AWS CloudHSM 用例

需要符合企业安全标准的企业可以使用 AWS CloudHSM 来管理保护高度机密数据的私钥。 HSMs 提供的 AWS CloudHSM 已通过 FIPS 140-2 3 级认证，符合 PCI DSS。此外， AWS CloudHSM 它符合 PCI PIN 标准并符合 PCI-3DS 标准。有关更多信息，请参阅 合规。

AWS CloudHSM 用于管理保护高度机密的数据、传输中的加密和静态加密的私钥。此外，还 AWS CloudHSM 提供符合标准的多密码学集成。 SDKs

加密过程中，使用私钥对文档签名，使收件人可通过公钥验证您（而不是其他人）是否确实发送了文档。用于 AWS CloudHSM 创建专为此目的设计的非对称公钥和私钥对。

在密码学中，密码消息身份验证码 (CMACs) 和基于哈希的消息身份验证码 (HMACs) 用于对通过不安全网络发送的消息进行身份验证并确保其完整性。使用 AWS CloudHSM，您可以安全地创建和管理支持 HMACs 和 CMACs的对称密钥。

客户可以在单租户环境中组合 AWS CloudHSM 和AWS KMS存储密钥材料，同时还可以获得密钥管理、扩展和云集成的 AWS KMS优势。有关如何执行此操作的详细信息，AWS Key Management Service 开发者指南中的 AWS CloudHSM 密钥存储。

为通过互联网安全地发送数据，网络服务器使用公私密钥对和 SSL/TLS 公钥证书建立 HTTPS 会话。此过程涉及大量的 Web 服务器计算，但是您可以通过将部分计算负担转移到集群来减轻计算负担，同时提供额外的安全性。 AWS CloudHSM 有关使用设置 SSL/TLS 卸载的信息，请参阅。 AWS CloudHSMSSL/TLS 分载

透明数据加密（TDE）用于数据库文件加密。使用 TDE，数据库软件可以先对数据进行加密，然后再将其存储在磁盘上。通过将 TDE 主加密密钥存储在 HSMs 中，可以提高安全性 AWS CloudHSM。有关使用设置 Oracle TDE 的信息 AWS CloudHSM，请参阅Oracle Database 加密。

证书颁发机构 (CA) 是受信任的实体，它颁发将公钥绑定至身份（个人或组织）的数字证书。要操作 CA，您必须通过保护签署由 CA 颁发的证书的私有密钥来维持信任。您可以将此类私钥存储在 AWS CloudHSM 集群中，然后使用您的 HSMs 来执行加密签名操作。

生成随机数来创建加密密钥是在线安全的核心。 AWS CloudHSM 可用于在 HSMs 您的控制中安全地生成随机数，并且只有您自己可见。