F: Was ist AWS CloudHSM?

Der AWS CloudHSM-Service unterstützt Sie mithilfe dedizierter Hardware-Sicherheitsmodul-Appliances (HSM) beim Einhalten gesetzlicher, regulatorischer und vertraglicher Vorschriften für die Datensicherheit in der AWS-Cloud. AWS und AWS Marketplace-Partner bieten eine Vielzahl von Lösungen zum Schutz sensibler Daten auf der AWS-Plattform. Doch für Anwendungen und Daten, die strengen vertraglichen oder regulatorischen Vorschriften für die Verwaltung kryptografischer Schlüssel unterliegen, kann zusätzlicher Schutz erforderlich sein. CloudHSM ergänzt vorhandene Datenschutzlösungen und ermöglicht Ihnen das Schützen Ihrer Verschlüsselungsschlüssel in HSMs, die gemäß gesetzlichen Standards zur sicheren Schlüsselverwaltung entwickelt und bestätigt wurden. Mit CloudHSM können Sie die zur Verschlüsselung von Daten verwendeten kryptografischen Schlüssel sicher so erstellen, speichern und verwalten, dass nur Sie Zugriff darauf haben.

F: Was ist ein Hardware-Sicherheitsmodul (HSM)?

Ein Hardware-Sicherheitsmodule (HSM) ist eine Hardware-Appliance, die eine sichere Schlüsselspeicherung und kryptografische Vorgänge in einem manipulationssicheren Hardwaregerät ermöglicht. HSMs dienen zum sicheren Speichern kryptografischer Schlüsselinformationen und Verwenden der Schlüsselinformationen, ohne diese außerhalb der kryptografischen Begrenzung der Appliance preiszugeben.

F: Was kann ich mit CloudHSM tun?

Der CloudHSM-Service unterstützt eine Vielzahl von Anwendungsfällen und Anwendungen, z. B. Datenbankverschlüsselung, Verwaltung digitaler Rechte (DRM), Public Key-Infrastruktur (PKI), Authentifizierung und Autorisierung, Dokumentsignierung und Transaktionsverarbeitung.

F: Wie funktioniert CloudHSM?

Wenn Sie den AWS CloudHSM-Service nutzen, erstellen Sie ein CloudHSM-Cluster. Ein Cluster kann bis zu 32 HSMs verteilt auf mehrere Availability Zones enthalten. Die Synchronisierung und der Lastenausgleich der HSMs erfolgt dabei automatisch. Sie erhalten auf jedes HSM innerhalb des Clusters dedizierten Zugriff über einen Mandanten. Jedes HSM wird in Ihrer Virtual Private Cloud (VPC) als Netzwerkressource angezeigt. Im Rahmen der Bereitstellung werden Ihnen Administrator-Anmeldeinformationen für den Cluster zugewiesen. Sie können zudem bei Bedarf weitere Benutzer und Administratoren erstellen. Das Hinzufügen und Entfernen von HSMs in Ihrem Cluster erfolgt mit nur einem Aufruf an die AWS CloudHSM API (oder in der Befehlszeile mithilfe der AWS CLI). Nachdem Sie ein CloudHSM-Cluster erstellt und initialisiert haben, können Sie auf Ihrer EC2-Instance einen Client konfigurieren, mit dessen Hilfe Ihre Anwendungen den Cluster über eine sichere, authentifizierte Netzwerkverbindung nutzen.

Amazon-Administratoren überwachen den Zustand Ihrer HSMs, haben aber keinen Zugriff darauf und können sie nicht konfigurieren, verwalten oder nutzen. Ihre Anwendungen verwenden standardmäßige kryptografische APIs im Zusammenspiel mit der in der Anwendungs-Instance installierten HSM-Client-Software, um kryptografische Anforderungen an das HSM zu senden. Die Clientsoftware erhält einen sicheren Kanal zu allen HSMs in Ihrem Cluster aufrecht und sendet Anforderungen an den Kanal. Diese werden von den HSMs ausgeführt und die Ergebnisse über den sicheren Kanal zurückgegeben. Der Client gibt anschließend das Ergebnis über die kryptografische API an die Anwendung zurück.

F: Ich habe derzeit keine VPC. Kann ich AWS CloudHSM dennoch nutzen?

