Allgemeines

F: Was ist AWS CloudHSM?

Der AWS CloudHSM-Service unterstützt Sie mithilfe dedizierter Hardware-Sicherheitsmodul-Instances (HSM-Instances) beim Einhalten unternehmerischer, vertraglicher und regulatorischer Vorschriften für die Datensicherheit in der AWS Cloud. AWS und AWS Marketplace-Partner bieten eine Vielzahl von Lösungen zum Schutz sensibler Daten auf der AWS-Plattform. Doch für Anwendungen und Daten, die strengen vertraglichen oder regulatorischen Vorschriften für die Verwaltung kryptografischer Schlüssel unterliegen, kann zusätzlicher Schutz erforderlich sein. CloudHSM ergänzt vorhandene Datenschutzlösungen und ermöglicht Ihnen das Schützen Ihrer Verschlüsselungsschlüssel in HSMs, die gemäß gesetzlichen Standards zur sicheren Schlüsselverwaltung entwickelt und bestätigt wurden. Mit CloudHSM können Sie die zur Verschlüsselung von Daten verwendeten kryptografischen Schlüssel sicher so erstellen, speichern und verwalten, dass nur Sie Zugriff darauf haben.

F: Was ist ein Hardware-Sicherheitsmodul (HSM)?

Ein Hardware-Sicherheitsmodul (HSM) ermöglicht eine sichere Schlüsselspeicherung und kryptografische Vorgänge in einem manipulationssicheren Hardwaregerät. HSMs dienen zum sicheren Speichern kryptografischer Schlüsselinformationen und Verwenden der Schlüsselinformationen, ohne diese außerhalb der kryptografischen Begrenzung der Hardware preiszugeben.

F: Was kann ich mit CloudHSM tun?

Der CloudHSM-Service unterstützt eine Vielzahl von Anwendungsfällen und Anwendungen, z. B. Datenbankverschlüsselung, Verwaltung digitaler Rechte (DRM), Public Key-Infrastruktur (PKI), Authentifizierung und Autorisierung, Dokumentsignierung und Transaktionsverarbeitung.

F: Wie funktioniert CloudHSM?

Wenn Sie den AWS CloudHSM-Service nutzen, erstellen Sie ein CloudHSM-Cluster. Cluster können mehrere HSMs enthalten, verteilt über mehrere Availability Zones in einer Region. HSMs in einem Cluster werden automatisch synchronisiert und auch ein automatischer Lastenausgleich findet statt. Sie erhalten auf jedes HSM innerhalb des Clusters dedizierten Zugriff über einen Mandanten. Jedes HSM wird in Ihrer Amazon Virtual Private Cloud (VPC) als Netzwerkressource angezeigt. Das Hinzufügen und Entfernen von HSMs in Ihrem Cluster erfolgt mit einem einzigen Aufruf an die AWS CloudHSM API (oder über die Befehlszeile mithilfe der AWS CLI). Nachdem Sie ein CloudHSM-Cluster erstellt und initialisiert haben, können Sie auf der EC2-Instance einen Client konfigurieren, mit dessen Hilfe Ihre Anwendungen den Cluster über eine sichere, authentifizierte Netzwerkverbindung nutzen.

Der Zustand der HSMs wird vom Service automatisch überwacht. AWS-Mitarbeiter haben jedoch keinen Zugriff auf Ihre Schlüssel oder Daten. Ihre Anwendungen verwenden standardmäßige kryptografische APIs im Zusammenspiel mit der in der Anwendungs-Instance installierten HSM-Client-Software, um kryptografische Anforderungen an das HSM zu senden. Die Clientsoftware erhält einen sicheren Kanal zu allen HSMs in Ihrem Cluster aufrecht und sendet Anforderungen an den Kanal. Diese werden von den HSMs ausgeführt und die Ergebnisse über den sicheren Kanal zurückgegeben. Der Client gibt anschließend das Ergebnis über die kryptografische API an die Anwendung zurück.

F: Ich habe derzeit keine VPC. Kann ich AWS CloudHSM dennoch nutzen?

Nein. Um AWS CloudHSM vor anderen Amazon-Kunden zu schützen und zu isolieren, muss CloudHSM in einer Amazon VPC bereitgestellt werden. Das Erstellen einer VPC ist einfach. Weitere Informationen finden Sie im Handbuch "Erste Schritte" zu VPC.

