本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 AWS CloudHSM?
AWS CloudHSM 結合 AWS 雲端的優點與硬體安全模組 (HSM) 的安全性。硬體安全模組 (HSM) 是一種運算裝置,可處理密碼編譯操作,並為密碼編譯金鑰提供安全的儲存空間。您可以完全控制 AWS 雲端中的高可用性 HSM、具 AWS CloudHSM有低延遲存取,以及可自動化 HSM 管理的安全信任根 (包括備份、佈建、組態和維護)。
AWS CloudHSM 為客戶提供多種好處:
- 對 FIPS 和非 FIP 叢集的存取
AWS CloudHSM 提供兩種模式的叢集:FIPS 和非 FIP。在 FIPS 模式下,只能使用聯邦資訊處理標準 (FIPS) 核准的金鑰和演算法。非 FIPS 模式提供支援的所有金鑰和演算法 AWS CloudHSM,無論 FIPS 核准為何。如需詳細資訊,請參閱 AWS CloudHSM 叢集模式和 HSM 類型。
- HSM 是一般用途、單一租用戶,以及通過 FIPS 140-2 層級 3 驗證的 FIPS 140-2 層級 3,適用於 FIPS 模式下的叢集
AWS CloudHSM 使用一般用途 HSM,相較於具有針對應用程式預先確定演算法和金鑰長度的全受管 AWS 服務,可提供更大的彈性。我們提供符合標準、單一租用戶的 HSM,並且通過 FIPS 140-2 層級 3 驗證,適用於 FIPS 模式的叢集。對於使用案例超出 FIPS 140-2 第 3 級驗證限制的客戶, AWS CloudHSM 也提供非 FIP 模式的叢集。如需詳細資訊,請參閱AWS CloudHSM 叢集。
- AWS 看不到 E2E 加密
由於您的資料層已加密 end-to-end (E2E),而且 AWS 看不到,因此您可以控制自己的使用者管理 (IAM 角色之外)。與使用受管 AWS 服務相比,此控制項的折衷之處在於您的責任更大。
- 完全控制金鑰、演算法和應用程式開發
AWS CloudHSM 讓您完全控制您使用的演算法和金鑰。您可以產生、存放、匯出、匯入、管理和使用密碼編譯金鑰 (包括工作階段金鑰、字符金鑰、對稱金鑰和非對稱金鑰對)。此外, AWS CloudHSM SDK 可讓您完全控制應用程式開發、應用程式語言、執行緒,以及應用程式實際存在的位置。
- 將加密編譯工作負載遷移到雲端
客戶移轉使用公開金鑰加密標準 #11 (PKCS #11)、Java 密碼編譯延伸模組 (JCE)、密碼編譯 API:下一代 (CNG) 或金鑰儲存區提供者 (KSP) 的公開金鑰基礎結構,可移轉至其應用程式的變更較少。 AWS CloudHSM
若要深入瞭解您可以使用哪些功能 AWS CloudHSM,請參閱下列主題。當您準備好開始使用時 AWS CloudHSM,請參閱開始使用。
注意
如果您需要受管服務,用於建立和控制您的加密金鑰,但您不想要或不需要操作自己的 HSM,請考慮使用 AWS Key Management Service
如果您正在尋找一種彈性服務來管理雲端支付 HSM 和付款處理應用程式的金鑰,請考慮使用 AWS 付款加密技術
