本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS CloudHSM 使用案例 AWS CloudHSM 可用來實現各種目標。本主題中的內容概述了您可以如何使用 AWS CloudHSM。 **達成法規合規** 需要符合企業安全標準的企業可以使用 AWS CloudHSM 來管理保護高度機密資料的私有金鑰。提供的 HSMs AWS CloudHSM 通過 FIPS 140-2 第 3 級認證,並符合 PCI DSS。此外, AWS CloudHSM 是否符合 PCI PIN 和 PCI-3DS 規範。如需詳細資訊,請參閱[的合規驗證 AWS CloudHSM](fips-validation.md)。 **加密和解密資料** 使用 AWS CloudHSM 管理保護高度機密資料、傳輸中加密和靜態加密的私有金鑰。此外, AWS CloudHSM 提供與多個密碼編譯 SDKs 的標準相容整合。 **使用私有金鑰和公有金鑰簽署和驗證文件** 在密碼編譯中,使用私有金鑰**簽署**文件可讓收件者使用公有金鑰來**驗證**您 (而非其他人) 是否確實傳送文件。使用 AWS CloudHSM 建立專為此目的設計的非對稱公有和私有金鑰對。 **使用 HMAC 和 CMAC 進行訊息驗證** 在密碼編譯中,加密式訊息驗證程式碼 (CMAC) 和雜湊訊息驗證碼 (HMAC) 用於驗證並確保透過不安全網路傳送訊息的完整性。透過 AWS CloudHSM,您可以安全地建立和管理支援 HMACs 和 CMACs對稱金鑰。 **利用 AWS CloudHSM 和 的優點 AWS Key Management Service** 客戶可以結合 AWS CloudHSM 和 [AWS KMS](https://aws.amazon.com/kms/) ,將金鑰材料存放在單一租用戶環境中,同時獲得 的金鑰管理、擴展和雲端整合優勢 AWS KMS。如需如何執行此操作的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的 [AWS CloudHSM 金鑰存放區](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html)。 **卸載 Web 伺服器的 SSL/TLS 處理** 為了透過網際網路安全地傳送資料,Web 伺服器會使用公有金鑰和私有金鑰對和 SSL/TLS 公有金鑰憑證來建立 HTTPS 工作階段。此程序涉及許多 Web 伺服器的運算,但您可以將其中一些項目卸載至 AWS CloudHSM 叢集,藉此減輕運算負擔,同時提供額外的安全性。如需使用 設定 SSL/TLS 卸載的資訊 AWS CloudHSM,請參閱 [SSL/TLS 卸載](ssl-offload.md)。 **啟用透明資料加密 (TDE)** 透明資料加密 (TDE) 可用來加密資料庫檔案。使用 TDE,資料庫軟體將資料存儲在磁盤上之前對其進行加密。您可以將 TDE 主加密金鑰儲存在 AWS CloudHSM叢集的 HSM 中,以達到更高的安全性。如需使用 設定 Oracle TDE 的詳細資訊 AWS CloudHSM,請參閱 [Oracle 資料庫加密](oracle-tde.md)。 **管理發行憑證授權機構 (CA) 的私有金鑰** 憑證授權機構 (CA) 是一種受信任的實體,會發出將公有金鑰繫結至身分 (個人或組織) 的數位憑證。若要操作 CA,您必須保護簽署 CA 所發行憑證的私有金鑰,以維護信任。您可以在 AWS CloudHSM 叢集中存放這類私有金鑰,然後使用 HSMs來執行密碼編譯簽署操作。 **生成隨機數字** 產生隨機數字以建立加密金鑰是線上安全的核心。 AWS CloudHSM 可用來在您控制的 HSMs中安全地產生隨機數字,而且只有您可見。