AWS CloudHSM conceitos-chave da loja - AWS Key Management Service
AWS CloudHSM armazenamento de chavesAWS CloudHSM clusterUsuário de criptografia kmsuserKMSchaves em um AWS CloudHSM armazenamento de chaves

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS CloudHSM conceitos-chave da loja

Este tópico explica alguns dos conceitos usados em AWS CloudHSM lojas principais.

AWS CloudHSM armazenamento de chaves

Um AWS CloudHSM o armazenamento de chaves é um armazenamento de chaves personalizado associado a um AWS CloudHSM cluster que você possui e gerencia. AWS CloudHSM os clusters são apoiados por módulos de segurança de hardware (HSMs) certificados no nível FIPS 140-2 3.

Quando você cria uma KMS chave no seu AWS CloudHSM loja de chaves, AWS KMS gera uma chave simétrica Advanced Encryption Standard (AES) persistente e não exportável de 256 bits na chave associada AWS CloudHSM cluster. Esse material chave nunca deixa você HSMs sem criptografia. Quando você usa uma KMS chave em um AWS CloudHSM armazenamento de chaves, as operações criptográficas são executadas HSMs no cluster.

AWS CloudHSM as lojas de chaves combinam a interface de gerenciamento de chaves conveniente e abrangente do AWS KMS com os controles adicionais fornecidos por um AWS CloudHSM cluster em seu Conta da AWS. Esse recurso integrado permite criar, gerenciar e usar KMS chaves no AWS KMS mantendo o controle total dos HSMs que armazenam seus principais materiais, incluindo gerenciamento de clusters e backups. HSMs Você pode usar o AWS KMS console e APIs para gerenciar o AWS CloudHSM loja de chaves e suas KMS chaves. Você também pode usar o AWS CloudHSM consoleAPIs, software cliente e bibliotecas de software associadas para gerenciar o cluster associado.

Você pode visualizar e gerenciar seu AWS CloudHSM armazene chaves, edite suas propriedades e conecte-a e desconecte-a de suas associadas AWS CloudHSM cluster. Se você precisar excluir um AWS CloudHSM armazenamento de chaves, você deve primeiro excluir as KMS chaves no AWS CloudHSM armazene as chaves agendando sua exclusão e aguardando até que o período de carência expire. Excluindo o AWS CloudHSM o armazenamento de chaves remove o recurso de AWS KMS, mas isso não afeta seu AWS CloudHSM cluster.

AWS CloudHSM cluster

Cada AWS CloudHSM o armazenamento de chaves está associado a um AWS CloudHSM cluster. Quando você cria um AWS KMS key no seu AWS CloudHSM loja de chaves, AWS KMS cria seu material chave no cluster associado. Quando você usa uma KMS chave no seu AWS CloudHSM armazenamento de chaves, a operação criptográfica é executada no cluster associado.

Cada um AWS CloudHSM o cluster pode ser associado a apenas um AWS CloudHSM loja de chaves. O cluster que você escolher não pode ser associado a outro AWS CloudHSM armazenar chaves ou compartilhar um histórico de backup com um cluster associado a outro AWS CloudHSM loja de chaves. O cluster deve estar inicializado e ativo, e deve estar no mesmo Conta da AWS e Região como a AWS CloudHSM loja de chaves. Você pode criar um novo cluster ou usar um existente. AWS KMS não precisa do uso exclusivo do cluster. Para criar KMS chaves no AWS CloudHSM armazenamento de chaves, seu cluster associado deve conter pelo menos dois ativosHSMs. Todas as outras operações exigem apenas umaHSM.

Você especifica o AWS CloudHSM cluster quando você cria o AWS CloudHSM armazenamento de chaves e você não pode alterá-lo. No entanto, você pode substituir qualquer cluster que compartilha um histórico de backup pelo cluster original. Isso permite a você excluir o cluster, se necessário, e substituí-lo por um cluster criado a partir de um de seus backups. Você mantém o controle total dos associados AWS CloudHSM cluster para que você possa gerenciar usuários e chaves, criar e excluirHSMs, usar e gerenciar backups.

Quando você estiver pronto para usar seu AWS CloudHSM armazenamento de chaves, você o conecta ao seu associado AWS CloudHSM cluster. Você pode conectar e desconectar o armazenamento de chaves personalizado a qualquer momento. Quando um armazenamento de chaves personalizado está conectado, você pode criar e usar suas KMS chaves. Quando ele está desconectado, você pode visualizar e gerenciar o AWS CloudHSM loja de chaves e suas KMS chaves. Mas você não pode criar novas KMS chaves ou usar as KMS chaves no AWS CloudHSM armazenamento de chaves para operações criptográficas.

