本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS CloudHSM 可用于实现各种目标任务。本主题的内容概述了您可通过 AWS CloudHSM 完成的任务。
- 实现监管合规
对于需要符合企业安全标准的企业,可以使用 AWS CloudHSM 管理保护高度机密数据的私钥。AWS CloudHSM 提供的 HSM 获得 FIPS 140-2 级别 3 认证且符合 PCI DSS 标准。此外,AWS CloudHSM 符合 PCI PIN 和 PCI-3DS 标准。有关更多信息,请参阅 合规。
- 加密和解密数据
使用 AWS CloudHSM 管理保护高度机密的数据、传输中的加密和静态加密的私钥。此外,AWS CloudHSM 还可根据标准,与多个加密软件开发工具集成。
- 使用私钥和公钥对文档进行签名与验证
加密过程中,使用私钥对文档签名,使收件人可通过公钥验证您(而不是其他人)是否确实发送了文档。AWS CloudHSM 用于创建专用于此用途的、对称公钥和私钥对。
- 通过 HMAC 和 CMAC 对消息进行身份验证
加密过程中,密码消息身份验证代码 (CMAC) 和 HMAC 散列消息认证码可用于身份验证,并确保通过不安全网络发送的消息的完整性。AWS CloudHSM 可用于安全地创建和管理支持 HMAC 和 CMAC 的对称密钥。
- 利用 AWS CloudHSM 和 AWS Key Management Service 的优势
客户可将 AWS CloudHSM 和 AWS KMS
结合,将密钥材料存储在单租户环境中,同时获得 AWS KMS 带来的密钥管理、缩放和云集成优势。有关如何执行此操作的详细信息,AWS Key Management Service 开发者指南中的 AWS CloudHSM 密钥存储。
- 为网络服务器分流 SSL/TLS 处理
为通过互联网安全地发送数据,网络服务器使用公私密钥对和 SSL/TLS 公钥证书建立 HTTPS 会话。此进程涉及大量的网络服务器计算,但是您可以通过将部分计算负担转移至您的 AWS CloudHSM 集群以减轻计算负担,同时提供额外的安全性。有关设置借助 AWS CloudHSM 进行 SSL/TLS 分载的信息,请参阅 SSL/TLS 分载。
- 启用透明数据加密 (TDE)
透明数据加密(TDE)用于数据库文件加密。使用 TDE,数据库软件可以先对数据进行加密,然后再将其存储在磁盘上。通过将 TDE 主加密密钥存储在您 AWS CloudHSM 的 HSM 中,可以提高安全性。有关设置 Oracle TDE 与 AWS CloudHSM 配合使用的信息,请参阅 Oracle Database 加密。
- 管理证书颁发机构 (CA) 的私有密钥
证书颁发机构 (CA) 是受信任的实体,它颁发将公钥绑定至身份(个人或组织)的数字证书。要操作 CA,您必须通过保护签署由 CA 颁发的证书的私有密钥来维持信任。您可以将此类私钥存储至 AWS CloudHSM 集群,然后使用 HSM 执行加密签名操作。
- 生成随机数
生成随机数以创建加密密钥,这是在线安全的核心。AWS CloudHSM 可用于在您控制的 HSM 中安全地生成随机数字,并且只有您自己可见。
