AWS CloudHSM クラスターのバックアップ - AWS CloudHSM

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS CloudHSM クラスターのバックアップ


      サービス制御された AWS CloudHSM バケットの暗号化された Amazon S3 クラスターバックアップ。

AWS CloudHSM は、クラスターのユーザー、キー、ポリシーの定期的なバックアップを作成します。このサービスは、クラスターと同じリージョン内の、サービス制御された Amazon Simple Storage Service (Amazon S3) バケットにバックアップを保存します。前の図は、バックアップとクラスターとの関係を示しています。バックアップは、安全で耐久性があり、予測可能なスケジュールで更新されます。バックアップのセキュリティと耐久性の詳細については、以下のセクションを参照してください。バックアップの使用の詳細については、「バックアップの管理」を参照してください。

バックアップのセキュリティ

AWS CloudHSM が HSM からバックアップを作成すると、そのすべてのデータは HSM で暗号化されてから AWS CloudHSM に送信されます。データがプレーンテキスト形式で HSM から外部に出ることはありません。

データを暗号化するために、HSM はエフェメラルバックアップキー (EBK) として知られる一意の暗号化キーを一時的に使用します。EBK は、AWS CloudHSM がバックアップを作成した際に HSM 内で生成される AES 256 ビット暗号化キーです。HSM は EBK を生成し、それを使用して NIST special publication 800-38F に準拠する FIPS 承認 AES キーラップメソッドで HSM のデータを暗号化します。その後、HSM は暗号化されたデータを AWS CloudHSM に渡します。暗号化されたデータには、EBK の暗号化済みコピーが含まれています。

EBK を暗号化するために、HSM は永続的バックアップキー (PBK) として知られる別の暗号化キーを使用します。PBK も、AES 256 ビット暗号化キーです。PBK を生成するために、HSM は NIST special publication 800-108 に準拠する FIPS 承認キー取得機能 (KDF) をカウンターモードで使用します。この KDF への入力には次のものがあります。

  • ハードウェア製造元が HSM に永続的に埋め込んだ、製造元キーバックアップキー (MKBK)。

  • 最初に AWS CloudHSM に設定された場合、HSM に安全にインストールされる AWS キーバックアップキー (AKBK)。

次の図に暗号化プロセスがまとめてあります。バックアップ暗号化キーは、永続的なバックアップキー (PBK) とエフェメラルバックアップキー (EBK) を指します。


        バックアップの暗号化に使用される暗号化キーの概要。AWS CloudHSM

AWS CloudHSM は、同じ製造元によって作成された AWS 所有の HSMs にのみバックアップを復元できます。すべてのバックアップがすべてのユーザー、キー、およびオリジナルの HSM を含んでいるため、復元された HSM はオリジナルと同じ保護およびアクセス制御を含んでいます。復元されたデータは、復元前に HSM にあった可能性がある他のデータをすべて上書きします。

バックアップは暗号化されたデータのみで構成されます。サービスが Amazon S3 にバックアップを保存する前に、AWS Key Management Service (AWS KMS) を使用してバックアップを再度暗号化します。

バックアップの耐久性

AWS CloudHSM は、サービスが管理する Amazon S3 バケットにクラスターのバックアップを保存します。バックアップの耐久性は 99.999999999% で、Amazon S3 に保存されているオブジェクトと同じです。