Nein. Um Ihr CloudHSM vor anderen Amazon-Kunden zu schützen und zu isolieren, muss CloudHSM in einer VPC bereitgestellt werden. Das Erstellen einer VPC ist ganz einfach. Weitere Informationen finden Sie im VPC Getting Started Guide.

F: Muss sich meine Anwendung in derselben VPC wie der CloudHSM-Cluster befinden?

Nein, aber der Server bzw. die Instance, auf dem/in der Ihre Anwendung und der HSM-Client ausgeführt werden, müssen über das Netzwerk (IP) auf alle im Cluster enthaltenen HSMs zugreifen können. Sie haben mehrere Möglichkeiten zum Einrichten einer Netzwerkanbindung aus Ihrer Anwendung mit dem HSM. Dazu zählen das Ausführen Ihrer Anwendung in derselben VPC, ein VPC-Peering, eine VPN-Verbindung oder Direct Connect. Weitere Einzelheiten finden Sie im VPC Peering Guide und VPC User Guide.

F: Arbeitet CloudHSM mit lokalen HSMs zusammen?

Ja. Während CloudHSM nicht direkt mit lokalen HSMs interoperiert, besteht je nach Anwendungsfall, Schlüsseltyp und Art des lokalen HSM die Möglichkeit, Schlüssel zwischen den Modulen zu übertragen oder zu synchronisieren. Wenn Sie diesbezüglich Unterstützung benötigen, öffnen Sie bitte in Ihrer AWS-Konsole einen technischen AWS-Supportfall.

F: Wie verwendet meine Anwendung CloudHSM?

Wir haben CloudHSM zum Zweck der SSL-Auslagerung in zahlreiche Softwarelösungen von Drittanbietern wie Oracle Database 11g und 12c und Webserver wie Apache und Nginx integriert und getestet. Weitere Informationen finden Sie im CloudHSM-Benutzerhandbuch.

Wenn Sie eine eigene Anwendung entwickeln, kann diese die von CloudHSM unterstützten Standard-APIs verwenden. Hierzu zählen unter anderem PKCS#11 und Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). Microsoft CAPI/CNG wird bald unterstützt. Im CloudHSM-Benutzerhandbuch finden Sie Codebeispiele und Hilfe für die ersten Schritte.

F: Kann ich CloudHSM zum Speichern von Schlüsseln oder Verschlüsseln von Daten nutzen, die von anderen AWS-Services verwendet werden?

Ja. Sie können die gesamte Verschlüsselung in der Anwendung durchführen, in die Sie CloudHSM integrieren. In diesem Fall sehen AWS-Services wie S3 oder EBS Ihre Daten nur verschlüsselt.

F: Kann CloudHSM von anderen AWS-Services zum Speichern und Verwalten von Schlüsseln verwendet werden?

AWS-Services werden derzeit nicht direkt mit CloudHSM integriert. Wenn Sie die von zahlreichen AWS-Services wie EBS, S3 oder RDS angebotene serverseitige Kryptografie nutzen möchten, empfiehlt sich der AWS Key Management Service. Für die Zukunft wird eine weitere Integration von CloudHSM mit anderen AWS-Services in Aussicht gestellt. Wenn dies für Sie interessant sein sollte, lassen Sie es uns bitte wissen.

F: Kann CloudHSM zur Blockübersetzung von PINs (persönlichen Identifizierungsnummern) oder für andere kryptografische Vorgänge verwendet werden, die mit Lastschrifttransaktionen verwendet werden?

Derzeit bietet CloudHSM universelle HSMs. Im Laufe der Zeit stellen wir möglicherweise Zahlungsfunktionen bereit. Wenn dies für Sie interessant sein sollte, lassen Sie es uns bitte wissen.

F: Was bietet der AWS Key Management Service (KMS) im Vergleich zu AWS CloudHSM?

Der AWS Key Management Service (KMS) ist ein verwalteter Service für mehrere Mandanten, mit dem Sie Verschlüsselungsschlüssel nutzen und verwalten können. Beide Services bieten ein hohes Maß an Sicherheit für Ihre kryptografischen Schlüssel. Mit AWS CloudHSM erhalten Sie direkt in Ihrer Amazon Virtual Private Cloud (VPC) ein dediziertes, ausschließlich von Ihnen gesteuertes HSM gemäß FIPS 140-2 Level 3 HSM.

