本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Payment Cryptography 的安全最佳實務
AWS 付款密碼編譯支援許多內建或您可以選擇性地實作的安全功能,以增強加密金鑰的保護,並確保這些金鑰用於其預期用途,包括 IAM 政策、廣泛的政策條件金鑰集,以精簡金鑰政策和 IAM 政策,以及內建對金鑰區塊的 PCI PIN 規則強制執行。
重要
提供的一般準則不代表完整的安全解決方案。由於並非所有的最佳實務都適用於所有情形,因此這些實務並非為規範性的。
-
金鑰用量和使用模式: AWS 付款密碼編譯遵循並強制執行金鑰用量和使用模式限制,如 ANSI X9 TR 31-2018 可互通安全金鑰交換金鑰區塊規格中所述,並與 PCI PIN 安全要求 18-3 一致。這會限制將單一金鑰用於多種用途的能力,並以密碼編譯方式將金鑰中繼資料 (例如允許的操作) 繫結至金鑰材料本身。 AWS 付款密碼編譯會自動強制執行這些限制,例如金鑰加密金鑰 (TR31_K0_KEY_ENCRYPTION_KEY) 也無法用於資料解密。如需詳細資訊,請參閱了解 AWS 付款密碼編譯金鑰的金鑰屬性。
-
對稱金鑰材料的限制共用:只與最多一個其他實體共用對稱金鑰材料 (例如 Pin Encryption Keys 或 Key Encryption Keys)。如果需要將敏感資料傳輸到更多實體或合作夥伴,請建立其他金鑰。 AWS 付款密碼編譯永遠不會公開對稱金鑰材料或非對稱私有金鑰材料。
-
使用別名或標籤將金鑰與特定使用案例或合作夥伴建立關聯:別名可用來輕鬆表示與金鑰相關聯的使用案例,例如別名/BIN_12345_CVK,以表示與 BIN 12345 相關聯的卡片驗證金鑰。若要提供更多彈性,請考慮建立標籤,例如 bin=12345、use_case=acquiing、country=us、partner=foo。別名和標籤也可以用於限制存取,例如在發行和取得使用案例之間強制執行存取控制。
-
實行最低權限存取:IAM 可用來限制對系統的生產存取,而不是個人,例如禁止個別使用者建立金鑰或執行密碼編譯操作。IAM 也可以用於限制存取可能不適用於您的使用案例的命令和金鑰,例如限制為收單機構產生或驗證接腳的能力。使用最低權限存取的另一種方法是限制對特定服務帳戶的敏感操作 (例如金鑰匯入)。如需範例,請參閱 AWS 付款密碼編譯身分型政策範例。
另請參閱
-
《IAM 使用者指南》中的 IAM 安全最佳實務。