本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
耐久性保護
服務所產生之金鑰的其他服務耐久性由離線 HSM 的使用、匯出網域字符的多個非揮發性儲存體以及加密 KMS 金鑰的備援儲存體提供。離線 HSM 是現有網域的成員。除了沒有上線和參與一般網域操作之外,離線 HSM 在網域狀態中顯示與現有 HSM 成員相同。
為防止 AWS 發生線上 HSM 或存放在主要儲存系統中之 KMS 金鑰集的大規模遺失,耐久性設計旨在保護區域中的所有 KMS 金鑰。具有匯入金鑰材料的 AWS KMS keys 不包含在其他 KMS 金鑰所提供的耐久性保護之下。為防止 AWS KMS 的區域性故障,匯入的金鑰材料可能需要重新匯入至 KMS 金鑰。
離線 HSM 以及對其進行存取的憑證,都會存放在多個獨立地理位置上受監控之安全室內的保險箱內。每個保險箱至少需要有一名 AWS 資安管理人員及一名 AWS KMS 電信業者人員,來自兩個獨立的 AWS 團隊,以取得這些材料。這些資料的使用受內部政策規範,要求有一批 AWS KMS 電信業者。
