AWS CloudHSM クラスターのバックアップ - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM クラスターのバックアップ


      AWS CloudHSMサービス制御された Amazon S3 バケットの暗号化されたクラスターバックアップ。

AWS CloudHSMは、クラスター内のユーザー、キー、ポリシーの定期的なバックアップを作成します。このサービスは、クラスターと同じリージョン内の、サービス制御された Amazon Simple Storage Service (Amazon S3) バケットにバックアップを保存します。前の図は、バックアップとクラスタの関係を示しています。バックアップは、セキュリティ、耐久性、および予測可能なスケジュールで更新されます。バックアップのセキュリティと耐久性の詳細については、次のセクションを参照してください。バックアップの操作方法の詳細については、「」を参照してください。バックアップの管理

バックアップのセキュリティ

AWS CloudHSM が HSM からバックアップを作成すると、そのすべてのデータは HSM で暗号化されてから AWS CloudHSM に送信されます。データがプレーンテキスト形式で HSM から外部に出ることはありません。

データを暗号化するために、HSM はエフェメラルバックアップキー (EBK) として知られる一意の暗号化キーを一時的に使用します。EBK は、AWS CloudHSM がバックアップを作成した際に HSM 内で生成される AES 256 ビット暗号化キーです。HSM は EBK を生成し、それを使用して NIST special publication 800-38F に準拠する FIPS 承認 AES キーラップメソッドで HSM のデータを暗号化します。その後、HSM は暗号化されたデータを AWS CloudHSM に渡します。暗号化されたデータには、EBK の暗号化済みコピーが含まれています。

EBK を暗号化するために、HSM は永続的バックアップキー (PBK) として知られる別の暗号化キーを使用します。PBK も、AES 256 ビット暗号化キーです。PBK を生成するために、HSM は NIST special publication 800-108 に準拠する FIPS 承認キー取得機能 (KDF) をカウンターモードで使用します。この KDF への入力には次のものがあります。

  • ハードウェア製造元が HSM に永続的に埋め込んだ、製造元キーバックアップキー (MKBK)。

  • 最初に AWS CloudHSM に設定された場合、HSM に安全にインストールされる AWS キーバックアップキー (AKBK)。

次の図に暗号化プロセスがまとめてあります。バックアップ暗号化キーは、永続的なバックアップキー (PBK) とエフェメラルバックアップキー (EBK) を指します。


        暗号化に使用される暗号化キーの概要AWS CloudHSMバックアップ。

AWS CloudHSM は、同じ製造元に作られた AWS 所有の HSM のみにバックアップを保存できます。すべてのバックアップがすべてのユーザー、キー、およびオリジナルの HSM を含んでいるため、復元された HSM はオリジナルと同じ保護およびアクセス制御を含んでいます。復元されたデータは、復元前に HSM にあった可能性がある他のデータをすべて上書きします。

バックアップは暗号化されたデータのみで構成されます。サービスが Amazon S3 にバックアップを保存する前に、サービスはAWS Key Management Service(AWS KMS).

バックアップの耐久性

AWS CloudHSMは、サービスが制御する Amazon S3 バケットにクラスターバックアップを保存します。バックアップの耐久性レベルは 99.999999999% です。