F: Muss sich meine Anwendung in derselben VPC wie der CloudHSM-Cluster befinden?

Nein, aber der Server bzw. die Instance, auf dem/in der Ihre Anwendung und der HSM-Client ausgeführt werden, müssen über das Netzwerk (IP) auf alle im Cluster enthaltenen HSMs zugreifen können. Sie haben mehrere Möglichkeiten zum Einrichten einer Netzwerkanbindung aus Ihrer Anwendung mit dem HSM. Dazu zählen das Ausführen Ihrer Anwendung in derselben VPC, ein VPC-Peering, eine VPN-Verbindung oder Direct Connect. Weitere Einzelheiten finden Sie im VPC Peering Guide und VPC User Guide.

F: Arbeitet CloudHSM mit lokalen HSMs zusammen?

Ja. Obwohl CloudHSM nicht direkt mit lokalen HSMs interagiert, können Sie exportierbare Schlüssel unter Verwendung einer von mehreren unterstützten RSA-Schlüsselpackmethoden sicher zwischen CloudHSM und den meisten gewerblichen HSMs übertragen.   

F: Wie verwendet meine Anwendung CloudHSM?

Wir haben CloudHSM zum Zweck der SSL-Auslagerung in zahlreiche Softwarelösungen von Drittanbietern wie Oracle Database 11g und 12c und Webserver wie Apache und Nginx integriert und getestet. Weitere Informationen finden Sie im CloudHSM-Benutzerhandbuch.

Wenn Sie eine eigene Anwendung entwickeln, kann diese die von CloudHSM unterstützten Standard-APIs verwenden. Hierzu zählen unter anderem PKCS#11 und Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions) sowie Microsoft CAPI/CNG. Im CloudHSM-Benutzerhandbuch finden Sie Codebeispiele und Hilfe für die ersten Schritte.

Falls Sie eine vorhandene Workload von CloudHSM Classic oder lokalen HSMs zu CloudHSM verschieben, bietet unser CloudHSM Migration-Leitfaden Informationen zur Planung und Ausführung Ihrer Migration.

F: Kann ich CloudHSM zum Speichern von Schlüsseln oder Verschlüsseln von Daten nutzen, die von anderen AWS-Services verwendet werden?

Ja. Die gesamte Verschlüsselung können Sie in der CloudHSM-integrierten Anwendung durchführen. In diesem Fall würden AWS-Services wie Amazon S3 oder Amazon Elastic Block Store (EBS) Ihre Daten nur verschlüsselt sehen.

F: Kann CloudHSM von anderen AWS-Services zum Speichern und Verwalten von Schlüsseln verwendet werden?

AWS-Services integriert den AWS Key Management Service, welcher wiederum AWS CloudHSM durch die benutzerdefinierte KMS-Schlüsselspeicherfunktion eingegliedert hat. Wenn Sie die serverseitige Verschlüsselung nutzen möchten, die bei vielen AWS-Services (wie EBS, S3 oder Amazon RDS) angeboten wird, können Sie dies als benutzerdefinierten Schlüsselspeicher in AWS KMS konfigurieren.

F: Kann CloudHSM zur Durchführung von Blockübersetzung der persönlichen Identifikationsnummer (PIN) oder anderen Verschlüsselungsvorgängen genutzt werden, die bei Lastschriftzahlungen gebräuchlich sind?

Derzeit bietet CloudHSM universelle HSMs. Im Laufe der Zeit stellen wir möglicherweise Zahlungsfunktionen bereit. Wenn dies für Sie interessant sein sollte, lassen Sie es uns bitte wissen.

F: Was sind die ersten Schritte mit CloudHSM?

Sie können ein CloudHSM-Cluster in der CloudHSM-Konsole oder mittels weniger API-Aufrufe über das AWS SDK oder die AWS API bereitstellen. Im CloudHSM-Benutzerhandbuch finden Sie Informationen über die ersten Schritte. Das CloudHSM-Entwicklerhandbuch enthält Hinweise zur CloudHSM API, und auf der Seite mit den Tools für Amazon Web Services finden Sie zusätzliche Informationen zum SDK.

