Sicherheit der Infrastruktur in AWS CloudHSM

Als verwalteter Service AWS CloudHSM ist er durch die AWS globalen Netzwerksicherheitsverfahren geschützt, die im Whitepaper Amazon Web Services: Sicherheitsprozesse im Überblick beschrieben sind.

Sie verwenden AWS veröffentlichte API-Aufrufe, um AWS CloudHSM über das Netzwerk darauf zuzugreifen. Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Netzwerkisolierung

Eine Virtual Private Cloud (VPC) ist ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich in der AWS Cloud. Sie können einen Cluster in einem privaten Subnetz der VPC erstellen. Sie können private Subnetze erstellen, wenn Sie eine VPC erstellen. Weitere Informationen finden Sie unter Erstellen einer Virtual Private Cloud (VPC).

Wenn Sie ein HSM erstellen, AWS CloudHSM fügen Sie ein elastic network interface (ENI) in Ihr Subnetz ein, damit Sie mit Ihren HSMs interagieren können. Weitere Informationen finden Sie unter Clusterarchitektur.

AWS CloudHSM erstellt eine Sicherheitsgruppe, die eingehende und ausgehende Kommunikation zwischen HSMs in Ihrem Cluster ermöglicht. Sie können diese Sicherheitsgruppe verwenden, um EC2-Instances die Kommunikation mit den HSMs im Cluster zu ermöglichen. Weitere Informationen finden Sie unter Konfiguration der Sicherheitsgruppen der Amazon-EC2-Client-Instance.

Autorisierung von Benutzern

Mit erfordern Operationen AWS CloudHSM, die auf dem HSM ausgeführt werden, die Anmeldeinformationen eines authentifizierten HSM-Benutzers. Weitere Informationen finden Sie unter Grundlegendes zu HSM-Benutzern.