AWS CloudHSM lojas principais

Um armazenamento de AWS CloudHSM chaves é um armazenamento de chaves personalizado apoiado por um AWS CloudHSM cluster. Quando você cria um AWS KMS keyem um armazenamento de chaves personalizado, AWS KMS gera e armazena material de chave não extraível para a chave KMS em um AWS CloudHSM cluster que você possui e gerencia. Ao usar uma chave do KMS em um armazenamento de chaves personalizado, as operações de criptografia são executadas nos HSMs no cluster. Esse recurso combina a conveniência e a ampla integração AWS KMS com o controle adicional de um AWS CloudHSM cluster em seu Conta da AWS.

AWS KMS fornece suporte completo de console e API para criar, usar e gerenciar seus armazenamentos de chaves personalizadas. Use as chaves do KMS no seu armazenamento de chaves personalizado da mesma maneira que você usa qualquer chave do KMS. Por exemplo, você pode usar as chaves do KMS para gerar chaves de dados e criptografar dados. Você também pode usar as chaves KMS em seu armazenamento de chaves personalizadas com AWS serviços que oferecem suporte a chaves gerenciadas pelo cliente.

Eu preciso de um armazenamento de chaves personalizado?

Para a maioria dos usuários, o armazenamento de AWS KMS chaves padrão, protegido por módulos criptográficos validados pelo FIPS 140-2, atende aos requisitos de segurança. Não é necessário adicionar uma camada extra de responsabilidade de manutenção nem uma dependência em um serviço adicional.

No entanto, você pode considerar a criação de um armazenamento de chaves personalizado se a sua organização tiver um dos seguintes requisitos:

• Algumas chaves precisam ser explicitamente protegidas em um único HSM locatário ou em um HSM sobre o qual você tem controle direto.

• Você precisa da capacidade de remover imediatamente o material chave do AWS KMS.

• Você precisa ser capaz de auditar todo o uso de suas chaves, independentemente de AWS KMS ou AWS CloudTrail.

Como funcionam os armazenamentos de chaves personalizados?

Cada armazenamento de chaves personalizadas está associado a um AWS CloudHSM cluster no seu Conta da AWS. Quando você conecta o armazenamento de chaves personalizadas ao cluster, AWS KMS cria a infraestrutura de rede para suportar a conexão. Em seguida, ele faz login no AWS CloudHSM cliente-chave no cluster usando as credenciais de um usuário criptográfico dedicado no cluster.

Você cria e gerencia seus armazenamentos de chaves personalizadas AWS KMS e cria e gerencia seus clusters de HSM em AWS CloudHSM. Ao criar AWS KMS keys em um armazenamento de chaves AWS KMS personalizado, você visualiza e gerencia as chaves KMS em AWS KMS. Mas você também pode visualizar e gerenciar o material de chaves deles AWS CloudHSM, assim como faria com outras chaves no cluster.

Você pode criar chaves KMS de criptografia simétrica com o material de chaves gerado AWS KMS em seu armazenamento de chaves personalizadas. Em seguida, use as mesmas técnicas para visualizar e gerenciar as chaves KMS em seu armazenamento de chaves personalizadas que você usa para chaves KMS no AWS KMS armazenamento de chaves. É possível controlar o acesso com políticas de chaves e do IAM, criar etiquetas e aliases, habilitar e desabilitar as chaves do KMS e programar a exclusão de chaves. Você pode usar as chaves KMS para operações criptográficas e usá-las com AWS serviços que se integram a. AWS KMS

Além disso, você tem controle total sobre o AWS CloudHSM cluster, incluindo a criação e exclusão de HSMs e o gerenciamento de backups. Você pode usar o AWS CloudHSM cliente e as bibliotecas de software compatíveis para visualizar, auditar e gerenciar o material de chaves de suas chaves KMS. Embora o armazenamento de chaves personalizadas esteja desconectado, AWS KMS não é possível acessá-lo e os usuários não podem usar as chaves KMS no armazenamento de chaves personalizadas para operações criptográficas. Essa camada adicional de controle torna os armazenamentos de chaves personalizados uma excelente solução para as organizações que necessitam dela.

Por onde começar?

Para criar e gerenciar um armazenamento de AWS CloudHSM chaves, você usa recursos de AWS KMS AWS CloudHSM e.

1. Comece em AWS CloudHSM. Crie um cluster do AWS CloudHSM ativo ou selecione um cluster existente. O cluster deve conter pelo menos dois HSMs ativos em diferentes zonas de disponibilidade. Crie uma conta de usuário de criptografia (CU) dedicado nesse cluster para o AWS KMS.

2. Em AWS KMS, crie um armazenamento de chaves personalizado associado ao AWS CloudHSM cluster selecionado. AWS KMS fornece uma interface de gerenciamento completa que permite criar, visualizar, editar e excluir seus repositórios de chaves personalizados.

3. Quando você estiver pronto para usar seu armazenamento de chaves personalizadas, conecte-o ao AWS CloudHSM cluster associado. AWS KMS cria a infraestrutura de rede necessária para suportar a conexão. Ele faz login no cluster usando as credenciais da conta de usuário de criptografia dedicado para que possa gerar e gerenciar o material de chaves no cluster.

4. Agora, você pode criar chaves do KMS de criptografia simétrica em seu armazenamento personalizado de chaves. Basta especificar esse armazenamento de chaves personalizado ao criar a chave do KMS.

Se você ficar preso em alguma etapa, é possível encontrar ajuda no tópico Solucionar problemas de um armazenamento de chaves personalizado. Se a sua pergunta não for respondida, use o link de comentários na parte inferior de cada página deste guia ou publique uma pergunta no fórum de discussão do AWS Key Management Service.

Cotas

AWS KMS permite até 10 armazenamentos de chaves personalizadas em cada Conta da AWS região, incluindo armazenamentos de AWS CloudHSM chaves e armazenamentos de chaves externos, independentemente do estado da conexão. Além disso, há cotas de AWS KMS solicitação sobre o uso de chaves KMS em um AWS CloudHSM armazenamento de chaves.

Definição de preço

Para obter informações sobre o custo dos armazenamentos de chaves AWS KMS personalizadas e das chaves gerenciadas pelo cliente em um repositório de chaves personalizadas, consulte AWS Key Management Service preços. Para obter informações sobre o custo de AWS CloudHSM clusters e HSMs, consulte AWS CloudHSM Preços.

Regiões

AWS KMS oferece suporte às AWS CloudHSM principais lojas em todos os Regiões da AWS lugares onde AWS KMS há suporte, exceto na Ásia-Pacífico (Melbourne), China (Pequim), China (Ningxia) e Europa (Espanha).

Recursos sem suporte

AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizadas.

• Chaves do KMS assimétricas

• Pares de chaves de dados assimétricas

• Chaves do KMS de HMAC

• Chaves do KMS com material de chave importado

• Alternância automática de chaves

• Chaves de várias regiões

Tópicos

• Conceitos de armazenamento de chaves do AWS CloudHSM
• Controlar o acesso ao armazenamento de chaves do AWS CloudHSM
• Gerenciar um armazenamento de chaves personalizado do CloudHSM
• Gerenciar chaves do KMS em um armazenamento de chaves do CloudHSM
• Solucionar problemas de um armazenamento de chaves personalizado