F: Wann sollte ich AWS CloudHSM anstelle von AWS KMS verwenden?

Die Verwendung von AWS CloudHSM empfiehlt sich, wenn Sie folgendes benötigen:

  • Speicherung von Schlüsseln in dedizierten, von unabhängigen Organisationen validierten Hardwaresicherheitsmodulen, die exklusiv von Ihnen gesteuert werden
  • FIPS 140-2-Konformität
  • Integration in Anwendungen über PKCS#11-, Java JCE- oder Microsoft CNG-Schnittstellen
  • Leistungsstarke kryptografische Beschleunigung in der VPC (Massenverschlüsselung)

F: Werden meine auf Safenet basierten HSMs zurückgezogen?

Nein. Obgleich wir überzeugt sind, dass der neue CloudHSM-Service aufgrund seiner umfassenden Funktionen und der verringerten Kosten eine weitaus attraktivere Alternative bietet, behalten wir AWS CloudHSM Classic für bestehende Kunden bei. Wir stellen in Kürze Ressourcen zur Verfügung, um die Migration von CloudHSM Classic zum neuen Service zu erleichtern.

F: Was sind die ersten Schritte mit CloudHSM?

Sie können ein CloudHSM-Cluster in der CloudHSM-Konsole oder mittels weniger API-Aufrufe über das AWS SDK oder die AWS API bereitstellen. Im CloudHSM-Benutzerhandbuch finden Sie Informationen über die ersten Schritte. Das CloudHSM-Entwicklerhandbuch enthält Hinweise zur CloudHSM API, und auf der Seite mit den Tools für Amazon Web Services finden Sie zusätzliche Informationen zum SDK.

F: Wie kündige ich den CloudHSM-Service?

Sie können über die CloudHSM API oder das SDK Ihre HSMs löschen und die Nutzung des Service stoppen. Weitere Anweisungen finden Sie im CloudHSM User Guide.

F: Wie wird mir der AWS CloudHSM-Service in Rechnung gestellt?

Die Bereitstellung eines HSM in einem CloudHSM-Cluster wird pro Stunde (bzw. angefangene Stunde) berechnet. Für ein Cluster, das keine HSMs enthält, fallen keine Gebühren an. Auch die automatische Speicherung von verschlüsselten Backups ist in diesem Fall kostenlos. Amazon behält sich das Recht vor, für Übertragungen von Netzwerkdaten in und aus einer AWS CloudHSM-Instance, die über das kostenlose Kontingent von 5 000 GB pro Monat hinausgehen, eine Gebühr zu berechnen. Weitere Informationen finden Sie auf der Seite mit der Preisübersicht zu CloudHSM.

F: Gibt es ein kostenloses Kontingent für den CloudHSM-Service?

Nein, für CloudHSM besteht kein kostenloses Kontingent.

F: Gibt es Voraussetzungen für die Registrierung für CloudHSM?

Ja. Für die Inbetriebnahme von CloudHSM gelten verschiedene Voraussetzungen, einschließlich einer Virtual Private Cloud (VPC) in der Region, in der Sie den CloudHSM-Service wünschen. Weitere Informationen hierzu finden Sie im CloudHSM-Benutzerhandbuch.

F: Muss ich die Firmware auf meinem HSM verwalten?

Nein. Die Firmware wird von AWS auf der Hardware verwaltet. Die Firmware-Verwaltung erfolgt durch einen Drittanbieter, wobei jegliche Firmware von NIST hinsichtlich ihrer Konformität mit FIPS 140-2 Level 3 bewertet werden muss. Es kann nur durch den FIPS-Schlüssel kryptografisch signierte Firmware installiert werden. (AWS hat keinen Zugriff auf den Schlüssel.)

F: Wie viele HSMs sollte mein CloudHSM-Cluster enthalten?

AWS empfiehlt für Produktionsarbeitslasten dringend die Verwendung von mindestens zwei HSMs in zwei verschiedenen Availability. Für geschäftskritische Arbeitslasten sollten Sie mindestens drei HSMs in mindestens zwei separaten AZs verwenden. Der CloudHSM-Client verarbeitet automatisch jegliche HSM-Ausfälle und sorgt für den transparenten Lastenausgleich zwischen zwei oder mehr HSMs.

F: Wer ist für die Beständigkeit von Schlüsseln zuständig?

