P: ¿Qué es AWS CloudHSM?

El servicio AWS CloudHSM lo ayuda a satisfacer los requisitos empresariales, contractuales y normativos vinculados con la seguridad de los datos mediante el uso de instancias de módulos de seguridad de hardware (HSM) dedicadas en la nube de AWS. Los socios de AWS y AWS Marketplace ofrecen una gama de soluciones para proteger la información confidencial en la plataforma de AWS, pero para algunas aplicaciones y datos sujetos a requisitos contractuales o normativos para la administración de las claves de cifrado, puede que se necesite una protección adicional. CloudHSM complementa las soluciones de protección de datos existentes y le permite proteger las claves de cifrado en los dispositivos HSM diseñados y aprobados de acuerdo con los estándares gubernamentales para la administración segura de las claves. CloudHSM le permite crear, almacenar y administrar de manera segura las claves de cifrado utilizadas para el cifrado de datos de forma que solo usted puede obtener acceso a dichas claves.

P: ¿Qué es un módulo de seguridad de hardware (HSM)?

Un módulo de seguridad de hardware (HSM) proporciona seguridad para el almacenamiento de claves y las operaciones criptográficas en una unidad de hardware resistente a manipulaciones. Los dispositivos HSM están diseñados para almacenar de forma segura el material relacionado con las claves criptográficas y para utilizar dicho material sin exponerlo fuera de los límites criptográficos del hardware.

P: ¿Qué puedo hacer con CloudHSM?

Puede utilizar el servicio CloudHSM para dar soporte a una variedad de casos de uso y aplicaciones, como el cifrado de bases de datos, la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la autenticación y autorización, la firma de documentos y el procesamiento de transacciones.

P: ¿Cómo funciona CloudHSM?

Al usar el servicio AWS CloudHSM, crea un clúster de AWS CloudHSM. Los clústeres pueden contener hasta 32 instancias de HSM individuales repartidas en varias zonas de disponibilidad, que se sincronizan y cuya carga se equilibra automáticamente. Usted dispone de acceso dedicado de un inquilino a cada instancia de HSM del clúster. Cada HSM aparece como un recurso de red en su Virtual Private Cloud (VPC). Como parte del aprovisionamiento, recibe credenciales de administrador para el clúster y puede crear otros usuarios y administradores según sea necesario. Para agregar y eliminar HSM del clúster, solo tiene que llamar a la API de AWS CloudHSM (o usar la línea de comandos en la CLI de AWS). Una vez creado e iniciado un clúster de AWS CloudHSM, puede configurar un cliente en su instancia de EC2 que permita a sus aplicaciones usar el clúster a través de una conexión de red segura y autenticada.

Los administradores de Amazon monitorizan el estado de sus HSM, pero no disponen de acceso para configurar, administrar o usarlos. Las aplicaciones utilizan API criptográficas estándar, junto con el software del cliente de HSM instalado en la instancia de la aplicación para enviar solicitudes criptográficas al HSM. El software de cliente mantiene un canal seguro a todos los HSM de su clúster y envía solicitudes en este canal. Los HSM realizan las operaciones y devuelven los resultados a través del canal seguro. A continuación, el cliente devuelve el resultado a la aplicación a través del API criptográfica.

P: No dispongo de VPC actualmente. ¿Puedo usar AWS CloudHSM?

No. Para proteger y aislar su CloudHSM de otros clientes de Amazon, el servicio CloudHSM debe aprovisionarse dentro de una VPC. La creación de una VPC es sencilla. Consulte la publicación VPC Getting Started Guide para obtener más información.

P: ¿Tiene mi aplicación que encontrarse en la misma VPC que el clúster de CloudHSM?

No, pero el servidor o la instancia en la que se ejecutan su aplicación y el cliente de HSM deben tener accesibilidad de red (IP) a todos los HSM del clúster. Hay numerosas maneras en las que puede establecer la conexión de red desde su aplicación al HSM. Por ejemplo, si ejecuta su aplicación en la misma VPC, con interconexiones de VPC, por medio de una conexión de VPN o mediante Direct Connect. Consulte la guía VPC Peering Guide y la guía de usuario VPC User Guide para obtener más detalles.

P: ¿Funciona CloudHSM con HSM on-premise?

