本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的基础设施安全 AWS CloudHSM
作为一项托管服务, AWS CloudHSM 受到《Amazon Web Services:安全流程概述》白皮书中描述的 AWS 全球网络安全
您可以使用 AWS 已发布的 API 调用 AWS CloudHSM 通过网络进行访问。此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 AWS Security Token Service(AWS STS)生成临时安全凭证来对请求进行签名。
网络隔离
虚拟私有云(VPC)是 Amazon Web Services Cloud 内您自己的逻辑隔离区域中的虚拟网络。可以在 VPC 的私有子网中创建集群。创建 VPC 时,您可创建私有子网。有关更多信息,请参阅 创建虚拟私有云(VPC)。
创建 HSM 时,请在子网中 AWS CloudHSM 放置一个弹性网络接口 (ENI),这样您就可以与 HSM 进行交互。有关更多信息,请参阅 集群架构。
AWS CloudHSM 创建安全组,允许集群中 HSM 之间的入站和出站通信。可以使用此安全组来允许 EC2 实例与集群中的 HSM 进行通信。有关更多信息,请参阅 配置客户端 Amazon EC2 实例安全组。
用户授权
使用 AWS CloudHSM,在 HSM 上执行的操作需要经过身份验证的 HSM 用户的证书。有关更多信息,请参阅 了解 HSM 用户。