AWS erstellt täglich automatisch verschlüsselte Backups Ihres CloudHSM-Clusters. Bei Lebenszyklusereignissen im Cluster, wie etwa dem Hinzufügen oder Entfernen eines HSM, werden zusätzliche Backups erstellt. Während der 24 Stunden zwischen den Backups sind ausschließlich Sie selbst für die Beständigkeit der in Ihrem Cluster erstellten oder darin importierten Schlüsselinformationen zuständig. Wir empfehlen dringend die Synchronisierung aller erstellten Schlüssel auf mindestens zwei HSMs in zwei verschiedenen Availability Zones, um die Beständigkeit Ihrer Schlüssel zu gewährleisten. Weitere Details zum Überprüfen der Schlüsselsynchronisierung finden Sie im CloudHSM-Benutzerhandbuch.

F: Wie richte ich eine Hochverfügbarkeitskonfiguration ein?

Die Hochverfügbarkeit wird automatisch sichergestellt, indem Sie in Ihrem CloudHSM-Cluster mindestens zwei HSMs verwenden. Es ist keine zusätzliche Konfiguration erforderlich. Bei einem Ausfall eines HSM in Ihrem Cluster wird das Modul automatisch ersetzt. Sämtliche Clients werden daraufhin aktualisiert, um die neue Konfiguration widerzuspiegeln, während die Verarbeitung weiter läuft. Zusätzliche HSMs können Sie dem Cluster über die AWS API oder das AWS SDK hinfügen, um die Verfügbarkeit zu erhöhen, ohne die Anwendung zu unterbrechen.

F: Wie viele HSMs können in einem CloudHSM-Cluster verbunden sein?

Ein CloudHSM-Cluster kann bis zu 32 HSMs enthalten.

F: Kann ich den Inhalt eines CloudHSM-Clusters sichern?

Ihr CloudHSM-Cluster wird täglich von AWS gesichert. Sie können die Schlüssel auch aus dem Cluster exportieren und lokal speichern, es sei denn, die Schlüssel wurden als "nicht exportierbar" generiert. Derzeit sind keine anderen Sicherungsoptionen verfügbar. Die Bereitstellung umfassender lokaler Backup-Funktionen ist jedoch demnächst geplant.

F: Gibt es für CloudHSM eine SLA?

Derzeit gibt es keine SLA für CloudHSM.

F: Wird meine CloudHSM-Appliance auch von anderen AWS-Kunden genutzt?

Nein. Sie erhalten im Rahmen des Service Zugriff über nur einen Mandanten auf das HSM. Die zugrundeliegende Hardware kann mit anderen Kunden gemeinsam genutzt werden, aber der Zugriff auf das HSM ist Ihnen vorbehalten.

F: Wie verwaltet AWS das HSM, ohne Zugriff auf meine Verschlüsselungsschlüssel zu haben?

Die Trennung von Aufgaben und eine rollenbasierte Zugriffssteuerung zählen zu den wesentlichen Merkmalen von AWS CloudHSM. AWS verfügt über begrenzte Zugriffsrechte auf das HSM, um dessen Zustand und Verfügbarkeit zu überwachen und zu verwalten, verschlüsselte Backups zu erstellen und Prüfprotokolle zu extrahieren und in Ihren CloudWatch Logs zu veröffentlichen. AWS kann Ihre Schlüssel weder sehen, noch darauf zugreifen oder sie verwenden. Auch können wir Ihr HSM nicht veranlassen, kryptografische Vorgänge mit Ihren Schlüsseln durchzuführen.

Weitere Informationen zur Aufgabentrennung und den Funktionen, die jeder Benutzerklasse auf dem HSM zur Verfügung stehen, finden Sie im CloudHSM-Benutzerhandbuch.

F: Kann ich die HSM-Appliance überwachen?

Ja. CloudHSM veröffentlicht mehrere CloudWatch-Kennzahlen für CloudHSM-Cluster und individuelle HSMs. Um die Kennzahlen abzurufen oder diesbezügliche Benachrichtigungen zu übermitteln, können Sie die AWS CloudWatch Console, die AWS API oder das AWS SDK verwenden.

F: Was ist die "Entropie-Quelle" (Quelle des Zufallsprinzips) für CloudHSM?

