Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS CloudHSMkonsep toko utama
Topik ini menjelaskan beberapa konsep yang digunakan di toko-toko AWS CloudHSM utama.
AWS CloudHSMtoko kunci
Toko AWS CloudHSM kunci adalah toko kunci khusus yang terkait dengan AWS CloudHSM cluster yang Anda miliki dan kelola. AWS CloudHSMcluster didukung oleh modul keamanan perangkat keras (HSM) yang disertifikasi di FIPS 140-2 Level 3.
Saat Anda membuat kunci KMS di toko kunci Anda, AWS KMS buat AWS CloudHSM kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkait. AWS CloudHSM Material utama ini tidak pernah meninggalkan HSM Anda tidak terenkripsi. Ketika Anda menggunakan kunci KMS di toko AWS CloudHSM kunci, operasi kriptografi dilakukan di HSM di cluster.
AWS CloudHSMtoko utama menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kontrol tambahan yang disediakan oleh AWS CloudHSM cluster di AndaAkun AWS. Fitur terintegrasi ini memungkinkan Anda membuat, mengelola, dan menggunakan kunci KMS AWS KMS sambil mempertahankan kontrol penuh dari HSM yang menyimpan materi utama mereka, termasuk mengelola cluster, HSM, dan backup. Anda dapat menggunakan AWS KMS konsol dan API untuk mengelola penyimpanan AWS CloudHSM kunci dan kunci KMS-nya. Anda juga dapat menggunakan konsol AWS CloudHSM, API, perangkat lunak klien, dan pustaka perangkat lunak terkait untuk mengelola klaster terkait.
Anda dapat melihat dan mengelola toko AWS CloudHSM kunci Anda, mengedit propertinya, dan menghubungkan dan memutusnya dari AWS CloudHSM klaster terkait. Jika Anda perlu menghapus toko AWS CloudHSM kunci, Anda harus terlebih dahulu menghapus kunci KMS di toko AWS CloudHSM kunci dengan menjadwalkan penghapusan mereka dan menunggu sampai masa tenggang berakhir. Menghapus penyimpanan AWS CloudHSM kunci menghapus sumber daya dariAWS KMS, tetapi itu tidak mempengaruhi AWS CloudHSM cluster Anda.
Klaster AWS CloudHSM
Setiap toko AWS CloudHSM kunci dikaitkan dengan satu AWS CloudHSM cluster. Saat Anda membuat AWS KMS key di toko AWS CloudHSM kunci Anda, AWS KMS buat materi kuncinya di cluster terkait. Ketika Anda menggunakan kunci KMS di toko AWS CloudHSM kunci Anda, operasi kriptografi dilakukan di cluster terkait.
Setiap AWS CloudHSM cluster dapat dikaitkan dengan hanya satu penyimpanan AWS CloudHSM kunci. Cluster yang Anda pilih tidak dapat dikaitkan dengan penyimpanan AWS CloudHSM kunci lain atau berbagi riwayat cadangan dengan klaster yang terkait dengan penyimpanan AWS CloudHSM kunci lain. Cluster harus diinisialisasi dan aktif, dan harus sama Akun AWS dan Region sebagai penyimpanan AWS CloudHSM kunci. Anda dapat membuat klaster baru atau menggunakan yang sudah ada. AWS KMS tidak memerlukan penggunaan klaster eksklusif. Untuk membuat kunci KMS di toko AWS CloudHSM kunci, cluster terkait itu harus berisi setidaknya dua HSM aktif. Semua operasi lain hanya memerlukan satu HSM.
Anda menentukan AWS CloudHSM cluster saat Anda membuat penyimpanan AWS CloudHSM kunci, dan Anda tidak dapat mengubahnya. Namun, Anda dapat mengganti setiap klaster yang berbagi riwayat cadangan dengan klaster asli. Hal ini memungkinkan Anda menghapus klaster, jika perlu, dan menggantinya dengan klaster yang dibuat dari salah satu cadangan. Anda mempertahankan kontrol penuh dari klaster AWS CloudHSM yang terkait, sehingga Anda dapat mengelola pengguna dan kunci, membuat dan menghapus HSM, serta menggunakan dan mengelola cadangan.
Ketika Anda siap untuk menggunakan toko AWS CloudHSM kunci Anda, Anda menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutus penyimpanan kunci kustom Anda kapan saja. Ketika toko kunci khusus terhubung, Anda dapat membuat dan menggunakan kunci KMS-nya. Ketika terputus, Anda dapat melihat dan mengelola toko AWS CloudHSM kunci dan kunci KMS-nya. Tetapi Anda tidak dapat membuat kunci KMS baru atau menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi.
