AWS CloudHSM 是基于云的硬件安全模块 (HSM),借助该模块,您可以轻松地向 AWS 应用程序添加安全密钥存储和高性能加密操作。CloudHSM 没有预付费用,并且可以按需启动和停止 HSM,从而使您能够根据需要随时随地快速且经济高效地预置容量。AWS CloudHSM 是一项托管服务,可自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。

CloudHSM 是众多 AWS 服务 (包括 AWS Key Management Service (KMS)) 之一,可为加密密钥提供高级别的安全性。KMS 提供了一种轻松、经济高效的方式在 AWS 上管理加密密钥,可满足大多数客户数据的安全需求。CloudHSM 可为客户提供单租户访问和控制其 HSM 的选项。

AWS CloudHSM 入门

注册 AWS CloudHSM
CloudHSM
全新 AWS CloudHSM 简介
100x100_benefit_ecryption-lock

AWS CloudHSM 可提供对防篡改 HSM 的单租户访问,这些 HSM 符合美国政府面向加密模块制定的 FIPS 140-2 第 3 级标准。

100x100_benefit_increase-upward2

AWS CloudHSM 可轻松扩展您的 HSM 容量。您可以使用 AWS 管理控制台和 AWS API 按需添加和删除 HSM。

100x100_benefit_transparency

AWS CloudHSM 是一种开放式解决方案,可避免受制于供应商。借助 CloudHSM,您可以将密钥传输至其他商用 HSM 解决方案,从而轻松将密钥迁入或迁出 AWS。

100x100_benefit_ingergration

AWS CloudHSM 可通过行业标准的 API 与自定义应用程序集成,并支持多种编程语言,包括 PKCS#11、Java Cryptography Extensions (JCE) 和 Microsoft CryptoNG (CNG) 库。

100x100_benefit_secure

AWS CloudHSM 支持 Quorum 身份验证的重要管理和密钥管理功能。CloudHSM 还支持使用您提供的令牌进行多重验证 (MFA)。

100x100_benefit_management2

AWS CloudHSM 是一项托管服务,可自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。

AWS CloudHSM 在您自己的 Amazon Virtual Private Cloud (VPC) 中运行,使您能够轻松地将 HSM 与运行在 Amazon EC2 实例上的应用程序配合使用。借助 CloudHSM,您可以使用标准 VPC 安全控制来管理对 HSM 的访问。您的应用程序使用由 HSM 客户端软件构建的相互身份验证的 SSL 渠道来连接 HSM。在 Amazon 数据中心内,您的 HSM 位于 EC2 实例附近,因此您可以降低应用程序与 HSM 和本地 HSM 之间的网络延迟。

A:AWS 管理硬件安全模块 (HSM) 设备,但无权访问您的密钥

B:您控制和管理自己的密钥

C:应用程序性能提升 (由于极为靠近 AWS 工作负载)

D:防篡改硬件中的安全密钥存储在多个可用区 (AZ) 中提供

E:您的 HSM 位于 Virtual Private Cloud (VPC) 中,与其他 AWS 网络隔离。

CloudHSM_Diagrams_2-final

AWS CloudHSM 在设计之初就考虑到了责任分离和基于角色的访问控制。AWS 负责监控 HSM 的运行状况和网络可用性,但不参与 HSM 中存储的密钥材料的创建和管理工作。您负责控制 HSM 以及加密密钥的生成和使用。

CloudHSM_Diagrams_3 copy

AWS CloudHSM 会自动处理负载均衡请求,并将任意 HSM 中存储的密钥复制到群集中的其他 HSM。这样可以提供额外的加密能力,并提高密钥的持久性。通将密钥的多个副本存储在位于不同可用区 (AZ) 的多个 HSM 中,在单个 HSM 不可用时,您的密钥将仍然可用并且受到保护。为实现可用性和持久性,Amazon 推荐在多个可用区中至少使用两个 HSM。

CloudHSM_Diagrams_1-b

AWS CloudHSM 客户端会处理负载均衡请求,并在群集中参与的 HSM 之间安全地复制密钥材料。