Jedes HSM verfügt über einen gemäß FIPS validierten deterministischen Bit-Zufallsgenerator (Deterministic Random Bit Generator, DRBG), der von einem echten Zufallszahlengenerator (True Random Number Generator, TRNG) innerhalb des HSM-Hardwaremoduls verbreitet wird, der SP800-90B entspricht. Es handelt sich hierbei um eine hochwertige Entropie-Quelle, die pro HSM 20 Mbit/s produzieren kann.

F: Was passiert, wenn jemand versucht, die HSM-Appliance zu manipulieren?

CloudHSM verfügt über physische und logische Mechanismen, um Manipulationsversuche zu erkennen und darauf zu reagieren, indem die Schlüssel der Anwendung gelöscht (genullt) werden. Das HSM erkennt Manipulationsversuchen, wenn das Gehäuse des HSM aufgebrochen wird. Nach fünf gescheiterten Zugriffsversuchen auf ein HSM mit Crypto Officer (CO)-Anmeldeinformationen löscht sich die HSM-Appliance darüber hinaus selbst. Nach fünf gescheiterten Zugriffsversuchen auf ein HSM mit Crypto User (CU)-Anmeldeinformationen wird der Benutzer gesperrt und muss von einem CO entsperrt werden.

F: Was passiert bei einem Ausfall?

Amazon überwacht und verwaltet das HSM und das Netzwerk hinsichtlich der Verfügbarkeit und Fehlerbedingungen. Ein ausgefallenes oder vom Netzwerk getrenntes HSM wird automatisch ersetzt. Sie können den Status einer einzelnen HSM mithilfe der API, des SDK oder den CLI-Tools von CloudHSM überprüfen. Außerdem können Sie jederzeit in AWS – Übersicht zum Servicestatus den allgemeinen Status des Service prüfen.

F: Könnte ich meine Schlüssel verlieren, wenn eine einzelne HSM-Appliance ausfällt?

Ja. Seit dem letzten täglichen Backup erstellte Schlüssel können verloren gehen, wenn der verwendete CloudHSM-Cluster ausfällt und Sie nur ein HSM verwenden. Amazon empfiehlt bei CloudHSM-Produktionsclustern dringend die Verwendung von zwei oder mehr HSMs in separaten Availability Zones, damit keine kryptografischen Schlüssel verloren gehen.

F: Kann Amazon meine Schlüssel wiederherstellen, wenn ich meine Anmeldeinformationen für die Appliance verliere?

Nein. Amazon hat keinen Zugriff auf Ihre Schlüssel oder Anmeldeinformationen und deshalb keine Möglichkeit, Ihre Schlüssel wiederherstellen, sollten Sie Ihre Anmeldeinformationen verlieren.

F: Woher weiß ich, ob ich CloudHSM-Appliances vertrauen kann?

CloudHSM erfüllt FIPS 140-2 Level 3 (Federal Information Processing Standard). Das Sicherheitsprofil von FIPS 140-2 der CloudHSM zugrundeliegenden Hardware finden Sie unter: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

Folgen Sie im CloudHSM-Benutzerhandbuch dem Verfahren im Abschnitt zur Überprüfung der HSM-Authentizität, um sicherzustellen, dass Ihr HSM auf der Modellhardware authentisch ist, die in der oben verknüpften NIST-Sicherheitsrichtlinie angegeben ist.

F: Wie betreibe ich ein CloudHSM im FIPS 140-2-Modus?

CloudHSM wird immer im FIPS 140-2-Modus ausgeführt. Sie können dies mithilfe der CLI-Tools gemäß der Erläuterung im CloudHSM-Benutzerhandbuch verifizieren. Durch Ausführen des Befehls "getHsmInfo" wird als Status der FIPS-Modus angegeben.

F: Unterstützt der CloudHSM-Service FIPS 140-2 Level 3?

Ja, CloudHSM wird immer im FIPS 140-2 Level 3-Modus ausgeführt.

F: Wie kann ich die Anmeldeinformationen für eine HSM-Partition sicher an meine Instances verteilen?

Im Beitrag Using IAM roles to distribute non-AWS credentials to your EC2 instances im AWS-Blog zur Sicherheit finden Sie entsprechende Informationen.

F: Kann ich einen Verlauf aller Aufrufe der CloudHSM-API abrufen, die für mein Konto erfolgt sind?