F: Wie kündige ich den CloudHSM-Service?

Sie können über die CloudHSM-Konsole, die API oder das SDK Ihre HSMs löschen und die Nutzung des Service stoppen. Weitere Anweisungen finden Sie im CloudHSM-Benutzerhandbuch.

Fakturierung

F: Wie wird mir der AWS CloudHSM-Service in Rechnung gestellt?

Die Bereitstellung eines HSM in einem CloudHSM-Cluster wird pro Stunde (bzw. angefangene Stunde) berechnet. Für ein Cluster, das keine HSMs enthält, fallen keine Gebühren an. Auch die automatische Speicherung von verschlüsselten Backups ist in diesem Fall kostenlos. Weitere Informationen finden Sie auf der Seite mit der Preisübersicht zu CloudHSM. Beachten Sie, dass Netzwerkdatenübertragungen zu und aus Ihren HSMs separat berechnet werden. Weitere Informationen finden Sie unter Datenübertragungspreise für EC2.

F: Gibt es ein kostenloses Kontingent für den CloudHSM-Service?

Nein, für CloudHSM besteht kein kostenloses Kontingent.

F: Hängen die Gebühren davon ab, wie viele Benutzer oder Schlüssel ich auf meinem HSM erstelle?

Nein, die stündliche Gebühr, die je nach Region variiert, hängt nicht davon ab, in welchem Umfang Sie Ihr HSM verwenden.

F: Bieten Sie für CloudHSM ein Reserved Instance-Preismodell an?

Nein, wir bieten für CloudHSM kein Reserved Instance-Preismodell an.

Bereitstellung und Betrieb

F: Gibt es Voraussetzungen für den Einsatz von CloudHSM?

Ja. Für die Inbetriebnahme von CloudHSM gelten verschiedene Voraussetzungen, einschließlich einer Virtual Private Cloud (VPC) in der Region, in der Sie den CloudHSM-Service wünschen. Weitere Informationen hierzu finden Sie im CloudHSM-Benutzerhandbuch.

F: Muss ich die Firmware auf meinem HSM verwalten?

Nein. Die Firmware wird von AWS auf der Hardware verwaltet. Die Firmware-Verwaltung erfolgt durch einen Drittanbieter, wobei jegliche Firmware von NIST hinsichtlich ihrer Konformität mit FIPS 140-2 Level 3 bewertet werden muss. Es kann nur durch den FIPS-Schlüssel kryptografisch signierte Firmware installiert werden. (AWS hat keinen Zugriff auf den Schlüssel.)

F: Wie viele HSMs sollte mein CloudHSM-Cluster enthalten?

AWS empfiehlt für Produktionsarbeitslasten dringend die Verwendung von mindestens zwei HSMs in zwei verschiedenen Availability. Für geschäftskritische Arbeitslasten sollten Sie mindestens drei HSMs in mindestens zwei separaten AZs verwenden. Der CloudHSM-Client verarbeitet automatisch jegliche HSM-Ausfälle und sorgt für den transparenten Lastenausgleich zwischen zwei oder mehr HSMs.

F: Wer ist für die Beständigkeit von Schlüsseln zuständig?

AWS erstellt täglich automatisch verschlüsselte Backups Ihres CloudHSM-Clusters. Bei Lebenszyklusereignissen im Cluster, wie etwa dem Hinzufügen oder Entfernen eines HSM, werden zusätzliche Backups erstellt. Während der 24 Stunden zwischen den Backups sind ausschließlich Sie selbst für die Beständigkeit der in Ihrem Cluster erstellten oder darin importierten Schlüsselinformationen zuständig. Wir empfehlen dringend die Synchronisierung aller erstellten Schlüssel auf mindestens zwei HSMs in zwei verschiedenen Availability Zones, um die Beständigkeit Ihrer Schlüssel zu gewährleisten. Weitere Details zum Überprüfen der Schlüsselsynchronisierung finden Sie im CloudHSM-Benutzerhandbuch.

F: Wie richte ich eine Hochverfügbarkeitskonfiguration ein?

