Domande frequenti su AWS CloudHSM

D: Cos'è AWS CloudHSM?

Il servizio AWS CloudHSM consente di soddisfare i requisiti di conformità aziendali, contrattuali e normativi riguardanti la sicurezza dei dati utilizzando istanze HSM (Hardware Security Module) all'interno del cloud AWS. I partner di AWS e Marketplace AWS offrono un'ampia gamma di soluzioni per la protezione dei dati sensibili all'interno della piattaforma AWS. Per applicazioni e dati soggetti a obblighi contrattuali o normativi relativi alla gestione delle chiavi crittografiche, può essere necessaria una protezione aggiuntiva. Il servizio AWS CloudHSM affianca le soluzioni esistenti per la protezione dei dati, consentendo di proteggere le chiavi di crittografia all'interno dei moduli di protezione hardware progettati e convalidati dagli standard governativi per la gestione sicura delle chiavi. AWS CloudHSM ti permette di generare, archiviare e gestire in modo sicuro le chiavi crittografiche utilizzate per la crittografia dei dati, poiché l'accesso è riservato solo a te.

D: Cos’è un modulo di sicurezza hardware (HSM)?

Un modulo di sicurezza hardware o HSM (Hardware Security Module) offre storage di chiavi sicuro e operazioni di crittografia all'interno di un dispositivo hardware resistente alle manomissioni. I moduli HSM sono progettati per fornire archiviazione sicura dei materiali di cifratura, consentendone l'utilizzo senza che entrino in contatto con l'ambiente esterno ai limiti crittografici dell'hardware.

D: Cosa è possibile fare con AWS CloudHSM?

È possibile usare AWS CloudHSM a supporto di una varietà di applicazioni e casi d'uso, ad esempio crittografia di database, gestione dei diritti digitali (DRM), infrastrutture a chiave pubblica (PKI, Public Key Infrastructure), autenticazione e autorizzazione, firma di documenti ed elaborazione di transazioni. Per ulteriori informazioni, consulta i casi d'uso di AWS CloudHSM.   

D: Come funziona il servizio CloudHSM?

Per usare il servizio AWS CloudHSM è prima necessario creare un cluster CloudHSM. I cluster possono contenere più HSM, sparsi tra più zone di disponibilità in una zona di disponibilità (AZ). Gli HSM in un cluster vengono sincronizzati e il loro carico viene bilanciato automaticamente. Ricevi un accesso dedicato e a tenant singolo per ogni HSM del tuo cluster e ogni HSM appare come risorsa di rete nel tuo cloud privato virtuale (VPC) di Amazon. Per aggiungere o rimuovere moduli di sicurezza dal cluster, è sufficiente una singola chiamata dell'API AWS CloudHSM (o dell'interfaccia a riga di comando di AWS). Dopo aver creato e avviato un cluster CloudHSM, è possibile configurare un client sull'istanza EC2 che permetta alle applicazioni di utilizzare il cluster su una connessione di rete sicura e autenticata. AWS CloudHSM monitora automaticamente lo stato dei tuoi moduli HSM, ma il personale AWS non ha accesso alle tue chiavi e ai tuoi dati. Per inviare le richieste crittografia ai moduli di sicurezza, le applicazioni utilizzeranno API di crittografia standard e il software client HSM installato sull'istanza dell'applicazione. Il software client stabilisce un canale sicuro a tutti i moduli di sicurezza hardware nel cluster e invia le richieste utilizzando questo canale, lo stesso utilizzando da ciascun modulo per inoltrare i risultati delle operazioni eseguite. Il client invia successivamente il risultato all’applicazione tramite l’API crittografica.

D: Al momento non dispongo di un VPC. Posso utilizzare ugualmente AWS CloudHSM?

No. Per proteggere e isolare il tuo cluster dagli altri clienti di Amazon, occorre effettuare il provisioning di AWS CloudHSM all’interno di un Amazon VPC. È facile creare un VPC. Per ulteriori informazioni, consulta la Guida alle operazioni di base VPC.

