本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 金鑰時,請遵循本節中的最佳實務 AWS CloudHSM。
選擇正確的金鑰類型
使用工作階段金鑰時,每秒的交易 (TPS) 將限制為金鑰所在的一個 HSM。叢集中的額外 HSMs 不會增加該金鑰的請求輸送量。如果您針對相同的應用程式使用權杖金鑰,您的請求將在叢集中所有可用的 HSMs之間進行負載平衡。如需詳細資訊,請參閱中的金鑰同步和耐久性設定 AWS CloudHSM。
管理金鑰儲存限制
HSMs 對可一次存放在 HSM 上的字符和工作階段金鑰數量上限有限制。如需金鑰儲存限制的資訊,請參閱 AWS CloudHSM 配額。如果您的應用程式需要超過限制,您可以使用下列一或多個策略來有效管理金鑰:
使用信任的包裝將金鑰存放在外部資料存放區:使用信任的金鑰包裝,您可以將所有金鑰包裝存放在外部資料存放區中,以克服金鑰儲存限制。當您需要使用此金鑰時,您可以將金鑰解包裝為工作階段金鑰,使用金鑰進行必要的操作,然後捨棄工作階段金鑰。原始金鑰資料會安全地存放在資料存放區中,以在需要時隨時使用。使用信任的金鑰來執行此操作,可最大化您的保護。
將金鑰分散到叢集:克服金鑰儲存限制的另一個策略是將金鑰存放在多個叢集中。在此方法中,您可以維護儲存在每個叢集中的金鑰映射。使用此映射將用戶端請求路由到具有所需金鑰的叢集。如需如何從相同用戶端應用程式連線至多個叢集的資訊,請參閱下列主題:
管理和保護金鑰包裝
金鑰可以透過 EXTRACTABLE 屬性標示為可擷取或不可擷取。根據預設,HSM 金鑰會標記為可擷取。
可擷取金鑰是允許透過金鑰包裝從 HSM 匯出的金鑰。包裝的金鑰會加密,而且必須先使用相同的包裝金鑰來取消包裝,才能使用。在任何情況下,都不能從 HSM 匯出無法擷取的金鑰。無法讓不可擷取的金鑰擷取。因此,請務必考慮您是否需要擷取金鑰,並相應地設定對應的金鑰屬性。
如果您需要在應用程式中使用金鑰包裝,您應該利用信任的金鑰包裝,將 HSM 使用者的能力限制為僅包裝/取消包裝已被管理員明確標記為信任的金鑰。如需詳細資訊,請參閱 中受信任金鑰包裝的主題中的金鑰 AWS CloudHSM。
相關資源
