As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conceitos de armazenamento de chaves do AWS CloudHSM
Este tópico explica alguns dos conceitos usados nos armazenamentos de chaves do AWS CloudHSM.
Armazenamento de chaves do AWS CloudHSM
Um armazenamento de chaves do AWS CloudHSM é um armazenamento de chaves personalizado associado a um cluster do AWS CloudHSM que você possui e gerencia. Os clusters do AWS CloudHSM são baseados em módulos de segurança de hardware (HSMs) certificados pelo FIPS 140-2 Nível 3.
Quando você cria uma chave do KMS no seu armazenamento de chaves do AWS CloudHSM, o AWS KMS gera uma chave simétrica Advanced Encryption Standard (AES) de 256 bits, persistente e não exportável no cluster do AWS CloudHSM associado. Esse material de chaves nunca deixa seus HSMs sem estarem criptografados. Ao usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, as operações de criptografia são executadas nos HSMs no cluster.
Armazenamentos de chaves do AWS CloudHSM combinam a interface conveniente e abrangente de gerenciamento de chaves do AWS KMS com os controles adicionais fornecidos por um cluster do AWS CloudHSM em sua Conta da AWS. Esse recurso integrado permite que você crie, gerencie e use chaves do KMS no AWS KMS, ao mesmo tempo em que mantém controle total sobre os HSMs que armazenam seu material de chaves, incluindo gerenciamento de clusters, HSMs e backups. Você pode usar o console e as APIs do AWS KMS para gerenciar o armazenamento de chaves do AWS CloudHSM e suas chaves do KMS. Você também pode usar o console do AWS CloudHSM, as APIs, o software cliente e a bibliotecas de software associadas para gerenciar o cluster associado.
Você pode visualizar e gerenciar seu armazenamento de chaves do AWS CloudHSM, editar suas propriedades e conectá-lo e desconectá-lo do cluster do AWS CloudHSM associado. Se precisar excluir um armazenamento de chaves do AWS CloudHSM, você deverá primeiro excluir as chaves do KMS no armazenamento de chaves do AWS CloudHSM, agendando a exclusão e esperando até que o período de tolerância expire. A exclusão do armazenamento de chaves do AWS CloudHSM remove o recurso do AWS KMS, mas não afeta o cluster do AWS CloudHSM.
AWS CloudHSMCluster do
Todo armazenamento de chaves do AWS CloudHSM é associado a um cluster do AWS CloudHSM. Quando você cria uma AWS KMS key no armazenamento de chaves do AWS CloudHSM, o AWS KMS cria seu material de chaves no cluster associado. Quando você usa uma chave do KMS no armazenamento de chaves do AWS CloudHSM, a operação de criptografia é realizada no cluster associado.
Cada cluster do AWS CloudHSM pode ser associado a apenas um armazenamento de chaves do AWS CloudHSM. O cluster que você escolher não pode ser associado a outro armazenamento de chaves do AWS CloudHSM ou compartilhar um histórico de backup com um cluster associado a outro armazenamento de chaves do AWS CloudHSM. O cluster deve estar inicializado e ativo, além de estar na mesma Conta da AWS e região que o armazenamento de chaves do AWS CloudHSM. Você pode criar um novo cluster ou usar um existente. O AWS KMS não requer o uso exclusivo do cluster. Para criar chaves do KMS no armazenamento de chaves do AWS CloudHSM, seu cluster associado deve conter pelo menos dois HSMs ativos. Todas as outras operações exigem apenas um HSM.
Você especifica o cluster do AWS CloudHSM ao criar o armazenamento de chaves do AWS CloudHSM, e não é possível alterá-lo. No entanto, você pode substituir qualquer cluster que compartilha um histórico de backup pelo cluster original. Isso permite a você excluir o cluster, se necessário, e substituí-lo por um cluster criado a partir de um de seus backups. Você mantém controle total do cluster do AWS CloudHSM associado para que você possa gerenciar usuários e chaves, criar e excluir HSMs e usar e gerenciar backups.
Quando você estiver pronto para usar o armazenamento de chaves do AWS CloudHSM, conecte-o ao cluster do AWS CloudHSM associado. Você pode conectar e desconectar o armazenamento de chaves personalizado a qualquer momento. Se o armazenamento de chaves personalizado estiver conectado, você poderá criar e usar suas chaves do KMS. Se estiver desconectado, você poderá visualizar e gerenciar o armazenamento de chaves do AWS CloudHSM e as respectivas chaves do KMS. No entanto, você não poderá criar novas chaves do KMS nem usar as chaves do KMS no armazenamento de chaves do AWS CloudHSM para operações de criptografia.
