とは AWS CloudHSM

AWS CloudHSM は、 AWS クラウドの利点とハードウェアセキュリティモジュール () のセキュリティを組み合わせますHSMs。ハードウェアセキュリティモジュール (HSM) は、暗号化オペレーションを処理し、暗号化キーの安全なストレージを提供するコンピューティングデバイスです。を使用すると AWS CloudHSM、 AWS クラウドHSMs内の高可用性を完全に制御し、低レイテンシーのアクセスと、HSM管理 (バックアップ、プロビジョニング、設定、メンテナンスを含む) を自動化する安全な信頼のルートを利用できます。

AWS CloudHSM は、お客様にさまざまな利点を提供します。

FIPSおよび FIPS以外のクラスターへのアクセス

AWS CloudHSM は、 FIPSと 以外のFIPS 2 つのモードでクラスターを提供します。FIPS モードでは、連邦情報処理規格 (FIPS) で検証されたキーとアルゴリズムのみを使用できます。非FIPS モードは、FIPS承認に関係なく AWS CloudHSM、 でサポートされているすべてのキーとアルゴリズムを提供します。詳細については、「AWS CloudHSM クラスターのモードとHSMタイプ」を参照してください。

HSMs は汎用、単一テナント、および FIPS モードでのクラスターに対して FIPS 140-2 Level-3 または FIPS 140-3 Level-3 のいずれかが検証済みです。

AWS CloudHSM はHSMs、アプリケーションのアルゴリズムとキーの長さが事前に定義されたフルマネージドAWSサービスと比較して、柔軟性を高める汎用 を使用します。HSMs 標準準拠のシングルテナントで、 FIPS モードのクラスターに対して FIPS 140-2 Level-3 または FIPS 140-3 Level-3 のいずれかが検証されている を提供しています。140-2 または FIPS 140-3 FIPS レベル 3 検証の制限外のユースケースのお客様向けに、 は FIPS以外のモードのクラスター AWS CloudHSM も提供します。詳細については、「AWS CloudHSM クラスター」を参照してください。

E2E 暗号化は に表示されません AWS

データプレーンは end-to-end (E2E) で暗号化されており、 には表示されないためAWS、独自のユーザー管理 (IAMロール外) を制御します。このコントロールのトレードオフは、マネージドAWSサービスを使用した場合よりも多くの責任があることです。

キー、アルゴリズム、アプリケーション開発を完全に制御できます。

AWS CloudHSM を使用すると、使用するアルゴリズムとキーを完全に制御できます。暗号化キー (セッションキー、トークンキー、対称キー、非対称キーペアを含む) の生成、保存、インポート、エクスポート、管理、使用ができます。さらに、 AWS CloudHSM SDKsアプリケーション開発、アプリケーション言語、スレッド、アプリケーションが物理的に存在する場所を完全に制御できます。

暗号化ワークロードをクラウドに移行します。

パブリックキー暗号化標準 #11 (PKCS #11)、Java 暗号化拡張 ()、暗号化API: 次世代 (JCE）、CNGまたはキーストレージプロバイダー (KSP) を使用するパブリックキーインフラストラクチャを移行するお客様は、アプリケーションの変更を少なく AWS CloudHSM して に移行できます。

でできることの詳細については AWS CloudHSM、以下のトピックを参照してください。の使用を開始する準備ができたら AWS CloudHSM、「」を参照してください使用開始。

注記

マネージドサービスで暗号化キーを作成および制御したいが、独自の を運用する必要がない場合HSMs、 の使用を検討してくださいAWS Key Management Service。

クラウド内の支払い処理アプリケーションの支払いHSMsとキーを管理する Elastic Service をお探しの場合は、 AWS Payment Cryptography の使用を検討してください。

内容

• ユースケース
• 仕組み
• 料金