什么是 AWS CloudHSM？

AWS CloudHSM 将 AWS 云的优势与硬件安全模块 (HSM) 的安全性相结合。硬件安全模块 (HSM) 是一种计算设备，可处理加密操作并提供加密密钥的安全存储。借助 AWS CloudHSM，您可以完全控制 AWS 云中的高可用性 HSM，这些密码具有低延迟访问权限，并拥有可自动执行 HSM 管理（包括备份、配置、配置和维护）的安全信任根。

AWS CloudHSM 为客户提供多种好处：

访问 FIPS 与非 FIPS 集群: AWS CloudHSM 提供两种模式的集群：FIPS 和非 FIPS。在 FIPS 模式下，只能使用联邦信息处理标准 (FIPS) 批准的密钥和算法。非 FIPS 模式提供支持的所有密钥和算法，无论 FIPS 是否获得批准。 AWS CloudHSM有关更多信息，请参阅 AWS CloudHSM 集群模式和 HSM 类型。
HSM 是通用型、单租户，已通过 FIPS 140-2 级三级验证，适用于处于 FIPS 模式的集群: AWS CloudHSM 使用通用的 HSM，与为应用程序预先确定算法和密钥长度的完全托管的 AWS 服务相比，灵活性更高。我们提供符合标准的、单租户的 HSM，并且已通过 FIPS 140-2 三级验证，适用于处于 FIPS 模式的集群。对于使用案例超出 FIPS 140-2 三级验证限制的客户， AWS CloudHSM 还提供非 FIPS 模式的集群。请参阅AWS CloudHSM 集群了解更多信息。
AWS 无法洞察 E2E 加密: 由于您的数据平面已经 end-to-end (E2E) 加密且对 AWS 不可见，因此您可以控制自己的用户管理（在 IAM 角色之外）。获得这种控制权，也需要一定的代价，即与使用托管 Amazon Web Service 相比，您需要承担更多责任。
完全控制您的密钥、算法以及应用程序开发: AWS CloudHSM 让您可以完全控制所使用的算法和密钥。您可以生成、存储、导入、导出、管理和使用加密密钥（包括会话密匙、令牌密匙、对称密钥对和非对称密钥对）。此外， AWS CloudHSM SDK 让您可以完全控制应用程序开发、应用程序语言、线程以及应用程序的实际存在位置。
将您的加密工作负载迁移至云端: 迁移使用公钥加密标准 #11 (PKCS #11)、Java 加密扩展 (JCE)、Cryptography API：下一代 (CNG) 或密钥存储提供商 (KSP) 的公钥基础设施的客户只需对应用程序进行较少的更改即可迁移到 AWS CloudHSM 。

要详细了解你可以做什么 AWS CloudHSM，请参阅以下主题。准备好开始使用时 AWS CloudHSM，请参阅开始使用。

注意

如果您需要用于创建和控制加密密钥的托管服务，但不希望或不需要操作您自己的 HSM，请考虑使用 AWS Key Management Service。

如果您想要一种管理支付 HSM 和云端支付处理的密钥，建议您使用AWS 支付加密。

内容

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用案例