Die Hochverfügbarkeit wird automatisch sichergestellt, indem Sie in Ihrem CloudHSM-Cluster mindestens zwei HSMs verwenden. Es ist keine zusätzliche Konfiguration erforderlich. Bei einem Ausfall eines HSM in Ihrem Cluster wird das Modul automatisch ersetzt. Sämtliche Clients werden daraufhin aktualisiert, um die neue Konfiguration widerzuspiegeln, während die Verarbeitung weiter läuft. Zusätzliche HSMs können Sie dem Cluster über die AWS API oder das AWS SDK hinzufügen, um die Verfügbarkeit zu erhöhen, ohne die Anwendung zu unterbrechen.

F: Wie viele HSMs kann ein CloudHSM-Cluster umfassen?

Ein CloudHSM-Cluster kann bis zu 28 HSMs enthalten (vorbehaltlich Service Limits des Kontos). Weitere Informationen zu Service Limits und zum Beantragen einer Erhöhung dieser Limits finden Sie in der Online-Dokumentation.

F: Kann ich den Inhalt eines CloudHSM-Clusters sichern?

Ihr CloudHSM-Cluster wird täglich von AWS gesichert. Sie können die Schlüssel auch aus dem Cluster exportieren und lokal speichern, es sei denn, die Schlüssel wurden als "nicht exportierbar" generiert.

F: Gibt es für CloudHSM ein SLA?

Ja, Sie finden das Service Level Agreement (SLA) für AWS CloudHSM hier.

Sicherheit und Compliance

F: Wird meine CloudHSM-Appliance auch von anderen AWS-Kunden genutzt?

Nein. Sie erhalten im Rahmen des Service Zugriff über nur einen Mandanten auf das HSM. Die zugrundeliegende Hardware kann mit anderen Kunden gemeinsam genutzt werden, aber der Zugriff auf das HSM ist Ihnen vorbehalten.

F: Wie verwaltet AWS das HSM, ohne Zugriff auf meine Verschlüsselungsschlüssel zu haben?

Die Trennung von Aufgaben und eine rollenbasierte Zugriffssteuerung zählen zu den wesentlichen Merkmalen von AWS CloudHSM. AWS hat nur begrenzten Zugriff auf das HSM, mit dem wir den Zustand und die Verfügbarkeit des HSM überwachen und gewährleisten, verschlüsselte Backups erstellen und Protokolle von Prüfungen extrahieren sowie in CloudWatch Logs veröffentlichen können. AWS kann nicht auf Schlüssel oder Daten in Ihrem CloudHSM-Cluster zugreifen und lediglich die Schritte ausführen, die HSM-Appliance-Benutzern gestattet sind.

Weitere Informationen zur Aufgabentrennung und den Funktionen, die jeder Benutzerklasse für das HSM zur Verfügung stehen, finden Sie im CloudHSM-Benutzerhandbuch.

F: Kann ich mein HSM überwachen?

Ja. CloudHSM veröffentlicht mehrere CloudWatch-Kennzahlen für CloudHSM-Cluster und individuelle HSMs. Um die Kennzahlen abzurufen oder diesbezügliche Benachrichtigungen zu übermitteln, können Sie die AWS CloudWatch Console, die AWS API oder das AWS SDK verwenden.

F: Was ist die "Entropie-Quelle" (Quelle des Zufallsprinzips) für CloudHSM?

Jedes HSM verfügt über einen gemäß FIPS validierten deterministischen Bit-Zufallsgenerator (Deterministic Random Bit Generator, DRBG), der von einem echten Zufallszahlengenerator (True Random Number Generator, TRNG) innerhalb des HSM-Hardwaremoduls verbreitet wird, der SP800-90B entspricht. Es handelt sich hierbei um eine hochwertige Entropie-Quelle, die pro HSM 20 Mbit/s produzieren kann.

F: Was passiert, wenn jemand versucht, die HSM-Hardware zu manipulieren?

CloudHSM verfügt über physische und logische Mechanismen, um Manipulationsversuche zu erkennen und darauf zu reagieren, indem die Schlüssel der Hardware gelöscht (genullt) werden. Die Hardware ist darauf ausgelegt, Manipulationen zu erkennen, falls eine physische Barriere durchbrochen wird. HSMs sind zudem vor Brute-Force-Anmeldeangriffen geschützt. Nachdem eine festgelegte Anzahl gescheiterter Zugriffsversuche auf ein HSM mit Anmeldeinformationen eines Verschlüsselungsverantwortlichen (Crypto Officer, CO) erreicht ist, sperrt das HSM den CO aus. Gleichermaßen gilt: Nachdem eine festgelegte Anzahl gescheiterter Zugriffsversuche auf ein HSM mit Crypto User (CU)-Anmeldeinformationen erreicht ist, wird der Benutzer gesperrt und muss von einem CO entsperrt werden.

