了解 AWS CloudHSM 金鑰同步

AWS CloudHSM 使用金鑰同步來複製叢集中所有硬體安全模組 (HSM) 的權杖金鑰。您可以在金鑰產生、匯入或解除包裝作業期間，將權杖金鑰建立為持久性金鑰。為了將這些金鑰分散到叢集，CloudHSM 提供用戶端和伺服器端金鑰同步。

金鑰同步處理 (伺服器端和用戶端) 的目標是在建立新金鑰之後，儘快在叢集中散發新金鑰。這很重要，因為您後續使用新金鑰進行的呼叫可以路由到叢集HSM中任何可用的 。如果您進行的呼叫路由到HSM沒有 金鑰的 ，則呼叫會失敗。您可以指定應用程式重試在金鑰建立作業之後進行的後續呼叫，藉此減輕這些類型的失敗。同步處理所需的時間可能會有所不同，具體取決於叢集的工作負載和其他無形資產。使用 CloudWatch 指標來判斷應用程式在此類型情況下應採用的時間。如需詳細資訊，請參閱 CloudWatch 指標。

在雲端環境中，金鑰同步處理的挑戰在於金鑰的耐久性。您可以在單一 上建立金鑰，HSM而且通常會立即開始使用這些金鑰。如果您建立金鑰HSM的 應該在金鑰複製到叢集HSM中的另一個金鑰之前失敗，您會遺失金鑰並存取金鑰加密的任何項目。為了減輕此風險，我們提供用戶端同步處理。用戶端同步處理是用戶端程序，可複製您在金鑰產生、匯入或解除包裝作業期間建立的金鑰。在建立金鑰時複製金鑰會讓金鑰更耐久。當然，您無法在具有單一 的叢集中複製金鑰HSM。為了讓金鑰更持久，我們也建議您將叢集設定為至少使用兩個 HSMs。使用用戶端同步和具有兩個 的叢集HSMs，您可以滿足雲端環境中金鑰耐久性的挑戰。