Ja. AWS CloudTrail zeichnet Aufrufe von AWS-APIs für Ihr Konto auf. Der AWS-API-Aufrufverlauf, der von CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Einhaltung von Vorschriften. Weitere Informationen zu CloudTrail finden Sie auf der Startseite von CloudTrail. In der AWS Management Console von CloudTrail können Sie CloudTrail aktivieren.

F: Welche Ereignisse werden nicht in CloudTrail protokolliert?

CloudTrail beinhaltet keine der HSM-Geräte- oder Zugriffsprotokolle. Diese werden Ihrem AWS-Konto direkt über CloudWatch Logs bereitgestellt. Weitere Informationen hierzu finden Sie im CloudHSM-Benutzerhandbuch.

F: Welche AWS-Compliance-Initiativen schließen CloudHSM ein?

Weitere Informationen zu den Compliance-Programmen, die CloudHSM abdecken, erhalten Sie auf der Website zur AWS-Compliance. Im Gegensatz zu anderen AWS-Services, werden die Compliance-Anforderungen bezüglich CloudHSM häufig direkt durch die FIPS 140-2 Level 3-Validierung der Hardware an sich erfüllt, anstatt im Rahmen eines separaten Prüfprogramms.

F: Warum ist FIPS 140-2 Level 3 wichtig?

FIPS 140-2 Level 3 ist für bestimmte Anwendungsfälle wie etwa das Ausstellen von SSL-Zertifikaten als öffentliche Zertifizierungsstelle, Dokumentsignierungen oder Zahlungen erforderlich.

F: Wie kann ich Compliance-Berichte anfordern, die CloudHSM berücksichtigen?

Sie können Compliance-Berichte bei Ihrem Ansprechpartner für Unternehmensentwicklung anfordern. Wenn Sie keinen haben, können Sie hier einen beantragen.

F: Wie viele Verschlüsselungen kann CloudHSM pro Sekunde durchführen?

Die Leistung der einzelnen HSMs variiert je nach Arbeitlast. In der nachfolgenden Tabelle sehen Sie die Ca.-Leistung eines einzelnen HSM bei verschiedenen gängigen kryptografischen Algorithmen. Jeder CloudHSM-Cluster kann bis zu 32 HSMs enthalten und somit etwa bis zur 32-fachen Leistung in dieser Tabelle liefern. Die Leistung kann entsprechen der exakten Konfiguration und Datengröße variieren, weshalb wir zur Ermittlung der genauen Skalierungsanforderungen empfehlen, einen Lastentest Ihrer Anwendung mit CloudHSM durchzuführen.

RSA 2048-Bit-Signierung/-Verifizierung

1 100/s

EC P256

315 Punkt mul/s

AES 256

300-Mbit/s-Vollduplex-Massenverschlüsselung

2048-Bit-RSA-Schlüsselgenerierung

ca. 2/s

Zufallszahlengenerierung (CSPRNG)

20 Mbit/s

F: Wie viele Schlüssel können in einer CloudHSM-Instance gespeichert werden?

In einem CloudHSM-Cluster können bis zu 3 500 Schlüssel eines beliebigen Typs oder einer beliebigen Größe gespeichert werden.

F: Unterstützt CloudHSM Amazon RDS Oracle TDE?

Nein. Amazon RDS Oracle TDE wird nicht unterstützt. Oracle TDE wird jedoch für Oracle-Datenbanken (11g und 12c) unterstützt, die in EC2 ausgeführt werden. Weitere Informationen hierzu finden Sie im CloudHSM-Benutzerhandbuch.

F: Was ist der CloudHSM-Client?

Der CloudHSM-Client ist ein von AWS bereitgestelltes Softwarepaket, mit dem Sie und Ihre Anwendungen mit CloudHSM-Clustern interagieren können.

F: Erhält AWS über den CloudHSM-Client Zugriff auf mein CloudHSM-Cluster?

Nein. Der CloudHSM-Client ist eine Open Source-Lösung, die unter einer BSD-Lizenz veröffentlicht wird. Die vollständige Quellverteilung ist auf Anfrage verfügbar und kann mit ihren eigenen Compiler-Tools erstellt werden. Wir stellen der einfachheithalber ein binäres RPM-Paket zur Verfügung.

F: Was sind die CLI-Tools von CloudHSM?