Usuário de criptografia kmsuser
Para criar e gerenciar o material de chave no cluster do AWS CloudHSM associada em seu nome, o AWS KMS usa um usuário de criptografia (CU) do AWS CloudHSM no cluster chamado kmsuser. O CU kmsuser é uma conta CU padrão automaticamente sincronizada a todos os HSMs no cluster e salva em backups do cluster.
Antes de criar o armazenamento de chaves do AWS CloudHSM, você cria uma conta de usuário de criptografia kmsuser em seu cluster do AWS CloudHSM usando o comando createUser em cloudhsm_mgmt_util. Ao criar o armazenamento de chaves do AWS CloudHSM, você fornece a senha da conta kmsuser ao AWS KMS. Quando você se conecta ao armazenamento de chaves personalizado, o AWS KMS faz login no cluster como CU kmsuser e alterna sua senha. O AWS KMS criptografa sua senha de kmsuser antes de armazená-la em segurança. Quando a senha é alternada, a nova senha é criptografada e armazenada da mesma maneira.
O AWS KMS permanece conectado como kmsuser enquanto o armazenamento de chaves do AWS CloudHSM está conectado. Você não deve usar essa conta CU para outros fins. No entanto, você mantém o controle final do CU da conta kmsuser. A qualquer momento, você pode encontrar os identificadores de chave das chaves que o kmsuser possui. Se necessário, você pode desconectar o armazenamento de chaves personalizado, alterar a senha de kmsuser, fazer login no cluster como kmsuser e exibir e gerenciar as chaves pertencentes ao kmsuser.
Para obter instruções sobre como criar sua conta CU kmsuser, consulte Criar o Usuário de criptografia kmsuser.
Chaves do KMS em um armazenamento de chaves do AWS CloudHSM
Você pode usar o AWS KMS ou a API do AWS KMS para criar AWS KMS keys em um armazenamento de chaves do AWS CloudHSM. Use a mesma técnica que você usaria em qualquer chave do KMS. A única diferença é que você deve identificar o armazenamento de chaves do AWS CloudHSM e especificar que a origem do material de chave é o cluster do AWS CloudHSM.
Quando você cria uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, o AWS KMS cria a chave do KMS no AWS KMS e gera uma chave de backup simétrica Advanced Encryption Standard (AES) de 256 bits, persistente e não exportável em seu cluster associado. Quando você usa a chave do AWS KMS em uma operação criptográfica, a operação é executada no cluster do AWS CloudHSM usando a chave AES baseada em cluster. Embora o AWS CloudHSM seja compatível com chaves simétricas e assimétricas de diferentes tipos, os armazenamentos de chave do AWS CloudHSM são compatíveis apenas com chaves de criptografia simétrica AES.
Você pode visualizar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM no console do AWS KMS e usar opções do console para exibir o ID do armazenamento de chaves personalizado. Você também pode usar a DescribeKeyoperação para encontrar o ID do armazenamento de AWS CloudHSM chaves e o ID AWS CloudHSM do cluster.
As chaves do KMS em um armazenamento de chaves do AWS CloudHSM funcionam como qualquer outra chave do KMS no AWS KMS. Os usuários autorizados precisam das mesmas permissões para usar e gerenciar as chaves do KMS. Você pode usar os mesmos procedimentos do console e operações de API para visualizar e gerenciar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM. Isso inclui a habilitar e desabilitar chaves do KMS, criar e usar etiquetas e aliases e definir e alterar políticas de chaves e do IAM. Você pode usar chaves do KMS em um armazenamento de chaves do AWS CloudHSM para operações de criptografia e usá-las com serviços da AWS integrados que ofereçam suporte ao uso de chaves gerenciadas pelo cliente. No entanto, não é possível habilitar a alternância de chaves automática ou importar material de chave para uma chave do KMS em um armazenamento de chaves do AWS CloudHSM.
Também é possível usar o mesmo processo para agendar a exclusão de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM. Após o período de espera, o AWS KMS excluirá a chave do KMS. Em seguida, ele fará o possível para excluir o material de chave referente à chave do KMS do cluster do AWS CloudHSM associado. No entanto, pode ser necessário excluir manualmente o material de chaves órfãs do cluster e de seus backups.