Sí. Si bien CloudHSM no dispone de interoperabilidad directa con HSM on-premise, es posible mover o sincronizar claves entre ellos en función del caso de uso, el tipo de claves y el tipo de HSM on-premise. Para obtener ayuda, abra un caso de soporte técnico de AWS en la consola de AWS.

P: ¿Cómo puede mi aplicación utilizar CloudHSM?

Hemos integrado y probado CloudHSM con varias soluciones de software de terceros, como Oracle Database 11g y 12c, y servidores web, incluidos Apache y Nginx para la descarga SSL. Para obtener más información, consulte la Guía del usuario de CloudHSM.

Si está desarrollando su propia aplicación personalizada, esta puede utilizar las API estándar compatibles con CloudHSM, como PKCS#11 y Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). Próximamente, compatibilidad con Microsoft CAPI/CNG. Consulte la Guía del usuario de CloudHSM para ver ejemplos de código y obtener ayuda para ponerse en marcha.

P: ¿Puedo utilizar CloudHSM para almacenar claves o cifrar datos que utilizan otros servicios de AWS?

Sí. Puede realizar todo el cifrado en su aplicación integrada con CloudHSM. En este caso, los servicios de AWS como S3 o EBS solo verían los datos cifrados.

P: ¿Pueden otros servicios de AWS usar CloudHSM para almacenar y administrar claves?

En la actualidad, los servicios de AWS no se integran con CloudHSM directamente. Si desea usar la criptografía del lado del servidor que ofrecen numerosos servicios de AWS (como EBS, S3 o RDS), debería considerar AWS Key Management Service. En el futuro, es posible que integremos CloudHSM con otros servicios de AWS. Si le interesa este tema, infórmenos.

P: ¿Se puede utilizar CloudHSM para realizar la traducción en bloque del número de identificación personal (PIN) o cualquier otra operación de cifrado que se utilice con las transacciones de pago por débito?

Actualmente, CloudHSM ofrece HSM de uso general. En el futuro, es posible que ofrezcamos funciones de pago. Si le interesa este tema, infórmenos.

P: ¿Cómo se compara AWS Key Management Service (KMS) con AWS CloudHSM?

AWS Key Management Service (KMS) es un servicio administrado multiinquilino que la permite usar y administrar claves de cifrado. Ambos servicios ofrecen un alto nivel de seguridad para sus claves criptográficas. AWS CloudHSM proporciona un HSM FIPS 140-2 de nivel 3 al que usted controla totalmente, directamente en su Amazon Virtual Private Cloud (VPC).

P: ¿Cuándo debería usar AWS CloudHSM en lugar de AWS KMS?

Debería considerar el uso de AWS CloudHSM si necesita:

  • Claves almacenadas en módulos de seguridad de hardware dedicados y validados de terceros bajo su control exclusivo.
  • Conformidad con FIPS 140-2.
  • Integración con aplicaciones usando interfaces de PKCS#11, Java JCE o Microsoft CNG.
  • Aceleración criptográfica de alto desempeño en VPC (cifrado por lotes).

P: ¿Se eliminarán mis HSM basados en Safenet?

No. Mientras que consideramos que el conjunto de características y el costo del nuevo servicio CloudHSM constituyen una alternativa mucho más atractiva, mantendremos AWS CloudHSM Classic para los clientes existentes. Los recursos estarán disponibles en breve para ayudar en la migración de CloudHSM Classic al nuevo servicio.

P: ¿Cómo comienzo a usar CloudHSM?

Puede aprovisionar un clúster de CloudHSM en la consola de CloudHSM, o a través de unas pocas llamadas a la API mediante el SDK o la API de AWS. Consulte la Guía del usuario de CloudHSM para obtener información sobre cómo comenzar, la documentación de CloudHSM para obtener información sobre el API de CloudHSM o la página Herramientas para Amazon Web Services para obtener más información sobre el SDK.

P: ¿Cómo puedo cancelar el servicio CloudHSM?

Puede usar la API o el SDK de CloudHSM para eliminar sus HSM y dejar de usar el servicio. Consulte la guía de usuario CloudHSM User Guide para obtener información más detallada.

P: ¿Cómo se me cobrará y facturará por el uso que haga del servicio AWS CloudHSM?