D: È necessario che l'applicazione si trovi nello stesso cloud privato virtuale del cluster CloudHSM?

No, ma il server o l'istanza su cui vengono eseguiti l'applicazione e il client HSM devono offrire accessibilità di rete (IP) a tutti i moduli nel cluster. Puoi stabilire la connettività di rete dalla tua applicazione all’HSM in molti modi, fra cui l’esecuzione dell’applicazione nello stesso VPC, con un VPC peer, con una connessione VPN o con Direct Connect. Per maggiori dettagli, consulta la Guida ai peer VPC e la Guida per l’utente VPC.

D: AWS CloudHSM funziona con moduli di sicurezza hardware on-premises?

Sì. Mentre AWS CloudHSM non usufruisce dell’interoperabilità direttamente con gli HSM on-premises, tra AWS CloudHSM e gli HSM più commerciali è possibile trasferire chiavi esportabili utilizzando uno dei vari metodi di wrapping della chiave RSA supportati.  

D: In che modo un'applicazione può utilizzare AWS CloudHSM?

AWS CloudHSM è stato testato ed è integrato con diverse soluzioni software di terze parti, ad esempio Oracle Database 11g e 12c, e server Web quali Apache e Nginx per ripartizione del carico SSL e configurando un server Windows come CA. Per ulteriori informazioni, consulta il documento AWS CloudHSM User Guide.

Se stai sviluppando un'applicazione personalizzata, puoi configurarla in modo che utilizzi le API standard supportate da AWS CloudHSM, ad esempio PKCS#11, Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions) o Microsoft CAPI/CNG. Consulta la AWS CloudHSM User Guide per visualizzare i codici di esempio e ottenere istruzioni su come iniziare.

D: È possibile impiegare AWS CloudHSM per l'archiviazione delle chiavi o per la crittografia dei dati utilizzati da altri servizi AWS?

Sì. È possibile eseguire diverse attività di crittografia nelle applicazioni integrate con AWS CloudHSM. In questo caso, i servizi AWS come Amazon S3 e Amazon Elastic Block Store (EBS) vedranno solo i tuoi dati solo se crittografati.

D: AWS CloudHSM può essere utilizzato anche da altri servizi AWS per memorizzare e gestire chiavi?

I servizi AWS si integrano con il servizio AWS Key Management Service, che a sua volta è integrato con AWS CloudHSM tramite la funzionalità di archiviazione chiavi personalizzata KMS. Se si desidera utilizzare la crittografia sul lato server offerta da molti servizi AWS (come EBS, S3 o Amazon RDS), è possibile farlo configurando un archivio chiavi personalizzato in AWS KMS.

D: È possibile utilizzare AWS CloudHSM per eseguire la traduzione di blocchi di numeri di identificazione personale (PIN) o altre operazioni crittografiche utilizzate nelle transazioni di pagamento con addebito?

Attualmente, AWS CloudHSM fornisce HSM per utilizzo generico. AWS Payment Cryptography fornisce operazioni di crittografia in applicazioni di pagamento ospitate nel cloud. In futuro aggiungeremo probabilmente funzionalità di pagamento. Se questo aspetto ti interessa, contattaci.

D: Come si inizia a usare AWS CloudHSM?

È possibile effettuare il provisioning di un cluster AWS CloudHSM nella console di CloudHSM oppure con poche chiamate API tramite API o kit SDK AWS. Per ulteriori informazioni su come iniziare, consulta la AWS CloudHSM User Guide. Per informazioni sulle API AWS CloudHSM, consulta la pagina della documentazione di AWS CloudHSM.

D: Come si termina un servizio AWS CloudHSM?

Per eliminare i moduli di sicurezza hardware e terminare l'utilizzo del servizio, è possibile impiegare la console, l'API o il kit SDK di AWS CloudHSM. Per ulteriori istruzioni, consulta la AWS CloudHSM User Guide.

D: Come viene addebitato e fatturato l'utilizzo del servizio AWS CloudHSM?

