi personalizzati. È possibile utilizzare le chiavi KMS nell'archivio delle chiavi personalizzate nello stesso modo in cui si utilizza qualsiasi chiave KMS. Ad esempio, puoi utilizzare le chiavi KMS per generare chiavi di dati ed effettuare la crittografia dei dati. Puoi anche utilizzare le chiavi KMS nel tuo archivio chiavi personalizzato con AWS servizi che supportano le chiavi gestite dai clienti.

È necessario uno store di chiavi personalizzato?

Per la maggior parte degli utenti, l'archivio AWS KMS chiavi predefinito, protetto da moduli crittografici convalidati FIPS 140-2, soddisfa i requisiti di sicurezza. Non è richiesto un livello supplementare di responsabilità per la manutenzione o la dipendenza da un ulteriore servizio.

Tuttavia, è possibile prendere in considerazione la creazione di uno store di chiavi personalizzato qualora l'organizzazione possieda i seguenti requisiti:

  • Hai chiavi che devono essere protette esplicitamente in un modulo HSM a tenant singolo o in un modulo HSM su cui hai il controllo diretto.

  • È necessaria la possibilità di rimuovere immediatamente il materiale chiave da. AWS KMS

  • Devi essere in grado di controllare tutti gli usi delle tue chiavi indipendentemente da AWS KMS o AWS CloudTrail.

Come funzionano gli store di chiavi personalizzati?

Ogni archivio di chiavi personalizzato è associato a un AWS CloudHSM cluster del tuo Account AWS. Quando connetti l'archivio di chiavi personalizzato al relativo cluster, AWS KMS crea l'infrastruttura di rete per supportare la connessione. Quindi accede al AWS CloudHSM client chiave del cluster utilizzando le credenziali di un utente crittografico dedicato nel cluster.

Crei e gestisci i tuoi archivi di chiavi personalizzati AWS KMS e crei e gestisci i tuoi cluster HSM in. AWS CloudHSM Quando crei AWS KMS keys in un archivio di chiavi AWS KMS personalizzato, visualizzi e gestisci le chiavi KMS in. AWS KMS Ma puoi anche visualizzare e gestire il loro materiale chiave in AWS CloudHSM, proprio come faresti per le altre chiavi del cluster.

Gestione di chiavi KMS in un archivio delle chiavi personalizzate

Puoi creare chiavi KMS con crittografia simmetrica con materiale chiave generato dal tuo archivio AWS KMS di chiavi personalizzato. Utilizza quindi le stesse tecniche per visualizzare e gestire le chiavi KMS nell'archivio chiavi personalizzato utilizzate per le chiavi KMS nell'archivio chiavi. AWS KMS Puoi controllare l'accesso con e le policy IAM e delle chiavi, creare tag e alias, abilitare e disabilitare chiavi KMS e pianificare l'eliminazione della chiave. Puoi utilizzare le chiavi KMS per operazioni crittografiche e utilizzarle con AWS servizi che si integrano con. AWS KMS

Inoltre, hai il pieno controllo sul AWS CloudHSM cluster, inclusa la creazione e l'eliminazione degli HSM e la gestione dei backup. Puoi utilizzare il AWS CloudHSM client e le librerie software supportate per visualizzare, controllare e gestire il materiale chiave per le tue chiavi KMS. Sebbene l'archivio chiavi personalizzato sia disconnesso, AWS KMS non possono accedervi e gli utenti non possono utilizzare le chiavi KMS nell'archivio chiavi personalizzato per operazioni crittografiche. Questo ulteriore livello di controllo rende gli store di chiavi personalizzati una soluzione potente per le aziende che lo richiedono.

Da dove iniziare?

Per creare e gestire un archivio di AWS CloudHSM chiavi, si utilizzano le funzionalità di e. AWS KMS AWS CloudHSM

  1. Inizia in AWS CloudHSM. Creare un cluster AWS CloudHSM attivo oppure selezionare un cluster esistente. Il cluster deve avere almeno due moduli HSM attivi in diverse zone di disponibilità. Creare poi un account utente di crittografia dedicato (CU, crypto user) in quel cluster per AWS KMS.

  2. In AWS KMS, crea un archivio di chiavi personalizzato associato al AWS CloudHSM cluster selezionato. AWS KMS fornisce un'interfaccia di gestione completa che consente di creare, visualizzare, modificare ed eliminare gli archivi di chiavi personalizzati.

  3. Quando sei pronto per utilizzare il tuo archivio di chiavi personalizzato, collegalo al AWS CloudHSM cluster associato. AWS KMS crea l'infrastruttura di rete necessaria per supportare la connessione. Effettua poi l'accesso al cluster tramite le credenziali dell'account crypto user (CU) dedicato, in modo da poter generare e gestire il materiale chiave nel cluster.

  4. Ora puoi creare chiavi KMS di crittografia simmetrica nel tuo archivio delle chiavi personalizzate. Basta specificare l'archivio delle chiavi personalizzate in fase di creazione della chiave KMS.

Qualora durante questa procedura non si riesca a procedere, cercare assistenza nell'argomento Risoluzione di problemi relativi a store delle chiavi personalizzate. Se non si trova risposta, utilizzare il collegamento di feedback nella parte inferiore di ogni pagina della guida o pubblicare una domanda nel Forum di discussione AWS Key Management Service.

Quote

AWS KMS consente fino a 10 archivi di chiavi personalizzati in ciascuna Account AWS regione, inclusi archivi AWS CloudHSM chiavi e archivi chiavi esterni, indipendentemente dallo stato della connessione. Inoltre, sono previste quote di AWS KMS richiesta per l'uso delle chiavi KMS in un AWS CloudHSM archivio di chiavi.

Prezzi

Per informazioni sul costo degli archivi di chiavi AWS KMS personalizzati e delle chiavi gestite dai clienti in un archivio di chiavi personalizzato, consulta AWS Key Management Service i prezzi. Per informazioni sul costo dei AWS CloudHSM cluster e degli HSM, vedi AWS CloudHSM Prezzi.

Regioni

AWS KMS supporta i AWS CloudHSM principali store in tutti i paesi in Regioni AWS cui AWS KMS è supportato, ad eccezione di Asia Pacifico (Melbourne), Cina (Pechino), Cina (Ningxia) ed Europa (Spagna).

Caratteristiche non supportate

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.

Argomenti