翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クラスターバックアップのセキュリティ
HSM AWS CloudHSM からバックアップを作成すると、HSM はデータをすべて暗号化してからに送信します。 AWS CloudHSMデータがプレーンテキスト形式で HSM から外部に出ることはありません。さらに、 AWS AWS はバックアップの復号化に使用されたキーにアクセスできないため、バックアップを復号化できません。
データを暗号化するために、HSM はエフェメラルバックアップキー (EBK) として知られる一意の暗号化キーを一時的に使用します。EBK は、バックアップ時に HSM 内で生成される AES 256 ビットの暗号化キーです。 AWS CloudHSM HSM は EBK を生成し、それを使用して NIST special publication 800-38F
EBK を暗号化するために、HSM は永続的バックアップキー (PBK) として知られる別の暗号化キーを使用します。PBK も、AES 256 ビット暗号化キーです。PBK を生成するために、HSM は NIST special publication 800-108
-
ハードウェア製造元が HSM に永続的に埋め込んだ、製造元キーバックアップキー (MKBK)。
-
AWS キーバックアップキー (AKBK) は、HSM による初期設定時に HSM に安全にインストールされます。 AWS CloudHSM
次の図に暗号化プロセスがまとめてあります。バックアップ暗号化キーは、永続的なバックアップキー (PBK) とエフェメラルバックアップキー (EBK) を指します。
AWS CloudHSM AWS同じメーカーが所有する HSM にのみバックアップを復元できます。すべてのバックアップがすべてのユーザー、キー、およびオリジナルの HSM を含んでいるため、復元された HSM はオリジナルと同じ保護およびアクセス制御を含んでいます。復元されたデータは、復元前に HSM にあった可能性がある他のデータをすべて上書きします。
バックアップは暗号化されたデータのみで構成されます。サービスが Amazon S3 にバックアップを保存する前に、サービスは AWS Key Management Service (AWS KMS) を使用してバックアップを再度暗号化します。
