AWS 支付密碼學的安全性最佳做法

AWS Payment Cryptography 支援許多內建的安全性功能，或者您可以選擇實作這些安全性功能，以加強對加密金鑰的保護，並確保這些功能用於其預期目的，包括原IAM則、一組廣泛的原則條件金鑰來精簡您的金鑰原則和原則，以及IAM內建關於金鑰區塊的PCIPIN規則強制執行。

重要

提供的一般準則並不代表完整的安全性解決方案。由於並非所有的最佳實務都適用於所有情形，因此這些實務並非為規範性的。

• 關鍵使用和使用模式： AWS 付款密碼學遵循並強制執行關鍵使用和使用模式限制，如 ANSI X9 TR 31-2018 可互操作安全密鑰交換密鑰區塊規範中所述，並與安全要求 18-3 一致。PCI PIN這限制了將單一金鑰用於多種用途的能力，並以密碼編譯方式將金鑰中繼資料 (例如允許的作業) 繫結至金鑰材料本身。 AWS 付款密碼編譯會自動強制執行這些限制，例如金鑰加密金鑰 (TR31_K0_ KEY ENCRYPTION _KEY) 也無法用於資料解密。如需詳細資訊，請參閱瞭解 AWS 付款密碼編譯金鑰的關鍵屬性。

• 限制對稱金鑰材料的共用：僅與最多一個其他實體共用對稱金鑰材料 (例如 PIN 碼加密金鑰或金鑰加密金鑰)。如果需要將敏感材料傳輸到更多實體或合作夥伴，請建立其他金鑰。 AWS 支付密碼從不公開對稱密鑰材料或非對稱私鑰材料中明確。

• 使用別名或標籤將金鑰與特定使用案例或合作夥伴產生關聯：別名可用來輕鬆表示與金鑰 (例如 alias/ BIN _12345_) 相關聯的使用案例，以表示與 12345 CVK 相關聯的卡片驗證金鑰。BIN為了提供更多的靈活性，請考慮創建標籤，如賓 = 12345，使用案例 = 獲取，國家 = 美國，合作夥伴 = 富。別名和標籤也可用於限制訪問，例如在發出和獲取用例之間強制執行訪問控制。

• 實踐最低特權訪問：IAM可用於限制對系統而不是個人的生產訪問，例如禁止單個用戶創建密鑰或運行加密操作。IAM也可以用來限制存取可能不適用於您的使用案例的指令和金鑰，例如限制產生或驗證收單機構的 PIN 碼的能力。使用最低權限存取的另一種方式是限制特定服務帳戶的敏感作業 (例如金鑰匯入)。如需範例，請參閱 AWS 付款密碼編譯基於身份的政策範例。

另請參閱

• AWS 支付密碼學的身份和訪問管理

• 《IAM使用者指南》IAM中的安全性最佳作法