AWS CloudHSM 主要商店

AWS CloudHSM 金鑰存放區是由AWS CloudHSM 叢集支援的自訂金鑰存放區。當您在自訂金鑰存放區AWS KMS key中建立時， AWS KMS 會在您擁有和管理的 AWS CloudHSM 叢集中為 KMS 金鑰產生並儲存不可擷取的金鑰材料。當您使用自訂金鑰存放區中的 KMS 金鑰時，密碼編譯操作是在叢集的 HSM 中執行。此功能結合的 AWS KMS 便利性和廣泛整合，以 AWS CloudHSM 及您的 AWS 帳戶.

AWS KMS 為建立、使用和管理自訂金鑰存放區提供完整的主控台和 API 支援。您使用自訂金鑰存放區中 KMS 金鑰的方式，與您使用任何 KMS 金鑰的方式相同。例如，您可以使用 KMS 金鑰來產生資料金鑰並加密資料。您也可以將自訂金鑰存放區中的 KMS 金鑰與支援客戶管理金鑰的 AWS 服務搭配使用。

我是否需要自訂金鑰存放區？

對於大多數使用者而言，預設 AWS KMS 金鑰存放區受到 FIPS 140-2 驗證的加密模組保護，可滿足其安全性需求。您不需要多一層維護責任或依賴額外的服務。

不過，如果您的組織有下列要求，您可能會考慮建立自訂金鑰存放區：

自訂金鑰存放區如何運作？

每個自訂金鑰存放區 AWS CloudHSM 都與您的 AWS 帳戶. 將自訂金鑰存放區連線至其叢集時， AWS KMS 會建立網路基礎結構以支援連線。然後，它會使用叢集中的專屬加密使用者的憑證登入叢集中的金鑰用 AWS CloudHSM 戶端。

您可以在中建立和管理自訂金鑰存放區， AWS KMS 並在中建立和管理 HSM 叢集。 AWS CloudHSM在 AWS KMS 自訂金鑰存放區 AWS KMS keys 中建立時，您可以在中檢視和管理 KMS 金鑰 AWS KMS。但是您也可以在中檢視和管理其金鑰材料 AWS CloudHSM，就像您對叢集中的其他金鑰一樣。

您可以使用自訂金鑰存放區 AWS KMS 中產生的金鑰材料來建立對稱加密 KMS 金鑰。然後使用相同的技巧來檢視和管理您在金鑰存放區中用於 KMS 金鑰的自訂金鑰存放區中的 KMS 金 AWS KMS 鑰。您可以使用 IAM 和金鑰政策控制存取、建立標籤和別名、啟用和停用 KMS 金鑰，以及排程金鑰刪除。您可以使用 KMS 金鑰進行密碼編譯作業，並將其與整合的 AWS 服務搭配 AWS KMS使用。

此外，您還可以完全控制 AWS CloudHSM 叢集，包括建立和刪除 HSM 以及管理備份。您可以使用用 AWS CloudHSM 戶端和支援的軟體程式庫來檢視、稽核和管理 KMS 金鑰的金鑰材料。自訂金鑰存放區中斷連線時， AWS KMS 無法存取，且使用者無法使用自訂金鑰存放區中的 KMS 金鑰進行密碼編譯作業。多一道這種控制讓自訂金鑰存放區成為有需要的組織的強大解決方案。

從何處開始？

若要建立和管理 AWS CloudHSM 金鑰存放區，請使用 AWS KMS 和的功能 AWS CloudHSM。

如果您在任何時候受阻，您可以在對自訂金鑰存放區進行故障診斷主題中尋找說明。如果找不到問題的解答，請使用本指南每一頁底部的意見回饋連結，或將問題張貼到 AWS Key Management Service 開發論壇。

配額

AWS KMS 每個 AWS 帳戶 區域最多允許 10 個自訂金鑰存放區，包括AWS CloudHSM 金鑰存放區和外部金鑰存放區，無論其連線狀態為何。此外，還有在金鑰存放區中使用 KMS 金鑰的 AWS KMS要求配額。 AWS CloudHSM

定價

如需自訂金鑰存放區中 AWS KMS 自訂金鑰存放區和客戶管理金鑰的成本資訊，請參閱AWS Key Management Service 定價。如需 AWS CloudHSM 叢集和 HSM 成本的相關資訊，請參閱AWS CloudHSM 定價。

區域

AWS KMS 支持所有 AWS 區域 支持的 AWS CloudHSM 主要商店，亞太區域（墨爾本），中國（北京），中國（寧夏）和歐洲（西班牙）除外。 AWS KMS

不支援的功能

AWS KMS 在自訂金鑰存放區中不支援下列功能。