Usuário de criptografia kmsuser

Para criar e gerenciar o material chave no associado AWS CloudHSM agrupe em seu nome, AWS KMS usa um dedicado AWS CloudHSM usuário criptográfico (CU) no cluster chamadokmsuser. A kmsuser UC é uma conta de UC padrão que é automaticamente sincronizada com tudo HSMs no cluster e salva nos backups do cluster.

Antes de criar seu AWS CloudHSM armazenamento de chaves, você cria uma conta kmsuser UC no seu AWS CloudHSM agrupar usando o comando user create no Cloud HSMCLI. Então, quando você cria o AWS CloudHSM armazenamento de chaves, você fornece a senha da kmsuser conta para AWS KMS. Quando você conecta o armazenamento de chaves personalizadas, AWS KMS faz login no cluster como a kmsuser UC e alterna sua senha. AWS KMS criptografa sua kmsuser senha antes de armazená-la com segurança. Quando a senha é alternada, a nova senha é criptografada e armazenada da mesma maneira.

AWS KMS permanece conectado kmsuser enquanto o AWS CloudHSM o armazenamento de chaves está conectado. Você não deve usar essa conta CU para outros fins. No entanto, você mantém o controle final do CU da conta kmsuser. A qualquer momento, você pode encontrar as chaves que kmsuser possui. Se necessário, você pode desconectar o armazenamento de chaves personalizado, alterar a senha de kmsuser, fazer login no cluster como kmsuser e exibir e gerenciar as chaves pertencentes ao kmsuser.

Para obter instruções sobre como criar sua conta CU kmsuser, consulte Criar o Usuário de criptografia kmsuser.

KMSchaves em um AWS CloudHSM armazenamento de chaves

Você pode usar o AWS KMS ou AWS KMS APIpara criar um AWS KMS keysem um AWS CloudHSM loja de chaves. Você usa a mesma técnica que usaria em qualquer KMS tecla. A única diferença é que você deve identificar o AWS CloudHSM armazene a chave e especifique que a origem do material chave é a AWS CloudHSM cluster.

Quando você cria uma KMS chave em um AWS CloudHSM loja de chaves, AWS KMS cria a KMS chave em AWS KMS e gera um material de chave simétrica Advanced Encryption Standard (AES) persistente e não exportável de 256 bits em seu cluster associado. Quando você usa o AWS KMS chave em uma operação criptográfica, a operação é executada no AWS CloudHSM agrupar usando a chave baseada em clusterAES. Apesar AWS CloudHSM suporta chaves simétricas e assimétricas de diferentes tipos, AWS CloudHSM os armazenamentos de chaves oferecem suporte somente a chaves de criptografia AES simétricas.

Você pode ver as KMS chaves em um AWS CloudHSM armazenamento de chaves no AWS KMS console e use as opções do console para exibir o ID personalizado do armazenamento de chaves. Você também pode usar a DescribeKeyoperação para encontrar o AWS CloudHSM ID do armazenamento de chaves e AWS CloudHSM ID do cluster.

As KMS chaves em um AWS CloudHSM o armazenamento de KMS chaves funciona como qualquer chave em AWS KMS. Os usuários autorizados precisam das mesmas permissões para usar e gerenciar as KMS chaves. Você usa os mesmos procedimentos e API operações do console para visualizar e gerenciar as KMS chaves em um AWS CloudHSM loja de chaves. Isso inclui ativar e desativar KMS chaves, criar e usar tags e aliases e definir IAM e alterar políticas de chaves. Você pode usar as KMS chaves em um AWS CloudHSM armazene chaves para operações criptográficas e use-as com sistemas integrados AWS serviços que oferecem suporte ao uso de chaves gerenciadas pelo cliente. No entanto, você não pode ativar a rotação automática de chaves ou importar material de chaves em uma KMS chave em um AWS CloudHSM loja de chaves.

Você também usa o mesmo processo para agendar a exclusão de uma KMS chave em um AWS CloudHSM loja de chaves. Depois que o período de espera expirar, AWS KMS exclui a KMS chave deKMS. Em seguida, ele se esforça ao máximo para excluir o material da KMS chave do material associado AWS CloudHSM cluster. No entanto, pode ser necessário excluir manualmente o material de chaves órfãs do cluster e de seus backups.