使用自定义密钥存储 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义密钥存储

AWS KMS 支持 AWS KMS 自定义密钥存储 集群支持的AWS CloudHSM自定义密钥存储。在自定义密钥存储中创建 AWS KMS 客户主密钥 (CMK) 时, 会为您拥有和管理的 AWS KMS 集群CMK中的 AWS CloudHSM 生成并存储不可提取的密钥材料。在自定义密钥存储CMK中使用 时,将在集群的 中执行加密操作HSMs。此功能在您的 AWS KMS 账户中将 AWS CloudHSM 的便利性和广泛集成与 AWS 集群的更多控制相结合。

AWS KMS 提供了完整的控制台和 API 支持,以创建、使用和管理您的自定义密钥存储。在自定义密钥存储CMKs中创建 时,您可以像使用任何 一样使用它们CMK。例如,您可以使用 CMKs 生成数据密钥并加密数据。您还可以在自定义密钥存储CMKs中将 与支持客户托管 AWS 的服务结合使用CMKs。

我是否需要自定义密钥存储?

对于大多数用户,默认AWS KMS密钥存储(受 FIPS 140-2 验证的加密模块保护)满足其安全要求。无需添加额外的维护责任层或额外服务的依赖项。

但是,如果您的组织具有以下任何要求,则可能要考虑创建自定义密钥存储:

  • 密钥材料无法存储在共享环境中。

  • 密钥材料必须受辅助、独立的审计路径的约束。

  • HSMs 生成和存储密钥材料的 必须在 FIPS 140-2 3 级进行认证。

自定义密钥存储如何工作?

每个自定义密钥存储均与您的 AWS CloudHSM 账户中的一个 AWS 集群关联。在将自定义密钥存储连接到其集群时,AWS KMS 将创建网络基础设施来支持连接。然后,它使用集群中AWS CloudHSM专用加密用户的凭证登录到集群中的密钥客户端。

在 AWS KMS 中创建和管理自定义密钥存储,而在 AWS CloudHSM. 中创建和管理 HSM 集群。在 客户主密钥 自定义密钥存储中创建 CMKs (AWS KMS) 时,您可以在 中查看和管理 CMKs AWS KMS。但是,您还可以在 AWS CloudHSM 中查看和管理其密钥材料,就像您对集群中的其他密钥执行该操作一样。


      在自定义密钥存储CMKs中管理

您可以使用由 在自定义CMKs密钥存储中生成的密钥材料AWS KMS创建对称。然后,使用您在自定义密钥存储CMKs中查看和管理用于该密钥存储CMKs中的 的相同方法AWS KMS。您可以使用 IAM 和密钥策略控制访问、创建标签和别名、启用和禁用 CMKs以及计划密钥删除。您可以使用 CMKs 进行加密操作,并将其与与与 集成AWS的服务结合使用AWS KMS。

此外,您还可以完全控制AWS CloudHSM集群,包括创建、删除HSMs和管理备份。您可以使用 AWS CloudHSM 客户端和支持的软件库来查看、审核和管理 的密钥材料CMKs。当自定义密钥存储断开连接时, AWS KMS 无法访问它,并且用户无法使用自定义密钥存储CMKs中的 进行加密操作。增加的控制层使自定义密钥存储成为需要它的组织的强大解决方案。

从何处开始?

要创建和管理自定义密钥存储,请使用 AWS KMS 和 AWS CloudHSM. 的功能。

  1. 在 中开始。AWS CloudHSM. 创建活动 AWS CloudHSM 集群或选择现有集群。集群必须在不同的可用区HSMs中具有至少两个活动集群。然后,在该集群中为 创建专用加密用户 (CU) 账户AWS KMS。

  2. 在 中AWS KMS,创建与所选集群关联的自定义密钥存储AWS CloudHSM。 AWS KMS 提供一个完整的管理界面,让您可以创建、查看、编辑和删除自定义密钥存储。

  3. 当您准备好使用自定义密钥存储时,将其连接到其关联的 AWS CloudHSM 集群。 AWS KMS 会创建支持连接所需的网络基础设施。之后,它将使用专用加密用户账户凭证登录集群,以便它可以在集群中生成和管理密钥材料。

  4. 现在,您可以在自定义密钥存储CMKs中创建对称。只需在创建 时指定自定义密钥存储。 CMK

如果您在任何时候遇到困难,都可以在对自定义密钥存储进行故障排除主题中查找帮助。如果您的问题未得到解答,请使用本指南的每页底部的反馈链接或在 上发布问题。AWS Key Management Service 开发论坛.

配额

AWS 账户或区域中的自定义密钥存储数量不存在资源配额。但是,存在AWS CloudHSM一些配额,例如,对每个账户和区域中的AWS CloudHSM集群AWS数的配额,以及对在自定义密钥存储AWS KMS中使用 CMKs的配额。

区域

AWS KMS 在提供 AWS 和 AWS KMS 的所有 AWS CloudHSM 区域中支持自定义密钥存储。有关每个服务支持的 AWS 区域的列表,请参阅 Amazon Web Services 一般参考 中的 AWS Key Management Service 终端节点和配额AWS CloudHSM 终端节点和配额

不支持的 功能

自定义密钥存储不支持非对称 CMKs 非对称数据密钥对或CMKs导入的密钥材料,并且您无法在自定义密钥存储中的上启用自动密钥轮换CMK。