Amazon CloudHSM 钥匙库 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CloudHSM 钥匙库

密 Amazon CloudHSM 钥库是由集Amazon CloudHSM 群支持的自定义密钥存储库。在自定义密钥存储Amazon KMS key中创建时, Amazon KMS 会在您拥有和管理的 Amazon CloudHSM 集群中为 KMS 密钥生成和存储不可提取的密钥材料。在自定义密钥存储中使用 KMS 密钥时,会在集群中的 HSM 中执行加密操作。此功能结合了的便利性和广泛集 Amazon KMS 成,并增加了对 Amazon CloudHSM 集群的控制 Amazon Web Services 账户。

Amazon KMS 为创建、使用和管理自定义密钥存储库提供全面的控制台和 API 支持。在自定义密钥存储中使用 KMS 密钥的方式,与使用任何 KMS 密钥相同。例如,您可以使用 KMS 密钥生成数据密钥和加密数据。您还可以将自定义密钥存储库中的 KMS 密钥与支持客户托管密钥的 Amazon 服务一起使用。

我是否需要自定义密钥存储?

对于大多数用户来说,由 FIPS 140-2 验证的加密模块保护的默认 Amazon KMS 密钥库可以满足他们的安全要求。无需添加额外的维护责任层或额外服务的依赖项。

但是,如果您的组织具有以下任何要求,则可能要考虑创建自定义密钥存储:

  • 在单租户 HSM 或您可以直接控制的 HSM 中,您有明确要求保护的密钥。

  • 您需要能够立即从中移除密钥材料 Amazon KMS。

  • 您需要能够独立于 Amazon KMS 或审核密钥的所有使用情况 Amazon CloudTrail。

自定义密钥存储如何工作?

每个自定义密钥存储库都与您的集 Amazon CloudHSM 群相关联 Amazon Web Services 账户。当您将自定义密钥库连接到其集群时, Amazon KMS 会创建支持该连接的网络基础架构。然后,它使用集群中专用加密用户的凭据登录到集群中的密钥 Amazon CloudHSM 客户端。

您可以在中创建和管理您的自定义密钥存储, Amazon KMS 并在中创建和管理您的 HSM 集群。 Amazon CloudHSM在 Amazon KMS 自定义密钥存储 Amazon KMS keys 中创建时,可以在中查看和管理 KMS 密钥 Amazon KMS。但是,您也可以在中查看和管理他们的密钥材料 Amazon CloudHSM,就像在集群中查看和管理其他密钥一样。

在自定义密钥存储中管理 KMS 密钥

您可以使用自定义密钥存储库 Amazon KMS 中生成的密钥材料创建对称加密 KMS 密钥。然后,使用与在密钥库中用于密钥库中的 KMS 密钥相同的方法来查看和管理自定义密钥存储区中的 Amazon KMS KMS 密钥。您可以使用 IAM 和密钥策略控制访问,创建标签和别名,启用和禁用 KMS 密钥,以及计划密钥删除。您可以使用 KMS 密钥进行加密操作,并将其与集成的 Amazon 服务一起 Amazon KMS使用。

此外,您可以完全控制 Amazon CloudHSM 集群,包括创建和删除 HSM 以及管理备份。您可以使用 Amazon CloudHSM 客户端和支持的软件库来查看、审计和管理 KMS 密钥的密钥材料。当自定义密钥存储断开连接时, Amazon KMS 无法对其进行访问,用户也无法使用自定义密钥存储区中的 KMS 密钥进行加密操作。增加的控制层使自定义密钥存储成为需要它的组织的强大解决方案。

从何处开始?

要创建和管理 Amazon CloudHSM 密钥库,您可以使用 Amazon KMS 和的功能 Amazon CloudHSM。

  1. 从... 开始 Amazon CloudHSM。创建活动 Amazon CloudHSM 集群或选择现有集群。集群必须在不同的可用区中具有至少两个活动 HSM。然后,在该集群中为 Amazon KMS创建一个专用加密用户 (CU) 账户

  2. 在中 Amazon KMS,创建与所选 Amazon CloudHSM 集群关联的自定义密钥库。 Amazon KMS 提供了一个完整的管理界面,允许您创建、查看、编辑和删除自定义密钥库。

  3. 准备好使用自定义密钥库时,请将其连接到其关联的 Amazon CloudHSM 集群。 Amazon KMS 创建支持连接所需的网络基础架构。之后,它将使用专用加密用户账户凭证登录集群,以便它可以在集群中生成和管理密钥材料。

  4. 现在,您可以在自定义密钥存储中创建对称加密 KMS 密钥。在创建 KMS 密钥时指定自定义密钥存储。

如果您在任何时候遇到困难,都可以在对自定义密钥存储进行故障排除主题中查找帮助。如果您的问题未得到解答,请使用本指南的每页底部的反馈链接或在 Amazon Key Management Service 开发论坛上发布问题。

配额

Amazon KMS 允许每个 Amazon Web Services 账户 和区域中最多有 10 个自定义密钥存储库,包括Amazon CloudHSM 密钥存储库外部密钥存储库,无论它们的连接状态如何。此外,在密钥存储中使用 KMS 密钥还有 Amazon KMS 请求配额。 Amazon CloudHSM

定价

有关 Amazon KMS 自定义密钥存储库和客户托管密钥在自定义密钥存储库中的成本的信息,请参阅Amazon Key Management Service 定价。有关 Amazon CloudHSM 集群和 HSM 成本的信息,请参阅Amazon CloudHSM 定价

区域

Amazon KMS 除了亚太地区(墨尔本)、中国(北京)、中国(宁夏)和欧洲(西班牙)之外,在所有支持 Amazon Web Services 区域 的地方 Amazon KMS 都支持 Amazon CloudHSM 密钥存储。

不支持的功能

Amazon KMS 不支持自定义密钥存储库中的以下功能。

主题