Sarà applicata una tariffa oraria per le ore (intere o parziali) di provisioning di ciascun modulo di sicurezza hardware in un cluster AWS CloudHSM. Non sarà addebitato alcun costo per i cluster senza moduli di sicurezza hardware né per l'archiviazione automatica di backup crittografati. Per ulteriori informazioni, visita la pagina dei prezzi di AWS CloudHSM. Nota che i trasferimenti di dati di rete da e verso gli HSM vengono addebitati separatamente. Per ulteriori informazioni, consulta i prezzi per trasferimento dei dati di EC2.

D: È previsto un piano gratuito per il servizio CloudHSM?

No, non è previsto alcun piano gratuito per AWS CloudHSM.

Q: I costi variano a seconda del numero di utenti o chiavi che vengono creati sull’HSM?

No, la tariffa oraria, che varia a seconda della regione, non dipende dalla frequenza con cui si utilizza l’HSM.

D: Offrite dei prezzi per le istanze riservate per AWS CloudHSM?

No, non offriamo prezzi per le istanze riservate per AWS CloudHSM.

D: Sono previsti requisiti preliminari per l'utilizzo di AWS CloudHSM?

Sì. Per iniziare a utilizzare AWS CloudHSM vi sono alcuni prerequisiti richiesti, fra cui un cloud privato virtuale (VPC) nell'area geografica in cui desideri usufruire del servizio AWS CloudHSM. Per maggiori dettagli, consulta il documento AWS CloudHSM User Guide.

D: È necessario gestire il firmware dei moduli sicurezza hardware?

No. AWS gestisce sia firmware sia hardware. Il firmware viene gestito da terzi e dovrà essere prima valutato dal NIST per la conformità allo standard FIPS 140-2 Level 3. Solo il firmware con crittografia firmata secondo lo standard FIPS (a cui AWS non ha accesso) può essere installato.

D: Quanti moduli di sicurezza hardware è consigliato configurare in un cluster CloudHSM?

AWS consiglia vivamente di utilizzare almeno due moduli di sicurezza hardware in due zone di disponibilità differenti per tutti gli ambienti di produzione. Per i carichi di lavoro mission critical, sono consigliati almeno tre moduli in almeno due zone di disponibilità differenti. Il client CloudHSM gestirà automaticamente i moduli guasti e bilancerà il carico tra due o più moduli in modo trasparente.

D: Chi è responsabile della durabilità delle chiavi?

AWS esegue backup crittografati automatici del cluster CloudHSM su base giornaliera. AWS effettua backup aggiuntivi nel momento in cui si verificano eventi del ciclo di vita del cluster (ad esempio l'aggiunta o la rimozione di moduli). Nel periodo di 24 ore che intercorre tra due backup, la responsabilità del materiale di crittografia creato o importato nel cluster spetta all'utente. Per assicurare la massima durevolezza, AWS consiglia vivamente di sincronizzare le nuove chiavi in almeno due moduli in due zone di disponibilità differenti. Consulta il documento AWS CloudHSM User Guide per ulteriori informazioni sulla verifica della sincronizzazione delle chiavi.

D: Come si crea una configurazione a elevata disponibilità?

La disponibilità elevata è una caratteristica implementata automaticamente quando sono presenti almeno due moduli di sicurezza hardware disponibilità tra due zone di disponibilità in un cluster CloudHSM. Non è necessario procedere a ulteriori configurazioni. Nel caso in cui si dovesse verificare un guasto in un modulo di un cluster, verrà automaticamente sostituito e tutti i client saranno aggiornati in modo da riflettere la nuova configurazione senza interrompere il flusso di elaborazione. È anche possibile aggiungere moduli al cluster senza interrompere l'applicazione utilizzando l'API o il kit SDK AWS.

D: Quanti moduli di sicurezza hardware può contenere un cluster CloudHSM?

Un singolo cluster CloudHSM può contenere fino a 28 moduli di sicurezza hardware, secondo le restrizioni dei servizi dell'account. Per saperne di più sulle restrizioni dei servizi e su come richiedere un aumento delle restrizioni, consulta la nostra documentazione online.

