AWS CloudHSM lojas principais - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS CloudHSM lojas principais

Uma AWS CloudHSM key store é um armazenamento de chaves personalizado apoiado por um AWS CloudHSM agrupamento. Quando você cria um AWS KMS keyem um armazenamento de chaves personalizadas, AWS KMS gera e armazena material de chave não extraível para a KMS chave em um AWS CloudHSM cluster que você possui e gerencia. Quando você usa uma KMS chave em um armazenamento de chaves personalizado, as operações criptográficas são executadas HSMs no cluster. Esse recurso combina a conveniência e a ampla integração do AWS KMS com o controle adicional de um AWS CloudHSM cluster em seu Conta da AWS.

AWS KMS fornece console completo e API suporte para criar, usar e gerenciar seus armazenamentos de chaves personalizadas. Você pode usar as KMS chaves em seu armazenamento de chaves personalizadas da mesma forma que usa qualquer KMS chave. Por exemplo, você pode usar as KMS chaves para gerar chaves de dados e criptografar dados. Você também pode usar as KMS chaves em seu armazenamento de chaves personalizadas com AWS serviços que oferecem suporte a chaves gerenciadas pelo cliente.

Eu preciso de um armazenamento de chaves personalizado?

Para a maioria dos usuários, o padrão AWS KMS O armazenamento de chaves, protegido por FIPS140-2 módulos criptográficos validados, atende aos requisitos de segurança. Não é necessário adicionar uma camada extra de responsabilidade de manutenção nem uma dependência em um serviço adicional.

No entanto, você pode considerar a criação de um armazenamento de chaves personalizado se a sua organização tiver um dos seguintes requisitos:

  • Você tem chaves que precisam ser explicitamente protegidas em um único inquilino HSM ou em uma sobre a HSM qual você tem controle direto.

  • Você precisa da capacidade de remover imediatamente o material chave do AWS KMS.

  • Você precisa ser capaz de auditar todo o uso de suas chaves, independentemente de AWS KMS ou AWS CloudTrail.

Como funcionam os armazenamentos de chaves personalizados?

Cada armazenamento de chaves personalizadas está associado a um AWS CloudHSM cluster em seu Conta da AWS. Quando você conecta o armazenamento de chaves personalizadas ao cluster, AWS KMS cria a infraestrutura de rede para suportar a conexão. Em seguida, ele se conecta à chave AWS CloudHSM cliente no cluster usando as credenciais de um usuário criptográfico dedicado no cluster.

Você cria e gerencia seus armazenamentos de chaves personalizadas no AWS KMS e crie e gerencie seus HSM clusters no AWS CloudHSM. Quando você cria AWS KMS keys em um AWS KMS armazenamento de chaves personalizado, você visualiza e gerencia KMS as chaves em AWS KMS. Mas você também pode visualizar e gerenciar seu material principal no AWS CloudHSM, assim como você faria com outras chaves no cluster.

Gerenciando KMS chaves em um armazenamento de chaves personalizado

Você pode criar KMS chaves de criptografia simétricas com material de chave gerado por AWS KMS em sua loja de chaves personalizadas. Em seguida, use as mesmas técnicas para visualizar e gerenciar as KMS chaves em seu repositório de chaves personalizado que você usa para KMS chaves no AWS KMS loja de chaves. Você pode controlar o acesso IAM e as principais políticas, criar tags e aliases, ativar e desativar as KMS chaves e programar a exclusão das chaves. Você pode usar as KMS chaves para operações criptográficas e usá-las com AWS serviços que se integram com AWS KMS.

Além disso, você tem controle total sobre o AWS CloudHSM cluster, incluindo criação, exclusão HSMs e gerenciamento de backups. Você pode usar o AWS CloudHSM bibliotecas de software de cliente e suportadas para visualizar, auditar e gerenciar o material chave para suas KMS chaves. Enquanto o armazenamento de chaves personalizadas estiver desconectado, AWS KMS não podem acessá-lo e os usuários não podem usar as KMS chaves no armazenamento de chaves personalizadas para operações criptográficas. Essa camada adicional de controle torna os armazenamentos de chaves personalizados uma excelente solução para as organizações que necessitam dela.

Por onde começar?

Para criar e gerenciar um AWS CloudHSM loja de chaves, você usa recursos do AWS KMS e AWS CloudHSM.

  1. Comece em AWS CloudHSM. Crie um ativo AWS CloudHSMagrupar ou selecionar um cluster existente. O cluster deve ter pelo menos dois ativos HSMs em diferentes zonas de disponibilidade. Em seguida, crie uma conta de usuário criptográfico (UC) dedicada nesse cluster para AWS KMS.

  2. Em AWS KMS, crie um armazenamento de chaves personalizado associado ao seu arquivo selecionado AWS CloudHSM cluster. AWS KMS fornece uma interface de gerenciamento completa que permite criar, visualizar, editar e excluir seus repositórios de chaves personalizados.

  3. Quando você estiver pronto para usar seu armazenamento de chaves personalizadas, conecte-o ao seu repositório associado AWS CloudHSM agrupamento. AWS KMS cria a infraestrutura de rede necessária para suportar a conexão. Ele faz login no cluster usando as credenciais da conta de usuário de criptografia dedicado para que possa gerar e gerenciar o material de chaves no cluster.

  4. Agora, você pode criar chaves de criptografia simétricas em seu armazenamento de KMS chaves personalizadas. Basta especificar o armazenamento de chaves personalizadas ao criar a KMS chave.

Se você ficar preso em alguma etapa, é possível encontrar ajuda no tópico Solucionar problemas de um armazenamento de chaves personalizado. Se sua pergunta não for respondida, use o link de feedback na parte inferior de cada página deste guia ou publique uma pergunta no AWS Key Management Service Fórum de discussão.

Cotas

AWS KMS permite até 10 armazenamentos de chaves personalizadas em cada Conta da AWS e região, incluindo ambas AWS CloudHSM armazenamentos de chaves e armazenamentos de chaves externos, independentemente do estado da conexão. Além disso, existem AWS KMS solicitar cotas sobre o uso de KMS chaves em um AWS CloudHSM loja de chaves.

Definição de preço

Para obter informações sobre o custo de AWS KMS armazenamentos de chaves personalizadas e chaves gerenciadas pelo cliente em um armazenamento de chaves personalizadas, consulte AWS Key Management Service preços. Para obter informações sobre o custo do AWS CloudHSM clusters eHSMs, consulte AWS CloudHSM Preços.

Regiões

AWS KMS aguenta AWS CloudHSM principais lojas em todas Regiões da AWS where AWS KMS é suportado, exceto para Ásia-Pacífico (Melbourne), China (Pequim), China (Ningxia) e Europa (Espanha).

Recursos sem suporte

AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizadas.

Tópicos