F: Was passiert bei einem Ausfall?

Amazon überwacht und verwaltet das HSM und das Netzwerk hinsichtlich der Verfügbarkeit und Fehlerbedingungen. Ein ausgefallenes oder vom Netzwerk getrenntes HSM wird automatisch ersetzt. Sie können den Status eines einzelnen HSM mithilfe der API, des SDK oder der CLI-Tools von CloudHSM überprüfen. Außerdem können Sie jederzeit in AWS – Übersicht zum Servicestatus den allgemeinen Status des Service einsehen.

F: Könnte ich meine Schlüssel verlieren, wenn ein einzelnes HSM ausfällt?

Falls das CloudHSM-Cluster nur ein einziges HSM umfasst, ist es tatsächlich möglich, dass seit dem letzten täglichen Backup erstellte Schlüssel verloren gehen. Bei CloudHSM-Clustern mit zwei oder mehr HSMs (idealerweise in unterschiedlichen Availability Zones) gehen die Schlüssel nicht verloren, wenn bei einem einzelnen HSM Fehler auftreten. Weitere Informationen hierzu finden Sie in unseren Best Practices.

F: Kann Amazon meine Schlüssel wiederherstellen, wenn ich die Anmeldeinformationen für mein HSM verliere?

Nein. Amazon hat keinen Zugriff auf Ihre Schlüssel oder Anmeldeinformationen und deshalb keine Möglichkeit, Ihre Schlüssel wiederherstellen, sollten Sie Ihre Anmeldeinformationen verlieren.

F: Woher weiß ich, ob ich CloudHSM vertrauen kann?

CloudHSM basiert auf Hardware mit einer Validierung nach Federal Information Processing Standard (FIPS) 140-2 Level 3. Informationen über das FIPS 140-2 Sicherheitsprofil für die von CloudHSM verwendete Hardware und die ausgeführte Firmware finden Sie auf unserer Compliance-Seite.

F: Unterstützt der CloudHSM-Service FIPS 140-2 Level 3?

Ja. CloudHSM stellt HSMs mit einer FIPS 140-2 Level 3-Validierung zur Verfügung. Folgen Sie im CloudHSM-Benutzerhandbuch dem Verfahren im Abschnitt zur Überprüfung der HSM-Authentizität, um sicherzustellen, dass Ihr HSM auf der Modellhardware authentisch ist, die in der NIST-Sicherheitsrichtlinie aus der vorherigen Frage angegeben ist.

F: Wie betreibe ich ein CloudHSM im FIPS 140-2-Modus?

CloudHSM wird immer im FIPS 140-2-Modus ausgeführt. Sie können dies mithilfe der CLI-Tools gemäß der Erläuterung im CloudHSM-Benutzerhandbuch verifizieren. Durch Ausführen des Befehls "getHsmInfo" wird als Status der FIPS-Modus angegeben.

F: Kann ich einen Verlauf aller Aufrufe der CloudHSM-API abrufen, die für mein Konto erfolgt sind?

Ja. AWS CloudTrail zeichnet Aufrufe von AWS-APIs für Ihr Konto auf. Der AWS-API-Aufrufverlauf, der von CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Einhaltung von Vorschriften. Weitere Informationen zu CloudTrail finden Sie auf der Startseite von CloudTrail. In der AWS Management Console von CloudTrail können Sie CloudTrail aktivieren.

F: Welche Ereignisse werden nicht in CloudTrail protokolliert?

CloudTrail beinhaltet keine der HSM-Geräte- oder Zugriffsprotokolle. Diese werden Ihrem AWS-Konto direkt über CloudWatch Logs bereitgestellt. Weitere Informationen hierzu finden Sie im CloudHSM-Benutzerhandbuch.

F: Welche AWS-Compliance-Initiativen schließen CloudHSM ein?

