AWS CloudHSM tiendas clave

Un almacén de AWS CloudHSM claves es un almacén de claves personalizado respaldado por un AWS CloudHSM clúster. Al crear uno AWS KMS keyen un almacén de claves personalizado, AWS KMS genera y almacena material de claves no extraíble para la clave de KMS en un AWS CloudHSM clúster que es de su propiedad y que administra. Al utilizar una clave KMS en un almacén de claves personalizado, las operaciones criptográficas se realizan en los HSM del clúster. Esta función combina la comodidad y la amplia integración AWS KMS con el control adicional de un AWS CloudHSM clúster en el suyo. Cuenta de AWS

AWS KMS proporciona soporte completo de consola y API para crear, usar y administrar sus almacenes de claves personalizados. Puede usar las claves KMS de su almacén de claves personalizado de la misma manera que usa cualquier clave KMS. Por ejemplo, puede usar las claves KMS para generar claves de datos y para cifrar datos. También puede usar las claves de KMS en su almacén de claves personalizado con AWS servicios que admitan las claves administradas por el cliente.

¿Necesito un almacén de claves personalizado?

Para la mayoría de los usuarios, el almacén de AWS KMS claves predeterminado, que está protegido por módulos criptográficos validados por el FIPS 140-2, cumple sus requisitos de seguridad. No es necesario agregar una capa extra de responsabilidad de mantenimiento o una dependencia de un servicio adicional.

Sin embargo, puede plantearse crear un almacén de claves personalizado si su organización cumple alguno de los siguientes requisitos:

• Tiene claves que deben protegerse de forma explícita en un HSM de un solo inquilino o en un HSM sobre el que tiene control directo.

• Necesita la capacidad de eliminar inmediatamente el material clave de. AWS KMS

• Debe poder auditar todo el uso de sus claves de forma independiente AWS KMS o AWS CloudTrail.

¿Cómo funcionan los almacenes de claves personalizados?

Cada almacén de claves personalizado está asociado a un AWS CloudHSM clúster de su Cuenta de AWS. Al conectar el almacén de claves personalizado a su clúster, AWS KMS crea la infraestructura de red necesaria para respaldar la conexión. A continuación, inicia sesión en el AWS CloudHSM cliente de claves del clúster con las credenciales de un usuario criptográfico dedicado del clúster.

Puede crear y administrar sus almacenes de claves personalizados AWS KMS y crear y administrar sus clústeres de HSM en AWS CloudHSM. Al crear AWS KMS keys en un almacén de claves AWS KMS personalizado, puede ver y administrar las claves de KMS en AWS KMSél. Sin embargo, también puede ver y administrar su material clave en él AWS CloudHSM, tal como lo haría con otras claves del clúster.

Puede crear claves KMS de cifrado simétrico con el material de claves generado AWS KMS en su almacén de claves personalizado. A continuación, utilice las mismas técnicas para ver y administrar las claves de KMS del almacén de claves personalizado que utiliza para las claves de KMS del almacén de AWS KMS claves. Puede controlar el acceso con políticas de claves y de IAM, crear etiquetas y alias, habilitar y desactivar las claves KMS y programar la eliminación de claves. Puede usar las claves de KMS para operaciones criptográficas y utilizarlas con AWS servicios que se integren con AWS KMS ellas.

Además, tiene el control total del AWS CloudHSM clúster, lo que incluye la creación y eliminación de los HSM y la gestión de las copias de seguridad. Puede usar el AWS CloudHSM cliente y las bibliotecas de software compatibles para ver, auditar y administrar el material clave de sus claves de KMS. Mientras el almacén de claves personalizadas esté desconectado, AWS KMS no podrá acceder a él y los usuarios no podrán utilizar las claves de KMS del almacén de claves personalizadas para operaciones criptográficas. Esta capa de control agregada convierte a los almacenes de claves personalizados en una solución potente para las organizaciones que la necesitan.

¿Por dónde empiezo?

Para crear y administrar un almacén de AWS CloudHSM claves, utilice las funciones de AWS KMS y AWS CloudHSM.

1. Comience en AWS CloudHSM. Cree un clúster de AWS CloudHSM activo o seleccione uno existente. El clúster debe tener al menos dos HSM activos en distintas zonas de disponibilidad. A continuación, cree una cuenta de usuario de criptografía (CU) dedicado en dicho clúster para AWS KMS.

2. En AWS KMS, cree un almacén de claves personalizado que esté asociado al AWS CloudHSM clúster seleccionado. AWS KMS proporciona una interfaz de administración completa que le permite crear, ver, editar y eliminar sus almacenes de claves personalizados.

3. Cuando esté listo para usar su almacén de claves personalizado, conéctelo al AWS CloudHSM clúster asociado. AWS KMS crea la infraestructura de red que necesita para soportar la conexión. A continuación, se registra en el clúster con las credenciales de la cuenta de usuario de criptografía dedicado para que pueda generar y administrar material de claves en el clúster.

4. Ahora, puede crear claves KMS de cifrado simétricas en su almacén de claves personalizado. Únicamente debe especificar el almacén de claves personalizado al crear la clave KMS.

Si se queda bloqueado en algún momento, puede buscar ayuda en el tema Resolver problemas de un almacén de claves personalizado. Si su pregunta no tiene respuesta, utilice el enlace de comentarios en la parte inferior de cada página de esta guía o escriba en el Foro de discusión de AWS Key Management Service.

Cuotas

AWS KMS permite hasta 10 almacenes de claves personalizados en cada Cuenta de AWS región, incluidos los almacenes de AWS CloudHSM claves y los almacenes de claves externos, independientemente del estado de conexión. Además, hay cuotas de AWS KMS solicitud para el uso de claves KMS en un almacén de AWS CloudHSM claves.

Precios

Para obtener información sobre el costo de los almacenes de claves AWS KMS personalizados y las claves administradas por el cliente en un almacén de claves personalizado, consulte AWS Key Management Service los precios. Para obtener información sobre el costo de AWS CloudHSM los clústeres y los HSM, consulte AWS CloudHSM los precios.

Regiones

AWS KMS admite tiendas AWS CloudHSM clave en todos los Regiones de AWS lugares donde AWS KMS sea compatible, excepto en Asia Pacífico (Melbourne), China (Pekín), China (Ningxia) y Europa (España).

Características no admitidas

AWS KMS no admite las siguientes funciones en los almacenes de claves personalizadas.

• Claves de KMS asimétricas

• Pares de claves de datos asimétricas

• Claves KMS HMAC

• Claves KMS con material de claves importado

• Rotación automática de claves

• Claves de varias regiones

Temas

• Conceptos del almacén de claves de AWS CloudHSM
• Controlar el acceso al almacén de claves de AWS CloudHSM
• Administrar un almacén de claves personalizado de CloudHSM
• Administrar claves de KMS en un almacén de claves de CloudHSM
• Resolver problemas de un almacén de claves personalizado