翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudHSM は、 AWS クラウドの利点とハードウェアセキュリティモジュール (HSMs。ハードウェアセキュリティモジュール (HSM) は、暗号化オペレーションを処理し、暗号化キーの安全なストレージを提供するコンピューティングデバイスです。を使用すると AWS CloudHSM、AWS クラウド内の高可用性 HSMs を完全に制御し、低レイテンシーのアクセスと、HSM 管理 (バックアップ、プロビジョニング、設定、メンテナンスを含む) を自動化する安全な信頼のルートを確保できます。
AWS CloudHSM は、お客様にさまざまな利点を提供します。
- FIPS クラスターと非 FIPS クラスターへのアクセス
AWS CloudHSM は、FIPS と非 FIPS の 2 つのモードでクラスターを提供します。FIPS モードでは、連邦情報処理標準 (FIPS) で検証されたキーとアルゴリズムのみを使用できます。非 FIPS モードは、FIPS の承認に関係なく AWS CloudHSM、 でサポートされているすべてのキーとアルゴリズムを提供します。詳細については、「AWS CloudHSM クラスターモード」を参照してください。
- HSM は汎用のシングル テナントであり、FIPS モードのクラスターに対して FIPS 140-2 レベル 3 または FIPS 140-3 レベル 3 のいずれかで検証されています。。
AWS CloudHSM は、アプリケーションに事前定義されたアルゴリズムとキー長を持つフルマネージド AWS サービスと比較して、より高い柔軟性を提供する汎用 HSMs を使用します。標準に準拠したシングルテナントで、FIPS モードのクラスターに対して FIPS 140-2 レベル 3 または FIPS 140-3 レベル 3 で検証された HSM を提供します。FIPS 140-2 または FIPS 140-3 レベル-3 検証の制限を超えるユースケースを持つお客様のために、 AWS CloudHSM は非 FIPS モードのクラスターも提供します。詳細については「AWS CloudHSM クラスター」を参照してください。
- E2E 暗号化は AWS には表示されません。
データプレーンはエンドツーエンド (E2E) で暗号化されており、AWS には表示されないため、自身のユーザー管理 (IAM ロール外) を制御できます。このコントロールのトレードオフは、マネージド型の AWS サービスを使用した場合よりも責任が大きくなることです。
- キー、アルゴリズム、アプリケーション開発を完全に制御できます。
AWS CloudHSM では、使用するアルゴリズムとキーを完全に制御できます。暗号化キー (セッションキー、トークンキー、対称キー、非対称キーペアを含む) の生成、保存、インポート、エクスポート、管理、使用ができます。さらに、 AWS CloudHSM SDKsを使用すると、アプリケーション開発、アプリケーション言語、スレッド、アプリケーションが物理的に存在する場所を完全に制御できます。
- 暗号化ワークロードをクラウドに移行します。
Public Key Cryptography Standards #11 (PKCS #11)、Java Cryptographic Extension (JCE)、Cryptography API: Next Generation (CNG)、または Key Storage Provider (KSP) を使用するパブリックキーインフラストラクチャを移行するお客様は、アプリケーションの変更を少なく AWS CloudHSM して に移行できます。
でできることの詳細については AWS CloudHSM、以下のトピックを参照してください。の使用を開始する準備ができたら AWS CloudHSM、「」を参照してください入門。
注記
データの暗号化キーを作成および管理するマネージド型サービスは欲しいが、独自の HSM を運用したくないまたは不要である場合、AWS Key Management Service
クラウド内の支払い処理アプリケーションの支払い HSM とキーを管理する柔軟性の高いサービスをお探しの場合は、AWS Payment Cryptography