Weitere Informationen zu den Compliance-Programmen, die CloudHSM abdecken, erhalten Sie auf der Website zur AWS-Compliance. Im Gegensatz zu anderen AWS-Services, werden die Compliance-Anforderungen bezüglich CloudHSM häufig direkt durch die FIPS 140-2 Level 3-Validierung der Hardware an sich erfüllt, anstatt im Rahmen eines separaten Prüfprogramms.

F: Warum ist FIPS 140-2 Level 3 wichtig?

FIPS 140-2 Level 3 ist für bestimmte Anwendungsfälle wie etwa das Ausstellen von SSL-Zertifikaten als öffentliche Zertifizierungsstelle, Dokumentsignierungen oder Zahlungen erforderlich.

F: Wie kann ich Compliance-Berichte anfordern, die CloudHSM berücksichtigen?

Sehen Sie sich die Daten in AWS-Services in Scope nach Compliance Program an, um zu erfahren, in welchen Compliance-Berichten CloudHSM berücksichtigt wird. Verwenden Sie AWS Artifact, um selbst kostenlose On-Demand-Compliance-Berichte zu erstellen.

Interessieren Sie sich ausschließlich für die FIPS-Validierung für HSMs von CloudHSM, finden Sie unter FIPS-Validierung weitere Informationen.

Leistung und Kapazität

F: Wie viele kryptografische Vorgänge pro Sekunde kann CloudHSM durchführen?

Die Leistung von AWS-CloudHSM-Clustern variiert je nach Workload. Die folgende Tabelle zeigt die ungefähre Leistung gängiger kryptografischer Algorithmen, die auf einer EC2-Instance ausgeführt werden. Um die Leistung zu erhöhen, können Sie Ihren Clustern zusätzliche HSM-Instances hinzufügen. Die Leistung kann je nach Konfiguration, Datengröße und zusätzlicher Anwendungslast auf Ihren EC2-Instances variieren. Wir empfehlen Ihnen, Ihre Anwendung unter Last zu testen, um die Skalierungsanforderungen zu ermitteln.

Vorgang Zwei-HSM-Cluster [1] Drei-HSM-Cluster [2] Sechs-HSM-Cluster [3]
RSA-2048-Bit-Zeichen 2 000 Ops/Sekunde 3 000 Ops/Sekunde 5 000 Ops/Sekunde
EC-p256-Zeichen 500 Ops/Sekunde 750 Ops/Sekunde 1 500 Ops/Sekunde

Weitere Informationen finden Sie auf der Leistungsseite im AWS-CloudHSM-Benutzerhandbuch.

[1]: Ein Zwei-HSM-Cluster, in dem die Java-Multithread-Anwendung auf einer c4.large-EC2-Instance ausgeführt wird, wobei sich ein HSM in derselben AZ wie die EC2-Instance befindet.

[2]: Ein Drei-HSM-Cluster, in dem die Java-Multithread-Anwendung auf einer c4.large-EC2-Instance ausgeführt wird, wobei sich ein HSM in derselben AZ wie die EC2-Instance befindet.

[3]: Ein Sechs-HSM-Cluster in dem die Java-Multithread-Anwendung auf einer c4.large-EC2-Instance mit zwei HSMs in derselben AZ wie die EC2-Instance ausgeführt wird.

F: Wie viele Schlüssel können in einem CloudHSM-Cluster gespeichert werden?

In einem CloudHSM-Cluster können bis zu 3 300 Schlüssel eines beliebigen Typs oder einer beliebigen Größe gespeichert werden.

Integrationen von Drittanbietern

F: Unterstützt CloudHSM Amazon RDS Oracle TDE?

Nicht direkt. Sie sollten AWS Key Management Service mit Custom Key Store verwenden, um Amazon RDS-Daten mithilfe von Schlüsseln zu sichern, die in Ihrem AWS CloudHSM-Cluster generiert und gespeichert werden.

F: Kann ich CloudHSM als Root of Trust für andere Software verwenden?

Die Nutzung von AWS CloudHSM als Root of Trust wird von mehreren Drittanbietern unterstützt. Das bedeutet, dass Sie beim Erstellen und Speichern der zugrunde liegenden Schlüssel in Ihrem CloudHSM-Cluster eine Software-Lösung Ihrer Wahl einsetzen können.

