AWS CloudHSM とは
AWS CloudHSM は、AWS クラウドの利点とハードウェアセキュリティモジュール (HSM) を使用したセキュリティを組み合わせたものです。ハードウェアセキュリティモジュール (HSM) は、暗号化オペレーションを処理し、暗号化キーの安全なストレージを提供するコンピューティングデバイスです。AWS CloudHSM を使用することで、AWS クラウドにある高可用性 HSM を完全に制御でき、低レイテンシーのアクセスが可能で、HSM 管理 (バックアップ、プロビジョニング、設定、メンテナンスを含む) を自動化する安全なルートオブトラストを利用できます。
AWS CloudHSM の使用にはさまざまなメリットがあります。
- FIPS クラスターと非 FIPS クラスターへのアクセス
AWS CloudHSM は、FIPS と非 FIPS の 2 つのモードでクラスターを提供します。FIPS モードでは、連邦情報処理標準 (FIPS) で検証されたキーとアルゴリズムのみを使用できます。非 FIPS モードでは、FIPS の承認に関係なく、AWS CloudHSM でサポートされるすべてのキーとアルゴリズムが提供されます。詳細については、「AWS CloudHSM クラスターモード」を参照してください。
- HSM は汎用のシングル テナントであり、FIPS モードのクラスターに対して FIPS 140-2 レベル 3 または FIPS 140-3 レベル 3 のいずれかで検証されています。。
AWS CloudHSM は汎用 HSM を使用しており、アプリケーションに合わせて事前にアルゴリズムとキーの長さを備えているフルマネージド型の AWS サービスよりも柔軟性が高くなります。標準に準拠したシングルテナントで、FIPS モードのクラスターに対して FIPS 140-2 レベル 3 または FIPS 140-3 レベル 3 で検証された HSM を提供します。FIPS 140-2 または FIPS 140-3 レベル-3 検証の制限を超えるユースケースを持つお客様のために、AWS CloudHSM は非 FIPS モードのクラスターも提供します。詳細については、「AWS CloudHSM クラスター」を参照してください。
- E2E 暗号化は AWS には表示されません。
データプレーンはエンドツーエンド (E2E) で暗号化されており、AWS には表示されないため、自身のユーザー管理 (IAM ロール外) を制御できます。このコントロールのトレードオフは、マネージド型の AWS サービスを使用した場合よりも責任が大きくなることです。
- キー、アルゴリズム、アプリケーション開発を完全に制御できます。
AWS CloudHSM では、使用するアルゴリズムとキーの完全制御が可能です。暗号化キー (セッションキー、トークンキー、対称キー、非対称キーペアを含む) の生成、保存、インポート、エクスポート、管理、使用ができます。さらに、AWS CloudHSM SDK を使用すると、アプリケーション開発、アプリケーション言語、スレッド化、およびアプリケーションの物理的な配置場所を完全に制御することができます。
- 暗号化ワークロードをクラウドに移行します。
公開鍵暗号規格 #11 (PKCS #11)、Java 暗号化拡張 (JCE)、Cryptography API: Next Generation (CNG)、またはキーストレージプロバイダー (KSP) を使用するパブリックキーインフラストラクチャを移行するお客様は、アプリケーションへの変更をほとんど加えずに AWS CloudHSM へ移行できます。
AWS CloudHSM でできることの詳細については、以下のトピックを参照してください。AWS CloudHSM の使用を始める準備ができたら、「使用開始方法」を参照してください。
注記
データの暗号化キーを作成および管理するマネージド型サービスは欲しいが、独自の HSM を運用したくないまたは不要である場合、AWS Key Management Service
クラウド内の支払い処理アプリケーションの支払い HSM とキーを管理する柔軟性の高いサービスをお探しの場合は、AWS Payment Cryptography
