自定义密钥存储 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

自定义密钥存储

Amazon KMS 支持 Amazon CloudHSM 集群支持的自定义密钥存储。当您在自定义密钥存储中创建 Amazon KMS key 时,Amazon KMS 将在您拥有并管理的 Amazon CloudHSM 集群中为 KMS 密钥生成并存储不可提取的密钥材料。在自定义密钥存储中使用 KMS 密钥时,会在集群中的 HSM 中执行加密操作。此功能在您的 Amazon Web Services 账户 中将 Amazon KMS 的便利性和广泛集成与 Amazon CloudHSM 集群的更多控制相结合。

Amazon KMS 提供了完整的控制台和 API 支持,以创建、使用和管理您的自定义密钥存储。在自定义密钥存储中使用 KMS 密钥的方式,与使用任何 KMS 密钥相同。例如,您可以使用 KMS 密钥生成数据密钥和加密数据。您还可以将自定义密钥存储中的 KMS 密钥与支持客户托管密钥的 Amazon 服务一起使用。

我是否需要自定义密钥存储?

对于大多数用户,默认 Amazon KMS 密钥存储(受 FIPS 140-2 验证的加密模块保护)满足其安全要求。无需添加额外的维护责任层或额外服务的依赖项。

但是,如果您的组织具有以下任何要求,则可能要考虑创建自定义密钥存储:

  • 密钥材料无法存储在共享环境中。

  • 密钥材料必须受辅助、独立的审计路径的约束。

  • 生成和存储密钥材料的 HSM 必须在 FIPS 140-2 级别 3 进行认证。

自定义密钥存储如何工作?

每个自定义密钥存储均与您的 Amazon Web Services 账户 中的一个 Amazon CloudHSM 集群关联。在将自定义密钥存储连接到其集群时,Amazon KMS 将创建网络基础设施来支持连接。然后使用集群中的专用加密用户的凭证登录到集群中的密钥 Amazon CloudHSM 客户端。

在 Amazon KMS 中创建和管理自定义密钥存储,而在 Amazon CloudHSM 中创建和管理 HSM 集群。当您在 Amazon KMS 自定义密钥存储中创建 Amazon KMS keys 时,您可以在 Amazon KMS 中查看和管理 KMS 密钥。但是,您还可以在 Amazon CloudHSM 中查看和管理其密钥材料,就像您对集群中的其他密钥执行该操作一样。


      在自定义密钥存储中管理 KMS 密钥

您可以使用您的自定义密钥存储中的 Amazon KMS 生成的密钥材料创建对称加密 KMS 密钥。然后,使用用于 Amazon KMS 密钥存储中的 KMS 密钥的相同方法来查看和管理自定义密钥存储中的 KMS 密钥。您可以使用 IAM 和密钥策略控制访问,创建标签和别名,启用和禁用 KMS 密钥,以及计划密钥删除。您可以使用 KMS 密钥执行加密操作并将其与 Amazon 服务(已与 Amazon KMS 集成)一起使用。

此外,您可以完全控制 Amazon CloudHSM 集群,包括创建和删除 HSM 以及管理备份。您可以使用 Amazon CloudHSM 客户端和支持的软件库来查看、审计和管理 KMS 密钥的密钥材料。在自定义密钥存储断开后,Amazon KMS 无法访问它,并且用户无法使用自定义密钥存储中的 KMS 密钥执行加密操作。增加的控制层使自定义密钥存储成为需要它的组织的强大解决方案。

从何处开始?

要创建和管理自定义密钥存储,请使用 Amazon KMS 和 Amazon CloudHSM 的功能。

  1. 在 Amazon CloudHSM 中开始。创建活动 Amazon CloudHSM 集群或选择现有集群。集群必须在不同的可用区中具有至少两个活动 HSM。然后,在该集群中为 Amazon KMS 创建一个专用加密用户 (CU) 账户

  2. 在 Amazon KMS 中,创建一个自定义密钥存储(与选定的 Amazon CloudHSM 集群关联)。Amazon KMS 提供一个完整的管理界面,使您能够创建、查看、编辑和删除您的自定义密钥存储。

  3. 在准备好使用您的自定义密钥存储后,将它连接到其关联的 Amazon CloudHSM 集群。Amazon KMS 创建其所需的网络基础设施来支持连接。之后,它将使用专用加密用户账户凭证登录集群,以便它可以在集群中生成和管理密钥材料。

  4. 现在,您可以在自定义密钥存储中创建对称加密 KMS 密钥。在创建 KMS 密钥时指定自定义密钥存储。

如果您在任何时候遇到困难,都可以在对自定义密钥存储进行故障排除主题中查找帮助。如果您的问题未得到解答,请使用本指南的每页底部的反馈链接或在 Amazon Key Management Service 开发论坛上发布问题。

配额

Amazon Web Services 账户 或区域中的自定义密钥存储数量不存在资源配额。不过,存在 Amazon CloudHSM 配额,例如每个 Amazon Web Services 账户 和区域中的 Amazon CloudHSM 集群数量的配额,以及对自定义密钥存储中的 KMS 密钥使用的 Amazon KMS 配额。

区域

Amazon KMS 在提供 Amazon KMS 和 Amazon CloudHSM 的所有 Amazon Web Services 区域 中支持自定义密钥存储。有关每项服务支持的 Amazon Web Services 区域 的列表,请参阅 Amazon Web Services 一般参考中的 Amazon Key Management Service 终端节点和配额Amazon CloudHSM 终端节点和配额中。

不支持的功能

Amazon KMS 在自定义密钥存储中不支持以下功能。