Veröffentlicht am: Nov 26, 2018
AWS Key Management Service (KMS) ist ab jetzt mit AWS CloudHSM integriert, sodass Sie die Option haben, Ihren eigenen benutzerdefinierten KMS-Schlüsselspeicher zu ersteleln. Jeder benutzerdefinierte Schlüsselspeicher wird durch einen AWS CloudHSM-Cluster gestützt und ermöglicht Ihnen die Generierung, Speicherung und Nutzung Ihrer KMS-Schlüssel in Hardware-Sicherheitsmodulen (HSMs), die Sie steuern. Der benutzerdefinierte KMS-Schlüsselspeicher hilft bei der Erfüllung von Compliance-Vorschriften, die andernfalls die Nutzung von Vor-Ort-HSMs erfordern würden, und unterstützt mit KMS integrierte AWS-Services sowie Verschlüsselungs-Toolkits.
Mit diesem neuen merkmal können Sie AWS KMS Customer Master Keys (CMKs) erzeugen und sie in benutzerdefinierten Schlüsselspeichern statt im standardmäßigen KMS-Schlüsselspeichern speichern. Jeder benutzerdefinierte KMS-Schlüsselspeicher wird mithilfe von HMS-Instances in einem AWS CloudHSM-Cluster erstellt, den Sie besitzen und unabhängig von KMS verwalten können. Wenn Sie einen KMS CMK in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptografischen Vorgänge unter diesem Schlüssel exklusiv in Ihrem CloudHSM-Cluster ausgeführt. Master-Schlüssel, die in einem benutzerdefinierten Schlüsselspeicher gespeichert werden, werden genau so verwaltet wie andere Master-Schlüssel in KMS und können von jedem AWS-Service verwendet werden, der Daten verschlüsselt und kundenverwaltete KMS CMKs unterstützt.
Die Nutzung eines benutzerdefinierten Schlüsselspeichers hat keinen Einfluss auf die KMS-Gebühren für die Speicherung und Nutzung eines CMKs. Bei einem benutzerdefinierten Schlüsselspeicher fallen jedoch zusätzliche Kosten für den Betrieb eines CloudHSM-Clusters mit mindestens zwei HSMs an. Siehe Preisgestaltung für AWS CloudHSM.
Weitere Informationen finden Sie in den häufig gestellten Fragen zu benutzerdefinierten KMS-Schlüsselspeichern. Informationen dazu, ob sich benutzerdefinierte Schlüsselspeicher für Ihre Anforderungen empfehlen, finden Sie in diesem Blog.