了解 AWS CloudHSM 密钥同步

AWS CloudHSM 使用密钥同步来克隆集群中所有硬件安全模块 (HSM) 的令牌密钥。在密钥生成、导入或解包操作期间，您可以将令牌密钥创建为永久密钥。为了在集群中分发这些密钥，Cloud HSM 提供了客户端和服务器端密钥同步功能。

密钥同步（服务器端和客户端）的目标是在创建新密钥后尽快在集群中分发新密钥。这很重要，因为您为使用新密钥而进行的后续调用可以路由到集群HSM中任何可用的密钥。如果您拨打的呼叫在没有密钥HSM的情况下路由到，则呼叫将失败。您可以通过指定应用程序在密钥创建操作后重试后续调用来缓解这些类型故障。同步所需的时间可能会有所不同，具体取决于集群的工作负载和其他无形因素。使用 CloudWatch 指标来确定您的应用程序在这种情况下应采用的时机。有关更多信息，请参阅CloudWatch 指标。

云环境中密钥同步面临的挑战在于密钥的耐久性。您在单个密钥上创建密钥，HSM并且通常会立即开始使用这些密钥。如果HSM在密钥被克隆到集群HSM中的另一个密钥之前，创建密钥的操作失败，则您将失去密钥以及对由密钥加密的任何内容的访问权限。为了降低这种风险，我们提供客户端同步功能。客户端同步为客户端进程，用于克隆您在密钥生成、导入或解包操作期间创建的密钥。在创建密钥时对其进行克隆可以使密钥更持久。当然，您不能使用单个密钥克隆集群中的密钥HSM。为了使密钥更耐用，我们还建议您将集群配置为至少使用两个HSMs。通过客户端同步和具有两个客户端的集群HSMs，您可以应对云环境中密钥持久性的挑战。