Der CloudHSM-Client umfasst eine Reihe von CLI-Tools, mit denen Sie HSMs über die Befehlszeile verwalten und nutzen können. Linux wird nun unterstützt. MacOS und Windows werden bald unterstützt. Diese Tools sind im selben Paket wie der CloudHSM-Client verfügbar.

F: Wie kann ich die CLI-Tools von CloudHSM herunterladen und mit ihrer Nutzung beginnen?

Anweisungen finden Sie im CloudHSM Benutzerhandbuch.

F: Bieten die CLI-Tools von CloudHSM AWS einen Zugriff auf den Inhalt des HSM?

Nein. Die CloudHSM-Tools kommunizieren über den CloudHSM-Client direkt mit Ihrem CloudHSM-Cluster. Der verwendete Kanal ist sicher und nutzt die gegenseitige Authentifizierung. AWS kann die Kommunikation zwischen dem Client, Tools und HSM nicht verfolgen. Sie ist durchgängig verschlüsselt ist.

F: Unter welchen Betriebssystemen kann ich den CloudHSM-Client und CLI-Tools verwenden?

Verschiedene Linux-Ausführungen (moderne Versionen von Amazon Linux, Redhat, Centos und Ubuntu), Microsoft Windows sowie Apple MacOS. Wenn Sie den CloudHSM-Client und CLI-Tools auf einem anderen Betriebssysteme verwenden möchten, wenden Sie sich gerne an uns.

F: Welche Anforderungen an die Netzwerkanbindung müssen für die Nutzung der CLI-Tools von CloudHSM erfüllt sein?

Der Host, auf dem Sie den CloudHSM-Client ausführen bzw. die CLI-Tools verwenden, muss zu allen HSMs in Ihrem CloudHSM-Cluster über ein Netzwerk verbunden sein.

F: Welche Aufgaben kann ich mithilfe der API und des SDK von CloudHSM ausführen?

Sie können CloudHSM-Cluster und HSMs erstellen, ändern und löschen und ihren Status abrufen. Die Verwendungsmöglichkeiten der AWS CloudHSM API beschränken sich auf Vorgänge, die AWS mit seinen begrenzten Zugriffsrechten ausführen kann. Die API kann nicht auf die Inhalte des HSM zugreifen oder zur Änderung von Benutzern, Richtlinien oder anderen Einstellungen genutzt werden. Weitere Informationen zur API finden Sie in der CloudHSM-Dokumentation. Mehr Details zum SDK erhalten Sie auf der Seite mit den Tools für Amazon Web Services.

F: Wie erfolgt die Routinewartung für HSM-Appliances?

Die Routinewartungsverfahren von AWS für HSM-Appliances sehen keine gleichzeitigen Ausfallzeiten in mehreren Availability Zones in derselben Region vor.

AWS überwacht und verwaltet HSMs und muss zum Aktualisieren, Ersetzen oder Testen bestimmter Hardware mitunter ein HSM entfernen. Der Ersatz dauern in der Regel nur wenige Minuten und sollte sich unter normalen Bedingungen nicht auf die Leistung Ihres CloudHSM-Clusters auswirken. Eine Anwendung, die ein bestimmtes HSM im Cluster aktiv nutzt, kann bei dessen Ersatz kurzzeitig unterbrochen werden, während der der CloudHSM-Client versucht, den Betrieb auf einem anderen HSM im Cluster wiederaufzunehmen.

AWS führt keine Routinewartung auf HSM-Appliances in mehreren Availability Zones in derselben Region im selben 24-Stunden-Zeitraum durch.

Bei unerwarteten Vorkommnissen ist es möglich, dass AWS dringende Wartungsmaßnahmen ohne vorherige Benachrichtigung durchführt. AWS versucht, diese und andere Situationen zu vermeiden, bei denen dringende Wartungen innerhalb desselben 24-Stunden-Zeitraums auf HSM-Appliances in mehreren Availability Zones in derselben Region durchgeführt werden.

AWS empfiehlt dringend, CloudHSM-Cluster mit zwei oder mehr HSMs in separaten Availability Zones zu verwenden, um jegliche potenziellen Ausfälle zu vermeiden.

F: Ich habe ein Problem mit CloudHSM. Was soll ich tun?

Kontaktieren Sie den AWS Support.


Antworten auf Fragen zu AWS CloudHSM Classic finden Sie in den Häufig gestellten Fragen zu AWS CloudHSM Classic.