了解 AWS CloudHSM 密钥同步

AWS CloudHSM 使用密钥同步功能在集群中的所有硬件安全模块（HSM）上克隆令牌密钥。在密钥生成、导入或解包操作期间，您可以将令牌密钥创建为永久密钥。为了在集群中分配这些密钥，CloudHSM 提供了客户端和服务器端密钥同步功能。

密钥同步（服务器端和客户端）的目标是在创建新密钥后尽快在集群中分发新密钥。这很重要，因为您为使用新密钥而进行的后续调用可以路由到集群中任何可用的 HSM。如果您的调用路由到没有密钥的 HSM，则调用将失败。您可以通过指定应用程序在密钥创建操作后重试后续调用来缓解这些类型故障。同步所需的时间可能会有所不同，具体取决于集群的工作负载和其他无形因素。使用 CloudWatch 指标来确定您的应用程序在这种情况下应采用的时序。有关更多信息，请参阅 CloudWatch 指标。

云环境中密钥同步面临的挑战在于密钥的耐久性。您在单个 HSM 上创建密钥，并且通常会立即开始使用这些密钥。如果您创建密钥的 HSM 在密钥被克隆到集群中的另一个 HSM 之前出现故障，则您将丢失密钥并无法访问由密钥加密的任何内容。为了降低这种风险，我们提供客户端同步功能。客户端同步为客户端进程，用于克隆您在密钥生成、导入或解包操作期间创建的密钥。在创建密钥时对其进行克隆可以使密钥更持久。当然，您无法使用单个 HSM 克隆集群中的密钥。为了使密钥更持久，我们还建议您将集群配置为使用两个及以上的 HSM。通过客户端同步和具有两个 HSM 的集群，您可以应对云环境中密钥持久性的挑战。