Pengguna kripto kmsuser
Untuk membuat dan mengelola material kunci dalam klaster AWS CloudHSM terkait atas nama Anda, AWS KMS menggunakan pengguna kripto (CU) AWS CloudHSM khusus dalam klaster bernama kmsuser. CU kmsuser adalah akun CU standar yang secara otomatis disinkronkan untuk semua HSM di klaster dan disimpan dalam cadangan klaster.
Sebelum Anda membuat penyimpanan AWS CloudHSM kunci, Anda membuat akun kmsuser CU di AWS CloudHSM cluster Anda menggunakan perintah createUser di cloudhsm_mgmt_util. Kemudian ketika Anda membuat toko AWS CloudHSM kunci, Anda memberikan kata sandi kmsuser akun keAWS KMS. Saat Anda menghubungkan toko kunci khusus, AWS KMS masuk ke cluster sebagai kmsuser CU dan memutar kata sandinya. AWS KMSmengenkripsi kmsuser kata sandi Anda sebelum menyimpannya dengan aman. Ketika kata sandi diputar, kata sandi baru dienkripsi dan disimpan dengan cara yang sama.
AWS KMStetap masuk kmsuser selama toko AWS CloudHSM kunci terhubung. Anda tidak boleh menggunakan akun CU ini untuk tujuan lain. Namun, Anda mempertahankan kontrol tertinggi dari akun CU kmsuser. Kapan saja, Anda dapat menemukan handel kunci dari kunci yang dimiliki oleh kmsuser. Jika perlu, Anda dapat memutuskan koneksi penyimpanan kunci kustom, mengubah kata sandi kmsuser,login ke klaster sebagai kmsuser, serta melihat dan mengelola kunci yang dimiliki kmsuser.
Untuk petunjuk tentang cara membuat akun CU kmsuser Anda, lihat Membuat Pengguna Kripto kmsuser.
Kunci KMS di toko AWS CloudHSM kunci
Anda dapat menggunakan AWS KMS API AWS KMS atau untuk membuat AWS KMS keysdi toko AWS CloudHSM kunci. Anda menggunakan teknik yang sama yang akan Anda gunakan pada kunci KMS apa pun. Satu-satunya perbedaan adalah Anda harus mengidentifikasi penyimpanan AWS CloudHSM kunci dan menentukan bahwa asal bahan utama adalah AWS CloudHSM cluster.
Saat Anda membuat kunci KMS di penyimpanan kunci, buat AWS CloudHSM kunci KMS AWS KMS dan itu menghasilkan AWS KMS materi kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkaitnya. Ketika Anda menggunakan AWS KMS kunci dalam operasi kriptografi, operasi dilakukan di AWS CloudHSM cluster menggunakan kunci AES berbasis cluster. Meskipun AWS CloudHSM mendukung kunci simetris dan asimetris dari berbagai jenis, toko AWS CloudHSM kunci hanya mendukung kunci enkripsi simetris AES.
Anda dapat melihat kunci KMS di penyimpanan AWS CloudHSM kunci di AWS KMS konsol, dan menggunakan opsi konsol untuk menampilkan ID penyimpanan kunci khusus. Anda juga dapat menggunakan DescribeKeyoperasi untuk menemukan ID penyimpanan AWS CloudHSM kunci dan ID AWS CloudHSM cluster.
Kunci KMS di toko AWS CloudHSM kunci berfungsi seperti kunci KMS apa pun. AWS KMS Pengguna yang berwenang memerlukan izin yang sama untuk menggunakan dan mengelola kunci KMS. Anda menggunakan prosedur konsol dan operasi API yang sama untuk melihat dan mengelola kunci KMS di penyimpanan AWS CloudHSM kunci. Ini termasuk mengaktifkan dan menonaktifkan kunci KMS, membuat dan menggunakan tag dan alias, dan mengatur dan mengubah IAM dan kebijakan utama. Anda dapat menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi, dan menggunakannya dengan AWSlayanan terintegrasi yang mendukung penggunaan kunci yang dikelola pelanggan Namun, Anda tidak dapat mengaktifkan rotasi kunci otomatis atau mengimpor bahan kunci ke kunci KMS di toko kunci. AWS CloudHSM
Anda juga menggunakan proses yang sama untuk menjadwalkan penghapusan kunci KMS di toko kunci. AWS CloudHSM Setelah masa tunggu berakhir, AWS KMS hapus kunci KMS dari KMS. Kemudian itu membuat upaya terbaik untuk menghapus materi kunci untuk kunci KMS dari AWS CloudHSM cluster terkait. Namun, Anda mungkin perlu secara manual menghapus material kunci tanpa induk dari klaster dan cadangannya.
