AWS 支付密码学安全最佳实践

AWS Payment Cryptography 支持许多安全功能，这些功能要么是内置的，要么您可以选择实施这些功能，以增强对加密密钥的保护并确保其用于预期目的，包括IAM政策、用于完善密钥策略和IAM政策的大量策略条件密钥以及有关密钥块的内置PCIPIN规则强制执行。

重要

提供的这些一般准则并不代表完整的安全解决方案。由于并非所有最佳实践都适用于所有情况，因此这些做法并不是规范性的。

• 密钥使用和使用模式： AWS 支付密码学遵循并强制执行密钥使用和使用模式限制，如 ANSI X9 TR 31-2018互操作安全密钥交换密钥区块规范中所述，并符合安全要求18-3。PCI PIN这限制了将单个密钥用于多种目的的能力，并以加密方式将密钥元数据（例如允许的操作）绑定到密钥材料本身。 AWS Payment Cryptography 会自动强制执行这些限制，例如密钥加密密钥 (TR31_K0_ KEY ENCRYPTION _KEY) 也不能用于数据解密。有关更多信息，请参阅了解 AWS 支付密码学密钥的关键属性。

• 限制对称密钥材料的共享：最多只能与其他一个实体共享对称密钥材料（例如 Pin 加密密钥或密钥加密密钥）。如果需要将敏感材料传输给更多实体或合作伙伴，请创建其他密钥。 AWS 支付密码学从不公开对称密钥材料或非对称私钥材料。

• 使用别名或标签将密钥与某些用例或合作伙伴相关联：别名可用于轻松表示与密钥关联的用例，例如 alias/ BIN _12345_，CVK以表示与 12345 关联的卡片验证密钥。BIN为了提供更大的灵活性，可以考虑创建诸如 bin=12345、use_case=acquiring、country=us,partner=foo 之类的标签。别名和标签还可用于限制访问权限，例如在发布和获取用例之间实施访问控制。

• 采用最低特权访问权限：IAM可用于限制对系统而不是个人的生产访问权限，例如禁止个人用户创建密钥或运行加密操作。IAM也可以用来限制对可能不适用于您的用例的命令和密钥的访问，例如限制为收单机构生成或验证引脚的能力。使用最低权限访问的另一种方法是将敏感操作（例如密钥导入）限制为特定的服务账户。有关示例，请参阅 AWS 支付密码学基于身份的策略示例。

另请参阅

• AWS 支付密码学的身份和访问管理

• 《IAM用户指南》IAM中的安全最佳实践