本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 什么是 AWS CloudHSM? AWS CloudHSM 将 AWS 云的优势与硬件安全模块的安全性相结合(HSMs)。硬件安全模块 (HSM) 是一种计算设备,可处理加密操作并提供加密密钥的安全存储。借助 AWS CloudHSM,您可以完全控制 AWS 云中的高可用性 HSMs 、低延迟访问以及自动执行 HSM 管理(包括备份、配置、配置和维护)的安全信任根。 AWS CloudHSM 为客户提供多种好处: **访问 FIPS 与非 FIPS 集群** AWS CloudHSM 提供两种模式的集群:*FIPS 和*非* FIPS*。在 FIPS 模式下,只能使用经过美国联邦信息处理标准(FIPS)验证的密钥和算法。非 FIPS 模式提供支持的所有密钥和算法,无论 FIPS 是否获得批准。 AWS CloudHSM有关更多信息,请参阅 [AWS CloudHSM 集群模式](cluster-hsm-types.md)。 **HSMs 是通用型、单租户,已通过 FIPS 140-2 3 级或 FIPS 140-3 级验证,适用于处于 FIPS 模式的集群** AWS CloudHSM 与为应用程序预先确定算法和密钥长度的完全托管的 AWS 服务相比,使用通用用途 HSMs 可提供更大的灵活性。我们提供的产品 HSMs 符合标准、单租户,并且已通过 FIPS 140-2 3 级或 FIPS 140-3 级验证,适用于处于 FIPS 模式的集群。对于使用场景超出 FIPS 140-2 或 FIPS 140-3 3 级验证限制的客户, AWS CloudHSM 还提供处于非 FIPS 模式的集群。请参阅[AWS CloudHSM 集群](clusters.md)了解更多信息。 **AWS 无法洞察 E2E 加密** 由于您的数据平面已经 end-to-end (E2E) 加密且对 AWS 不可见,因此您可以控制自己的用户管理(在 IAM 角色之外)。获得这种控制权,也需要一定的代价,即与使用托管 Amazon Web Service 相比,您需要承担更多责任。 **完全控制您的密钥、算法以及应用程序开发** AWS CloudHSM 让您可以完全控制所使用的算法和密钥。您可以生成、存储、导入、导出、管理和使用加密密钥(包括会话密匙、令牌密匙、对称密钥对和非对称密钥对)。此外, AWS CloudHSM SDKs 您还可以完全控制应用程序开发、应用程序语言、线程以及应用程序的实际存在位置。 **将您的加密工作负载迁移至云端** 迁移使用公钥加密标准 \$111 (PKCS \$111)、Java 加密扩展 (JCE)、Cryptography API:下一代 (CNG) 或密钥存储提供商 (KSP) 的公钥基础设施的客户只需对应用程序进行较少的更改即可迁移到 AWS CloudHSM 。 要详细了解你可以做什么 AWS CloudHSM,请参阅以下主题。准备好开始使用时 AWS CloudHSM,请参阅[开始使用](getting-started.md)。 **注意** 如果您想要托管服务来创建和控制您的加密密钥,但又不想也不需要自己操作 HSMs,请考虑使用[AWS Key Management Service](https://aws.amazon.com/kms/)。 如果您正在寻找一种弹性服务来管理云端支付 HSMs 和支付处理应用程序的密钥,请考虑使用 [AWS Payment Cryptograp](https://aws.amazon.com/payment-cryptography/) hy。 **Topics** + [使用案例](use-cases.md) + [工作原理](whatis-concepts.md) + [的定价 AWS CloudHSM](pricing.md)