D: È possibile eseguire il backup dei contenuti del cluster CloudHSM?

AWS esegue tutti i giorni un backup dei cluster CloudHSM. Le chiavi possono inoltre essere esportate da un cluster e memorizzate on-premises, sempre che non siano state generate con l'attributo "non-exportable".

D: È disponibile un SLA per AWS CloudHSM?

Sì, puoi consultare il contratto sul livello di servizio (SLA) per AWS CloudHSM qui.

D: Condivido le mie risorse AWS CloudHSM con altri clienti AWS?

No. Incluso nel servizio, riceverai l'accesso single-tenant al modulo di sicurezza hardware. Il relativo hardware può essere condiviso con altri clienti, ma l'istanza HSM offre accesso esclusivo.

D: In che modo AWS gestisce i moduli di sicurezza hardware senza l'accesso alle chiavi di crittografa?

La separazione delle attività e il controllo degli accessi basato su ruoli è intrinseco nella configurazione di AWS CloudHSM. AWS ha una credenziale limitata all'HSM che ci permette di monitorare e mantenere lo stato e la disponibilità del modulo, fare backup criptati ed estrarre e pubblicare log di audit nel tuo CloudWatch Logs. AWS non ha accesso alle chiavi e ai dati all'interno del tuo cluster CloudHSM e non può effettuare alcuna operazione oltre a quelle permesse a un utente dell'appliance HSM.

Consulta il documento AWS CloudHSM User Guide per ulteriori informazioni su separazione delle attività e sulle autorizzazioni relative ai moduli delle diverse classi di utenti.

D: È possibile monitorare le istanze HSM?

Sì. AWS CloudHSM pubblica diversi parametri di Amazon CloudWatch per cluster CloudHSM e singoli moduli di crittografia hardware. Per ottenere e ricevere degli allarmi su questi parametri, è possibile utilizzare la console di Amazon CloudWatch, l'API o l'SDK.

D: Di quale "sorgente di entropia" si avvale AWS CloudHSM?

Ogni modulo di sicurezza hardware dispone di un generatore deterministico di bit casuali o DRBG (Deterministic Random Bit Generator), alimentato da un generatore hardware di numeri casuali o TRNG (True Random Number Generator) integrato nel modulo hardware, in conformità allo standard SP800-90B.

D: Che cosa accade in caso di manomissione dell'hardware HSM?

AWS CloudHSM offre rilevamento sia fisico sia logico delle manomissioni e meccanismi di risposta che attivano l'eliminazione a più fasi delle chiavi hardware. L'hardware dei moduli è progettato in modo da rilevare una manomissione non appena ne viene violata la barriera fisica. I moduli di sicurezza hardware sono anche protetti contro gli attacchi di forza bruta. Dopo un determinato numero di tentativi di accesso a un modulo di sicurezza hardware con credenziali di amministratore o Crypto Officer (CO) non andati a buon fine, l'istanza HSM blocca l'amministratore/CO. Analogamente, dopo un determinato numero di tentativi di accesso a un'istanza HSM con credenziali Crypto User (CU) non andati a buon fine, l’utente verrà bloccato e dovrà essere sbloccato da un CO o da un amministratore.

D: Che cosa accade in caso di guasto?

Amazon monitora la disponibilità e le eventuali condizioni di errore del modulo e della rete e provvede alla loro manutenzione. In caso di guasto o di perdita di connessione di rete, il modulo di sicurezza hardware verrà automaticamente sostituito. Puoi verificare le condizioni di un determinato HSM utilizzando l’API, il kit SDK o gli strumenti CLI di AWS CloudHSM, nonché controllare in qualunque momento le condizioni complessive del servizio con il pannello di controllo per lo stato dei servizi AWS.

D: È possibile che le chiavi vadano perdute in caso di guasto di un singolo HSM?

