什么是 AWS CloudHSM? - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 AWS CloudHSM?

AWS CloudHSM将 AWS 云的优势与硬件安全模块 (HSM) 的安全性相结合。硬件安全模块 (HSM) 是一种计算设备,可处理加密操作并提供加密密钥的安全存储。您可通过 AWS CloudHSM 全面控制 Amazon Web Services Cloud 中的高可用性 HSM,以获得低延迟访问,以及可自动执行 HSM 管理(包括备份、预配、配置和维护)的安全信任根。

AWS CloudHSM 为客户提供多种好处:

HSM 已获得 FIPS 140-2 三级验证

AWS CloudHSM 使用符合标准、单租户、且经 FIPS 140-2 三级验证的通用型 HSM。它们为您的应用程序提供预定算法和指定密钥长度,较全托管 Amazon Web Services 更灵活。

AWS 无法洞察 E2E 加密

由于您的数据平面已加密 end-to-end (E2E),AWS 无法看见,因此您可以控制自己的用户管理(在 IAM 角色之外)。获得这种控制权,也需要一定的代价,即与使用托管 Amazon Web Service 相比,您需要承担更多责任。

完全控制您的密钥、算法以及应用程序开发

您可通过 AWS CloudHSM 完全控制所使用的算法和密钥。您可以生成、存储、导入、导出、管理和使用加密密钥(包括会话密匙、令牌密匙、对称密钥对和非对称密钥对)。此外,AWS CloudHSMSDK 可用于全面控制应用程序开发、应用程序语言、线程以及应用程序的实际存在位置。

将您的加密工作负载迁移至云端

对于使用公钥加密标准 #11 (PKCS #11)、Java 加密扩 (JCE)、“加密 API: 下一代 (CNG)”或密钥存储提供程序 (KSP) 迁移公钥基础结构的客户,只需对其应用少量更改,即可将其去迁移至AWS CloudHSM。

访问 FIPS 与非 FIPS 集群

要了解有关使用 AWS CloudHSM 可以完成的任务的更多信息,请参阅以下主题。当您准备好开始使用 AWS CloudHSM 后,请参阅 开始使用

注意

如果您需要用于创建和控制加密密钥的托管服务,但不希望或不需要操作您自己的 HSM,请考虑使用 AWS Key Management Service

如果您想要一种管理支付 HSM 和云端支付处理的密钥,建议您使用AWS 支付加密