本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 AWS CloudHSM?
AWS CloudHSM 将 AWS 云的优势与硬件安全模块的安全性相结合(HSMs)。硬件安全模块 (HSM) 是一种计算设备,可处理加密操作并提供加密密钥的安全存储。借助 AWS CloudHSM,您可以完全控制 AWS 云中的高可用性 HSMs 、低延迟访问以及自动执行 HSM 管理(包括备份、配置、配置和维护)的安全信任根。
AWS CloudHSM 为客户提供多种好处:
- 访问 FIPS 与非 FIPS 集群
AWS CloudHSM 提供两种模式的集群:FIPS 和非 FIPS。在 FIPS 模式下,只能使用经过美国联邦信息处理标准(FIPS)验证的密钥和算法。非 FIPS 模式提供支持的所有密钥和算法,无论 FIPS 是否获得批准。 AWS CloudHSM有关更多信息,请参阅 AWS CloudHSM 集群模式。
- HSMs 是通用型、单租户,已通过 FIPS 140-2 3 级或 FIPS 140-3 级验证,适用于处于 FIPS 模式的集群
AWS CloudHSM 与为应用程序预先确定算法和密钥长度的完全托管的 AWS 服务相比,使用通用用途 HSMs 可提供更大的灵活性。我们提供的产品 HSMs 符合标准、单租户,并且已通过 FIPS 140-2 3 级或 FIPS 140-3 级验证,适用于处于 FIPS 模式的集群。对于使用场景超出 FIPS 140-2 或 FIPS 140-3 3 级验证限制的客户, AWS CloudHSM 还提供处于非 FIPS 模式的集群。请参阅AWS CloudHSM 集群了解更多信息。
- AWS 无法洞察 E2E 加密
由于您的数据平面已经 end-to-end (E2E) 加密且对 AWS 不可见,因此您可以控制自己的用户管理(在 IAM 角色之外)。获得这种控制权,也需要一定的代价,即与使用托管 Amazon Web Service 相比,您需要承担更多责任。
- 完全控制您的密钥、算法以及应用程序开发
AWS CloudHSM 让您可以完全控制所使用的算法和密钥。您可以生成、存储、导入、导出、管理和使用加密密钥(包括会话密匙、令牌密匙、对称密钥对和非对称密钥对)。此外, AWS CloudHSM SDKs 您还可以完全控制应用程序开发、应用程序语言、线程以及应用程序的实际存在位置。
- 将您的加密工作负载迁移至云端
迁移使用公钥加密标准 #11 (PKCS #11)、Java 加密扩展 (JCE)、Cryptography API:下一代 (CNG) 或密钥存储提供商 (KSP) 的公钥基础设施的客户只需对应用程序进行较少的更改即可迁移到 AWS CloudHSM 。
要详细了解你可以做什么 AWS CloudHSM,请参阅以下主题。准备好开始使用时 AWS CloudHSM,请参阅入门。
注意
如果您想要托管服务来创建和控制您的加密密钥,但又不想也不需要自己操作 HSMs,请考虑使用AWS Key Management Service
如果您正在寻找一种弹性服务来管理云端支付 HSMs 和支付处理应用程序的密钥,请考虑使用 AWS Payment Cryptograp