Se le cobrará una tarifa por hora por cada hora (u hora parcial) durante la que se aprovisione un HSM en un clúster de CloudHSM. Los clústeres sin HSM no se cobran, ni se le cobra el almacenamiento automático de los backups cifrados. Amazon se reserva el derecho de realizar cargos por transferencias de datos a través de la red que superen los 5 000 GB al mes dentro y fuera del servicio AWS CloudHSM. Para obtener más información, visite la página de precios de CloudHSM.

P: ¿El servicio CloudHSM incluye una capa gratuita?

No, no existe ninguna capa gratuita para CloudHSM.

P: ¿Existe algún requisito previo para inscribirse en CloudHSM?

Sí. Es necesario cumplir ciertos requisitos para poder comenzar a utilizar CloudHSM como, por ejemplo, tener una Virtual Private Cloud (VPC) en la región en la que desee ubicar el servicio CloudHSM. Consulte la guía de usuario CloudHSM User Guide para obtener más detalles.

P: Tengo que administrar el firmware en mi HSM?

No. AWS administra el firmware en el hardware. Un tercero se encarga de mantener el firmware. Además, NIST evalúa la conformidad con FIPS 140-2 de nivel 3 de todo firmware. Solo se puede instalar el firmware que dispone de una firma criptográfica de la clave FIPS (a la que AWS no tiene acceso).

P: ¿De cuántos HSM debería disponer en mi clúster de CloudHSM?

AWS aconseja encarecidamente que disponga al menos de dos HSM en dos zonas de disponibilidad distintas para cualquier carga de producción. Para cargas de trabajo críticas, recomendamos que disponga de al menos tres HSM en dos zonas de disponibilidad como mínimo. El cliente de CloudHSM administrará automáticamente cualquier fallo en los HSM y equilibrará la carga entre dos o más HSM de manera transparente a su aplicación.

P: ¿Quién es el responsable de administrar la duración de las claves?

AWS realiza backups cifrados automáticos de su clúster de CloudHSM una vez al día, y backups adicionales cuando se producen eventos del ciclo de vida del clúster (como agregar o eliminar un HSM). Durante el periodo de 24 horas entre backups, usted es responsable de la durabilidad del material de las claves creado o importado en su clúster. Recomendamos encarecidamente que se asegure de que cualquier clave creada se sincroniza en al menos dos HSM en dos zonas de disponibilidad distintas para garantizar la durabilidad de las claves. Para obtener más detalles sobre como verificar la sincronización de las claves, consulte la Guía del usuario de CloudHSM.

P: ¿Cómo puedo establecer una configuración de alta disponibilidad?

La alta disponibilidad se proporciona automáticamente cuando dispone de al menos dos HSM en su clúster de CloudHSM. No se necesita ninguna configuración adicional. En el caso de que se produzca un fallo en un HSM de su clúster, se sustituirá automáticamente, y se actualizarán todos los clientes para reflejar la nueva configuración sin interrumpir el procesamiento. Se pueden agregar HSM adicionales al clúster mediante la API o el SDK de AWS, incrementando la disponibilidad sin interrumpir la aplicación.

P: ¿Cuántos HSM se pueden conectar en un clúster de CloudHSM?

Un solo clúster de CloudHSM puede contener hasta 32 HSM.

P: ¿Puedo realizar backups del contenido de un CloudHSM?

AWS realiza backups de su clúster de CloudHSM una vez al día. También es posible exportar claves ("ajustadas") desde su clúster y almacenarlas on-premise, siempre y cuando no se generen en formato "no exportable". En la actualidad, no existe ninguna otra opción de backup disponible, aunque esperamos proporcionar capacidades de backup on-premise más exhaustivas próximamente.

P: ¿Existe algún contrato de nivel de servicio para CloudHSM?

En la actualidad no existe ningún contrato de nivel de servicio para CloudHSM.

P: ¿Comparto mi CloudHSM con otros clientes de AWS?

No. Como parte del servicio, recibe acceso de un inquilino al HSM. Puede compartir el hardware subyacente con otros clientes, pero solo usted puede acceder al HSM.

P: ¿Cómo administra AWS el dispositivo HSM sin obtener acceso a mis claves de cifrado?

La división de controles y el control de acceso basado en funciones es inherente al diseño de CloudHSM. AWS dispone de una credencial limitada al HSM que nos permite monitorizar y mantener el estado y la disponibilidad del HSM, realizar backups cifrados, y extraer y publicar logs de auditoría en CloudWatch Logs. AWS no puede ver ni usar las claves ni acceder a ellas. Tampoco puede hacer que el HSM realice ninguna operación criptográfica con sus claves.