AWS CloudHSM-Client, -API und -SDK

F: Was ist der CloudHSM-Client?

Der CloudHSM-Client ist ein von AWS bereitgestelltes Softwarepaket, mit dem Sie und Ihre Anwendungen mit CloudHSM-Clustern interagieren können.

F: Erhält AWS über den CloudHSM-Client Zugriff auf mein CloudHSM-Cluster?

Nein. Die gesamte Kommunikation zwischen dem Client und Ihrem HSM-Cluster ist durchgängig verschlüsselt. AWS kann diese Kommunikation weder sehen noch abfangen. Auch Ihre Cluster-Anmeldeinformationen sind für AWS unzugänglich.

F: Was sind die CLI-Tools von CloudHSM?

Der CloudHSM-Client umfasst eine Reihe von CLI-Tools, mit denen Sie HSMs über die Befehlszeile verwalten und nutzen können. Für Linux und Microsoft Windows gibt es bereits Unterstützung. Für Apple ist sie geplant. Diese Tools sind im selben Paket wie der CloudHSM-Client verfügbar.

F: Wie kann ich die CLI-Tools von CloudHSM herunterladen und mit ihrer Nutzung beginnen?

Anweisungen finden Sie im CloudHSM Benutzerhandbuch.

F: Bieten die CLI-Tools von CloudHSM AWS einen Zugriff auf den Inhalt des HSM?

Nein. Die CloudHSM-Tools kommunizieren über den CloudHSM-Client direkt mit Ihrem CloudHSM-Cluster. Der verwendete Kanal ist sicher und nutzt die gegenseitige Authentifizierung. AWS kann die Kommunikation zwischen dem Client, Tools und HSM nicht verfolgen. Sie ist durchgängig verschlüsselt ist.

F: Unter welchen Betriebssystemen kann ich den CloudHSM-Client und die CLI-Tools verwenden?

Eine vollständige Liste der unterstützten Betriebssysteme finden Sie in unserer Online-Dokumentation.

F: Welche Anforderungen an die Netzwerkanbindung müssen für die Nutzung der CLI-Tools von CloudHSM erfüllt sein?

Der Host, auf dem Sie den CloudHSM-Client bzw. die CLI-Tools ausführen, muss zu allen HSMs in Ihrem CloudHSM-Cluster über ein Netzwerk verbunden sein.

F: Welche Aufgaben kann ich mithilfe der API und des SDK von CloudHSM ausführen?

Sie können CloudHSM-Cluster und HSMs erstellen, ändern und löschen und ihren Status abrufen. Die Verwendungsmöglichkeiten der AWS CloudHSM API beschränken sich auf Vorgänge, die AWS mit seinen begrenzten Zugriffsrechten ausführen kann. Die API kann nicht auf die Inhalte des HSM zugreifen oder zur Änderung von Benutzern, Richtlinien oder anderen Einstellungen genutzt werden. Weitere Informationen zur API finden Sie in der CloudHSM-Dokumentation, weitere Informationen zum SDK auf der Seite mit den Tools für Amazon Web Services.

Migrieren von anderen Drittanbieter-HSMs auf CloudHSM

F: Wie plane ich die Migration auf AWS CloudHSM?

Stellen Sie zunächst sicher, dass die von Ihnen benötigten Algorithmen und Modi von CloudHSM unterstützt werden. Ihr Account Manager kann uns bei Bedarf gerne Funktionsanfragen stellen. Bestimmen Sie als nächstes Ihre primäre Rotationsstrategie. Vorschläge für häufige Einsatzszenarien finden Sie unter der nächsten Frage. Wir haben auch einen detaillierten Migrationsleitfaden für CloudHSM bereitgestellt. Jetzt sind Sie bereit für erste Schritte mit CloudHSM.

F: Wie rotiere ich meine Schlüssel?

Ihre Rotationsstrategie richtet sich nach der Art Ihrer Anwendung. Nachfolgend einige gängige Beispiele.