Se il tuo cluster AWS CloudHSM ha un solo HSM, sì, è possibile che le chiavi create dopo l'ultimo backup giornaliero vadano perdute. I cluster AWS CloudHSM con due o più HSM, idealmente in diverse zone di disponibilità, non perderanno le chiavi in caso di guasto di un singolo HSM. Per ulteriori informazioni, consulta le nostre best practice.

D: Amazon è in grado di recuperare le chiavi qualora vengano smarrite le credenziali dell'istanza HSM?

No. Amazon non ha accesso alle tue chiavi o alle tue credenziali, e non ha pertanto alcun modo di recuperare le tue chiavi qualora tu smarrisca le tue credenziali.

D: Cosa garantisce l'affidabilità di AWS CloudHSM?

AWS CloudHSM è basato su hardware convalidato secondo lo standard Federal Information Processing Standard (FIPS) 140-2 Level 3. Informazioni sul profilo di sicurezza dello standard FIPS 140-2 per l'hardware utilizzato da CloudHSM e il firmware che esegue, sono disponibili nella nostra pagina di conformità.

D: Il servizio AWS CloudHSM supporta lo standard FIPS 140-2 Level 3?

Sì, CloudHSM offre istanze HSM convalidate secondo lo standard FIPS 140-2 Level 3. Segui la procedura illustrata nella sezione Verifica l’autenticità del tuo HSM del documento guida per l’utente di CloudHSM User Guide per verificare che l'hardware del modulo corrisponda a quello indicato nella pagina delle policy di sicurezza NIST indicata nella domanda precedente.

D: In che modo è possibile utilizzare un'istanza AWS CloudHSM conforme allo standard FIPS 140-2?

AWS CloudHSM è sempre conforme allo standard FIPS 140-2. Per verificare la conformità, segui le istruzioni nel documento CloudHSM User Guide ed esegui il comando getHsmInfo nell'interfaccia a riga di comando per visualizzare lo stato dello standard FIPS.

D: È possibile visionare uno storico di tutte le chiamate API AWS CloudHSM effettuate da un account?

Sì. AWS CloudTrail registra le chiamate API di AWS dell'intero account. Lo storico delle chiamate API di AWS creato da AWS CloudTrail consente di eseguire analisi di sicurezza, monitoraggio delle modifiche delle risorse e audit di conformità. Per ulteriori informazioni su AWS CloudTrail, consulta la sua homepage e attiva il servizio tramite la console di gestione AWS CloudTrail.

D: Quali eventi non vengono registrati in AWS CloudTrail?

AWS CloudTrail non include i log di dispositivo o di accesso dei moduli di crittografia hardware. Tali parametri sono disponibili direttamente nell'account AWS tramite i log AWS CloudWatch. Per ulteriori informazioni, consulta AWS CloudHSM User Guide.

D: Quali iniziative di AWS volte alla conformità includono AWS CloudHSM?

Consulta la pagina Conformità di sicurezza nel cloud AWS per ulteriori informazioni sui programmi di conformità che includono CloudHSM. Diversamente dagli altri servizi AWS, i requisiti di conformità che riguardano AWS CloudHSM sono affrontati nella maggior parte dei casi direttamente dallo standard FIPS 140-2 Level 3 relativo all'hardware, piuttosto che in programmi di audit separati.

D: Perché lo standard FIPS 140-2 Level 3 è importante?

Lo standard FIPS 140-2 Level 3 è un requisito necessario per alcuni casi d'uso, ad esempio la firma di documenti, i pagamenti o l'utilizzo come autorità di certificazione per i certificati SSL.

D: Come si fa a richiedere i report di conformità nel cui ambito è incluso AWS CloudHSM?

Per vedere quali sono i report di conformità nel cui ambito è incluso AWS CloudHSM, consulta la pagina Servizi AWS coperti dal programma di conformità. Per creare report di conformità gratuiti, self-service e on demand, utilizza AWS Artifact.

Se ti interessa esclusivamente la convalida FIPS per gli HSM fornita da AWS CloudHSM, consulta la pagina Convalida FIPS.