Consulte la Guía del usuario de CloudHSM para obtener más información sobre la división de controles y las capacidades que cada clase de usuario posee en el HSM.

P: ¿Puedo monitorizar mi HSM?

Sí. CloudHSM publica varias métricas de CloudWatch para clústeres de CloudHSM e instancias de HSM individuales. Puede usar la consola de, la API o el SDK de AWS CloudWatch para obtener estas métricas o crear alarmas sobre ellas.

P: ¿Cuál es el origen de entropía (origen de la aleatoriedad) de CloudHSM?

Cada HSM cuenta con un generador de bits aleatorios determinista (DRBG validado por FIPS) enviado por un generador de número aleatorio verdadero (TRNG) en el módulo de hardware HSM conforme a SP800-90B. Se trata de un origen de entropía de alta calidad capaz de producir 20 Mb/s de entropía por HSM.

P: ¿Qué sucede si alguien intenta obtener acceso al hardware HSM?

CloudHSM cuenta con mecanismos de detección de manipulaciones y respuesta físicos y lógicos que activan la eliminación de claves (reinicio) del hardware. El hardware está diseñado para detectar manipulaciones si se infringe la barrera física. Las instancias de HSM también están protegidas contra ataques de inicio por fuerza bruta. Una vez excedido un número determinado de intentos fallidos para obtener acceso a un HSM con credenciales de un oficial criptográfico (CO), la instancia de HSM se autorreiniciará. Una vez excedido un número determinado de intentos fallidos para obtener acceso a un HSM con credenciales de un usuario criptográfico (CU), el usuario se bloqueará y un CO deberá desbloquearlo.

P: ¿Qué sucede en caso de error?

Amazon monitoriza y realiza las tareas de mantenimiento del HSM y la red para comprobar la disponibilidad y si se han producido errores. Si se produce un fallo en un HSM o se pierde la conexión a la red, el HSM se sustituye automáticamente. Puede comprobar el estado de un HSM concreto a través del API, el SDK o las herramientas de la CLI de CloudHSM y comprobar el estado general del servicio en cualquier momento mediante el Panel de estado del servicio de AWS.

P: ¿Puedo perder mis claves si falla una única instancia de HSM?

Sí. Es posible perder claves creadas desde el último backup diario si se produce un fallo en el clúster de CloudHSM que está utilizando y no dispone de dos o más HSM. Amazon recomienda encarecidamente que disponga de dos o más HSM en distintas zonas de disponibilidad para cualquier clúster de CloudHSM de producción con el fin de evitar la pérdida de claves criptográficas.

P: Si pierdo las credenciales para el HSM, ¿Amazon puede recuperar mis claves?

No. Amazon no tiene acceso ni a sus claves ni a sus credenciales, por lo que no puede recuperar sus claves si pierde sus credenciales.

P: ¿Cómo sé que puedo confiar en CloudHSM?

CloudHSM está creado en hardware validado por la Norma de Procesamiento de Información Federal (FIPS) 140-2 de nivel 3. Puede encontrar el perfil de seguridad de FIPS 140-2 del hardware que utiliza CloudHSM aquí: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

P: ¿El servicio CloudHSM es compatible con FIPS 140-2 Nivel 3?

Sí, CloudHSM suministra HSM que cumplen los requisitos de FIPS 140-2 de nivel 3. Puede leer el procedimiento en la Guía del usuario de CloudHSM en la sección Verify the Authenticity of Your HSM para confirmar que dispone de un HSM auténtico con el mismo modelo de hardware que se especifica en la política de seguridad NIST descrita en la pregunta anterior.

P: ¿Cómo puedo utilizar CloudHSM en modo FIPS 140-2?

CloudHSM siempre se encuentra en modo FIPS 140-2. Puede verificarlo utilizando las herramientas de la CLI, tal y como se documenta en la Guía del usuario de CloudHSM y ejecutando el comando getHsmInfo, que indicará el estado del modo FIPS.

P: ¿Cómo puedo distribuir de forma segura una credencial de partición de HSM en mis instancias?

Consulte la siguiente publicación del Blog de seguridad de AWS que describe el uso de funciones IAM para distribuir credenciales que no son de AWS en sus instancias EC2.

