Entendendo AWS CloudHSM a sincronização de teclas - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo AWS CloudHSM a sincronização de teclas

AWS CloudHSM usa a sincronização de chaves para clonar chaves de token em todos os módulos de segurança de hardware (HSM) em um cluster. Você cria chaves de token como chaves persistentes durante as operações de geração, importação ou desencapsulamento de chaves. Para distribuir essas chaves em todo o cluster, o Cloud HSM oferece sincronização de chaves do lado do cliente e do lado do servidor.

Key synchronization diagram showing client-side and server-side sync for CloudHSM cluster.

O objetivo da sincronização de chaves, tanto do lado do servidor quanto do lado do cliente, é distribuir as novas chaves pelo cluster o mais rápido possível depois de criá-las. Isso é importante porque as chamadas subsequentes que você fizer para usar novas chaves podem ser roteadas para qualquer uma disponível HSM no cluster. Se a chamada que você fizer for direcionada para uma HSM sem a chave, a chamada falhará. Você pode mitigar esses tipos de falhas especificando que seus aplicativos tentem novamente as chamadas subsequentes feitas após as operações de criação da chave. O tempo necessário para a sincronização pode variar, dependendo da workload do seu cluster e de outros intangíveis. Use CloudWatch métricas para determinar o tempo que seu aplicativo deve empregar nesse tipo de situação. Para obter mais informações, consulte CloudWatch Métricas do.

O desafio da sincronização de chaves em um ambiente de nuvem é a durabilidade delas. Você cria chaves em uma única HSM e geralmente começa a usá-las imediatamente. Se a chave HSM na qual você cria falhar antes de as chaves serem clonadas HSM em outra no cluster, você perderá as chaves e o acesso a qualquer coisa criptografada pelas chaves. Para mitigar esse risco, oferecemos a sincronização do lado do cliente. Esta sincronização é um processo do lado do cliente que clona as chaves que você cria durante as operações de geração, importação ou desencapsulamento de chaves. A clonagem das chaves à medida que você as cria torna as chaves mais duráveis. Obviamente, você não pode clonar chaves em um cluster com uma únicaHSM. Para tornar as chaves mais duráveis, também recomendamos que você configure seu cluster para usar no mínimo duasHSMs. Com a sincronização do lado do cliente e um cluster com doisHSMs, você pode enfrentar o desafio da durabilidade das chaves em um ambiente de nuvem.