D: Quante operazioni di crittografia al secondo può eseguire CloudHSM?

Le prestazioni possono variare in base alla configurazione, alla dimensione dei dati e al carico aggiuntivo dell'applicazione sulle istanze EC2. Per aumentare le prestazioni, puoi aggiungere istanze HSM aggiuntive ai tuoi cluster. Incoraggiamo i test di carico dell'applicazione per determinare le esigenze di scalabilità.

Per maggiori dettagli, consulta la pagina sulle prestazioni nella Guida per l'utente di AWS CloudHSM.

D: Quante chiavi è possibile archiviare in un cluster CloudHSM?

Per informazioni dettagliate sullo storage delle chiavi e sulla capacità dei cluster, consulta le quote di AWS CloudHSM.

D: quote di AWS CloudHSM supporta Amazon RDS per Oracle TDE?

Non direttamente. Dovresti utilizzare AWS Key Management Service (KMS) in associazione con lo storage per chiavi personalizzate per proteggere i dati Amazon RDS con chiavi generate e archiviate nel tuo cluster CloudHSM.

D: Posso utilizzare AWS CloudHSM come root of trust per altri software?

Diversi fornitori di terze parti supportano AWS CloudHSM come root of trust. Questo significa che puoi utilizzare una soluzione software di tua scelta nella creazione e nell'archiviazione delle chiavi sottostanti nel tuo cluster CloudHSM.

D: In cosa consiste la libreria client AWS CloudHSM?

La libreria client AWS CloudHSM è un pacchetto software fornito da AWS che permette all'utente e alle applicazioni di interagire con i cluster CloudHSM.

D: La libreria client CloudHSM consente ad AWS l'accesso ai cluster CloudHSM?

No. Tutte le comunicazioni tra il client e il tuo HSM sono completamente crittografate. AWS non può visualizzare o intercettare le suddette comunicazioni e non ha visibilità sulle tue credenziali di accesso al cluster.

D: In cosa consistono gli strumenti dell’interfaccia a riga di comando (CLI) di CloudHSM?

La libreria client CloudHSM include un set di strumenti dell'interfaccia a riga di comando che permettono di amministrare e utilizzare il modulo di sicurezza hardware dalle righe di comando. Al momento sono supportati Linux e Microsoft Windows. In futuro sarà disponibile anche il supporto per Apple macOS. Questi strumenti sono disponibili nel pacchetto della libreria client AWS CloudHSM.

D: In che modo è possibile scaricare e iniziare a utilizzare gli strumenti dell'interfaccia a riga di comando di AWS CloudHSM?

Le istruzioni sono disponibili nel documento CloudHSM User Guide.

D: Gli strumenti CLI di CloudHSM permettono ad AWS di accedere al contenuto dell'HSM?

No. Gli strumenti di CloudHSM comunicano direttamente con il cluster CloudHSM tramite la libreria client CloudHSM su un canale sicuro e autenticato in entrambe le direzioni. AWS non può intercettare alcuna comunicazione tra client, strumenti e moduli di sicurezza hardware. È dotato di crittografia end-to-end.

D: Con quali sistemi operativi è possibile utilizzare gli strumenti della riga di comando e della libreria client CloudHSM?

Puoi trovare una lista completa dei sistemi operativi supportati nella nostra documentazione online.

D: Quali sono i requisiti di connettività di rete per l'uso degli strumenti dell'interfaccia a riga di comando di CloudHSM?

L'host su cui è in esecuzione la libreria client CloudHSM e/o su cui vengono impiegati gli strumenti dell'interfaccia a riga di comando deve essere raggiungibile in rete da tutti i moduli di sicurezza hardware nel cluster.

D: Cosa è possibile fare con gli strumenti API e kit SDK AWS CloudHSM?