  • Private Schlüssel für die Signatur: Der private Schlüssel im HSM entspricht in der Regel einem Zwischenzertifikat, das seinerseits von einem Offline-Unternehmens-Root signiert wird. Sie rotieren Schlüssel durch Ausgabe eines neuen Zwischenzertifikats. Erstellen Sie einen neuen privaten Schlüssel und generieren Sie den entsprechenden CSR mit OpenSSL auf CloudHSM. Signieren Sie den CSR danach mit dem gleichen Offline-Unternehmens-Root. Eventuell muss dieses neue Zertifikat bei allen Partnern registriert werden, die nicht automatisch die gesamte Zertifikatskette verifizieren. Danach signieren Sie alle neuen Anforderungen (z. B. für Dokumente, Code oder andere Zertifikate) mit dem privaten Schlüssel des neuen Zertifikats. Mit dem entsprechenden öffentlichen Schlüssel können Sie die Signaturen des ursprünglichen privaten Schlüssels aber nach wie vor verifizieren. Es ist kein Widerruf erforderlich. Der Prozess entspricht der Stilllegung oder Archivierung eines Signaturschlüssels.
  • Transparent Data Encryption (TDE) von Oracle: Ihre elektronische Börse können Sie transferieren, indem Sie zunächst von einem Hardware-Keystore (Ihrem bisherigen HSM) zu einem Software-Keystore und danach zurück zu einem Hardware-Keystore (CloudHSM) wechseln. Hinweis: Falls Sie Amazon RDS nutzen, lesen Sie die Antwort auf die Frage „Unterstützt CloudHSM Amazon RDS Oracle TDE?“ oben.
  • Symmetrischer Schlüssel für die Envelope-Verschlüsselung: Envelope-Verschlüsselung bezieht sich auf die Hauptarchitektur, in der ein Schlüssel im HSM viele Datenschlüssel auf dem Anwendungshost ver- bzw. entschlüsselt. Vermutlich verwenden Sie bereits einen Rotationsprozess, der die Datenschlüssel mit dem alten Wrapping-Schlüssel entschlüsselt und sie mit dem neuen Wrapping-Schlüssel verschlüsselt. Der einzige Unterschied bei der Migration besteht darin, dass der neue Wrapping-Schlüssel auf CloudHSM erstellt und verwendet wird und nicht mehr auf Ihrem bisherigen HSM. Falls Sie noch keinen Prozess (bzw. kein Tool) für die Schlüsselrotation eingerichtet haben, müssen Sie einen erstellen.

F: Was mache ich, wenn ich meine Schlüssel nicht rotieren kann?

Hier unterscheiden sich jedoch jede Anwendung und jeder Anwendungsfall. Lösungen für häufig auftretende Szenarien werden im Migrationsleitfaden für CloudHSM besprochen. Bei weiteren Fragen eröffnen Sie einen Supportfall mit Details Ihrer Anwendung, dem aktuell verwendeten HSM-Typ und dem verwendeten Schlüsseltyp. Geben Sie außerdem an, ob diese Schlüssel exportiert werden können. Wir helfen Ihnen bei der Entwicklung eines geeigneten Migrationspfads.

Support und Wartung

F: Gibt es bei AWS CloudHSM geplante Wartungsfenster?

Nein. Es kann jedoch vorkommen, dass AWS aufgrund von erforderlichen Upgrades oder Hardware-Fehlern Wartungsarbeiten durchführen muss. Wir bemühen uns, Sie vorab über das Personal Health Dashboard von solchen Wartungsarbeiten in Kenntnis zu setzen, falls wir davon ausgehen, dass sie sich auf Sie auswirken.

Bitte beachten Sie, dass es in Ihrer Verantwortung liegt, Ihr Cluster für eine hohe Verfügbarkeit zu entwickeln. AWS empfiehlt dringend, CloudHSM-Cluster mit zwei oder mehr HSMs in separaten Availability Zones zu verwenden. Weitere Informationen zu den empfohlenen Best Practices finden Sie in unserer Online-Dokumentation.

F: Ich habe ein Problem mit CloudHSM. Was soll ich tun?

Lösungen für häufig auftretende Probleme finden Sie in unserem Leitfaden zur Fehlerbehebung. Sollten die Probleme weiterhin auftreten, wenden Sie sich an den AWS Support.

Mehr über die Produktpreise erfahren

Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.

Weitere Informationen 
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Entwicklung in der Konsole starten

Beginnen Sie mit dem Aufbau von AWS CloudHSM in der AWS-Konsole.

Anmeldung