本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 AWS CloudHSM?
AWS CloudHSM 結合了 AWS 雲端的優勢和硬體安全模組 () 的安全性HSMs。硬體安全模組 (HSM) 是一種運算裝置,可處理密碼編譯操作,並為密碼編譯金鑰提供安全儲存。透過 HSMs AWS CloudHSM,您可以完全控制AWS雲端中的高可用性、低延遲存取,以及自動化HSM管理 (包括備份、佈建、組態和維護) 的安全信任根。
AWS CloudHSM 為客戶提供各種好處:
- 存取 FIPSFIPS和非 叢集
AWS CloudHSM 以兩種模式提供叢集: FIPS FIPS和非 。在 FIPS模式中,只能使用經聯邦資訊處理標準 (FIPS) 驗證的金鑰和演算法。非FIPS 模式提供 支援的所有金鑰和演算法 AWS CloudHSM,無論FIPS核准為何。如需詳細資訊,請參閱AWS CloudHSM 叢集模式。
- HSMs 是一般用途、單一租用戶,以及 FIPS 140-2 level-3 或 FIPS 140-3 level-3,已針對處於 FIPS 模式的叢集進行驗證
AWS CloudHSM 使用一般用途HSMs,與具有預先定義演算法和應用程式金鑰長度的全受管AWS服務相比,可提供更大的彈性。我們提供符合HSMs標準、單一租戶,以及 FIPS 140-2 level-3 或 FIPS 140-3 level-3 的方案,在 FIPS 模式下針對叢集進行驗證。對於使用案例超出 140-2 FIPS 或 FIPS 140-3 層級 3 驗證限制的客戶, AWS CloudHSM 也提供非FIPS 模式的叢集。如需更多資訊,請參閱AWS CloudHSM 叢集。
- E2E 加密對 來說不可見 AWS
由於您的資料平面是 end-to-end (E2E) 加密的,且 看不到AWS,因此您可以控制自己的使用者管理 (IAM角色之外)。與使用受管AWS服務相比,此控制的權衡需要承擔更多責任。
- 完全控制金鑰、演算法和應用程式開發
AWS CloudHSM 可讓您完全控制使用的演算法和金鑰。您可以產生、存放、匯出、匯入、管理和使用密碼編譯金鑰 (包括工作階段金鑰、字符金鑰、對稱金鑰和非對稱金鑰對)。此外, AWS CloudHSM SDKs可讓您完全控制應用程式開發、應用程式語言、執行緒,以及應用程式實際存在的位置。
- 將加密編譯工作負載遷移到雲端
使用公有金鑰密碼編譯標準 #11 (PKCS #11)、Java 密碼編譯延伸模組 (JCE)、密碼編譯 API:新一代 (CNG) 或金鑰儲存提供者 (KSP) 遷移至 的客戶 AWS CloudHSM ,其應用程式的變更較少。
若要進一步了解您可以使用哪些 AWS CloudHSM,請參閱下列主題。當您準備好開始使用 時 AWS CloudHSM,請參閱 開始使用。
注意
如果您想要受管服務來建立和控制加密金鑰,但您不想或不需要操作自己的 HSMs,請考慮使用 AWS Key Management Service
如果您要尋找彈性服務來管理雲端中付款處理應用程式的付款HSMs和金鑰,請考慮使用AWS付款密碼編譯
