本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
持久性保护
通过使用离线 HSM、导出域令牌的多个非易失性存储以及加密 KMS 密钥的冗余存储,为服务生成的密钥提供额外的服务持久性。离线 HSM 是现有域的成员。除了不在线和不参与常规域操作之外,离线 HSM 显示的域状态与现有 HSM 成员完全相同。
持久性设计旨在保护区域中的所有 KMS 密钥,以防 AWS 遇到在线 HSM 或我们的主存储系统内存储的成组 KMS 密钥大规模丢失的情况。采用导入密钥材料的 AWS KMS keys 不包含在其他 KMS 密钥提供的持久性保护范围内。如果 AWS KMS 发生区域范围的故障,则可能需要将导入的密钥材料重新导入到 KMS 密钥中。
离线 HSM 及其访问凭证存储在多个独立地理位置受监控安全屋内的保险箱中。每个保险箱至少需要一名 AWS 安全干事和一名 AWS KMS 运营商(来自 AWS 中两个独立的团队)以获得这些材料。这些材料的使用受内部策略(要求存在一定数量 AWS KMS 运营商)的约束。