Publicado en: Nov 26, 2018
AWS Key Management Service (KMS) se ha integrado con AWS CloudHSM, de modo que ahora usted tiene la opción de crear su propio almacenamiento de claves personalizadas de KMS. Cada almacenamiento de claves personalizadas es respaldado por un clúster de AWS CloudHSM y le permite generar, almacenar y utilizar sus claves de KMS en módulos de seguridad de hardware (HSM) que puede controlar. El almacenamiento de claves personalizadas de KMS ayuda a satisfacer las obligaciones de cumplimiento que, de otro modo, requerirían el uso de HSM locales y admite servicios de AWS y conjuntos de herramientas de cifrado que están integrados con KMS.
Con esta nueva función, puede generar las claves principales de clientes (CMKs) del KMS de AWS y almacenarlas en un almacenamiento de claves personalizadas en lugar de hacerlo en el almacenamiento de claves del KMS predeterminado. Cada almacenamiento de claves personalizadas del KMS se crea utilizando instancias de HSM en un clúster de AWS CloudHSM que usted posee y puede administrar independientemente del KMS. Cuando utiliza una CMK del KMS en un almacenamiento de claves personalizadas, las operaciones criptográficas bajo esa clave se realizan exclusivamente en su clúster de CloudHSM. Las claves principales que se almacenan en un almacenamiento de claves personalizadas se administran de la misma manera que cualquier otra clave principal en el KMS y las puede utilizar cualquier servicio de AWS que cifre datos y admita CMK administradas por el cliente del KMS.
La utilización de un almacenamiento de claves personalizadas no afecta los cargos de KMS por almacenar y usar una CMK. Sin embargo, un almacenamiento de claves personalizadas sí implica el costo adicional que supone mantener un clúster de CloudHSM con al menos dos HSM. Consulte Precios de AWS CloudHSM.
Para obtener más información, visite la sección de Preguntas frecuentes sobre el almacenamiento de claves personalizadas de KMS y para obtener orientación sobre si los almacenamientos de claves personalizadas son una buena opción para sus necesidades, puede leer este blog.