È possibile creare, modificare, eliminare e ottenere lo stato di cluster CloudHSM e moduli. Le operazioni eseguibili con l'API AWS CloudHSM sono limitate dalle ristrette autorizzazioni di accesso di AWS. L'API non potrà accedere ai contenuti dei moduli di sicurezza hardware né modificare utenti, policy e altre impostazioni. Consulta il documento CloudHSM per informazioni sull'API o la pagina Strumenti per Amazon Web Services per informazioni sul kit SDK.

D: In che modo deve essere pianificata la migrazione in AWS CloudHSM?

Prima di tutto, è importante verificare che gli algoritmi e i modelli in uso siano supportati da AWS CloudHSM. L'account manager potrà inoltrarci richieste di nuove funzionalità, se necessario. Quindi, è necessario determinare la strategia di rotazione delle chiavi. Inoltre, abbiamo pubblicato una guida per la migrazione ad AWS CloudHSM approfondita. Ora si è pronti a iniziare con AWS CloudHSM.

D: In che modo è possibile richiedere la modifica automatica delle chiavi?

La strategia di rotazione delle chiavi dipende dal tipo di applicazione. Di seguito sono elencati alcuni esempi.

• Chiavi private di firma: in genere le chiavi private in HSM corrispondono a certificati intermedi, che vengono a loro volta firmati da una radice offline dell'organizzazione. La modifica delle chiavi si ottiene creando un nuovo certificato intermedio. È necessario creare una nuova chiave privata generando un CSR corrispondente utilizzando OpenSSL in AWS CloudHSM. Quindi, va firmato il CSR con la stessa radice offline dell'organizzazione. Potrebbe essere necessario registrare il nuovo certificato con eventuali partner che non verificano automaticamente l'intera catena di certificati. In seguito, tutte le nuove richieste (ad esempio documenti, codice o altri certificati) devono essere firmate con la nuova chiave privata, che corrisponde al nuovo certificato. Sarà possibile continuare a verificare le firme dalla chiave privata originale utilizzando la chiave pubblica corrispondente. Non è necessario applicare alcuna revoca. Questo processo è simile a quello necessario per ritirare o archiviare una chiave di firma.
• Oracle Transparent Data Encryption: è possibile trasferire il tuo portafoglio passando da un hardware keystore (il tuo modulo di sicurezza hardware originale) a un software keystore per tornare a un hardware keystore (AWS CloudHSM). Nota: se stai utilizzando Amazon RDS, consulta le Domande frequenti sopra come "AWS CloudHSM supporta Amazon RDS Oracle TDE?"
  
• Chiave simmetrica per crittografia di tipo envelope: la crittografia di tipo envelope fa riferimento a un'architettura in cui una chiave nel modulo HSM crittografa e decrittografa diverse chiavi dati nell'applicazione host. È probabile che sia già un uso un processo di rotazione delle chiavi per passare in esaminare e decrittografare le chiavi dati con vecchie chiavi di wrapping, crittografandole nuovamente con la nuova chiave di wrapping. L'unica differenza durante la migrazione è che la nuova chiave di wrapping sarà creata e utilizzata in AWS CloudHSM invece che nel modulo originale. Se non è ancora presente un processo o uno strumento per la rotazione delle chiavi, sarà necessario crearne uno.

D: Cosa accade se non è possibile procedere alla rotazione delle chiavi?

D: AWS CloudHSM ha finestre di manutenzione pianificate?

No, ma AWS può aver bisogno di effettuare manutenzioni in caso di aggiornamenti necessari o hardware guasti. Se fosse necessario un intervento, faremo in modo di notificartelo in anticipo utilizzando Personal Health Dashboard.

Ricorda che sei responsabile della progettazione del tuo cluster per l'alta disponibilità. AWS consiglia vivamente di utilizzare i cluster CloudHSM con almeno due moduli di sicurezza hardware in zone di disponibilità differenti. Per scoprire le best practice consigliate, consulta la nostra documentazione online.

D: Ho un problema con AWS CloudHSM. Che cosa devo fare?

Puoi trovare le soluzioni ai problemi più comuni nella nostra guida alla risoluzione dei problemi. Se il problema persiste, contatta AWS Support.