AWS CloudHSM 用戶端 end-to-end 加密

會將用戶端執行個體與您叢集中 HSM 之間的通訊進行端對端加密。只有您的用戶端和 HSM 可以解密通訊。

下列程序說明用戶端如何與 HSM 建立 end-to-end 加密通訊。

1. 您的用戶端會與託管 HSM 硬體的伺服器建立 Transport Layer Security (TLS) 連線。您叢集的安全群組僅會允許來自安全群組中用戶端執行個體對伺服器的傳入流量。用戶端也會檢查伺服器的憑證，以確保它是受信任的伺服器。

   

2. 下一步，用戶端會與 HSM 硬體建立加密連接。HSM 擁有您使用自己的憑證授權單位 (CA) 簽署的叢集憑證，而用戶端會有 CA 的根憑證。在建立用戶端 HSM 的加密連線之前，用戶端會對其根憑證驗證 HSM 的叢集憑證。只有在用戶端成功驗證 HSM 受信任時，才會建立連接。