发布于: Nov 26, 2018
AWS Key Management Service (KMS) 已经与 AWS CloudHSM 集成,因此您现在可以选择创建自己的 KMS 自定义密钥库。每个自定义密钥库都由 AWS CloudHSM 群集提供支持,使您能够在您控制的硬件安全模块 (HSM) 中生成、存储和使用 KMS 密钥。 KMS 自定义密钥存储有助于满足合规性义务(否则需要使用本地 HSM),并支持与 KMS 集成的 AWS 服务和加密工具包。
凭借这项新功能,您可以生成 AWS KMS 客户主密钥 (CMK) 并将其存储在自定义密钥存储区而不是默认的 KMS 密钥存储区中。每个 KMS 自定义密钥库都使用您拥有的 AWS CloudHSM 集群中的 HSM 实例创建,并且可以独立于 KMS 进行管理。在自定义密钥存储区中使用 KMS CMK 时,该密钥下的加密操作仅在 CloudHSM 群集中执行。对于存储在自定义密钥存储区中的主密钥,其管理方式与 KMS 中的任何其他主密钥相同,并且可由对数据进行加密且支持 KMS 客户托管 CMK 的任何 AWS 服务使用。
使用自定义密钥存储不会影响存储和使用 CMK 的 KMS 费用。但是,由于自定义密钥库需要维护具有至少两个 HSM 的 CloudHSM 群集,因此确实会增加额外成本。请参阅 AWS CloudHSM 定价。
有关更多信息,请访问 KMS 自定义密钥库常见问题解答;若想知道自定义密钥库是否能够满足您的要求,可以阅读此博客。