P: ¿Puedo obtener el historial de todas las llamadas al API de CloudHSM realizadas desde mi cuenta?

Sí. AWS CloudTrail registra las llamadas a las API de AWS de su cuenta. El historial de llamadas a las API de AWS creado por CloudTrail permite realizar análisis de seguridad, un seguimiento de los cambios en los recursos y auditorías de conformidad. Obtenga más información sobre CloudTrail en la página de inicio de CloudTrail y habilítelo a través de la Consola de administración de AWS de CloudTrail.

P: ¿Qué eventos no se registran en CloudTrail?

CloudTrail no incluye ninguno de los dispositivos ni logs de acceso de HSM. CloudWatch Logs se los proporciona directamente a su cuenta de AWS. Para obtener más información, consulte la Guía del usuario de CloudHSM.

P: ¿Qué iniciativas de conformidad de AWS disponen de CloudHSM?

Consulte la página sobre conformidad de AWS para obtener más información sobre los programas de conformidad que cubren a CloudHSM. A diferencia de otros servicios de AWS, los requisitos de conformidad de CloudHSM suelen cumplirse a través de la validación FIPS 140-2 de nivel 3 del hardware, en lugar de formar parte de un programa de auditoría independiente.

P: ¿Cuál es la importancia de la norma FIPS 140-2 de nivel 3?

La norma FIPS 140-2 de nivel 3 es un requisito de determinados casos de uso, incluida la firma de documentos, los pagos o ejercer como autoridad certificadora pública para la emisión de certificados SSL.

P: ¿Cómo puedo solicitar informes de conformidad que incluyan CloudHSM?

Puede solicitar los informes de conformidad a su representante de Desarrollo empresarial. Si no cuenta con uno, puede solicitarlo aquí.

P: ¿Cuántas operaciones criptográficas puede realizar CloudHSM por segundo?

El desempeño de los HSM individuales varía en función de la carga de trabajo específica. La tabla de debajo muestra el desempeño aproximado de HSM individuales para varios algoritmos criptográficos comunes. Cada clúster de CloudHSM puede disponer de un máximo de 28 HSM, lo que equivale aproximadamente a 28 veces el desempeño de la siguiente tabla. El desempeño pude variar en función de la configuración exacta y los tamaños de los datos, por lo que recomendamos que realice pruebas de carga de su aplicación con CloudHSM para determinar las necesidades concretas de escalado.

Firma/verificación RSA de 2048 bits

1 100/s

EC P256

315 puntos mul/s

AES 256

Cifrado por lotes dúplex 300 Mb/s

Generación de claves RSA de 2048 bits

~0,5/s

Generación de números aleatorios (CSPRNG)

20 Mb/s

P: ¿Cuántas claves se pueden almacenar en una instancia de CloudHSM?

Un clúster de CloudHSM puede almacenar un máximo de 3 500 claves de cualquier tipo o tamaño.

P: ¿Es CloudHSM compatible con Amazon RDS Oracle TDE?

No. No se admite Amazon RDS Oracle TDE. Sin embargo, se admite Oracle TDE para bases de datos de Oracle (11g y 12c) en EC2. Para más información, consulte la Guía del usuario de CloudHSM.

P: ¿Qué es el cliente de CloudHSM?

El cliente de CloudHSM es un paquete de software provisto por AWS que le permite a usted y sus aplicaciones interactuar con los clústeres de CloudHSM.

P: ¿Proporciona el cliente de CloudHSM acceso a AWS a mi clúster de CloudHSM?

No. El cliente de CloudHSM es de código abierto y se publica bajo licencia BSD. La distribución del código completo se encuentra disponible bajo solicitud y se puede crear usando sus propias herramientas de compilación. Por comodidad, suministramos un RPM binario por defecto.

P: ¿Qué son las herramientas de la interfaz de línea de comandos (CLI) de CloudHSM?

El cliente de CloudHSM incluye un conjunto de herramientas de CLI que le permiten administrar y usar el HSM desde la línea de comandos. Compatibilidad vigente con Linux y Microsoft Windows. Existen planes previstos para incorporar la compatibilidad con Apple macOS. Las herramientas están disponibles en el mismo paquete que el cliente de CloudHSM.

P: ¿Cómo puedo descargarme las herramientas de la interfaz de línea de comandos de CloudHSM y comenzar a utilizarlas?

Consulte las instrucciones en la Guía del usuario de CloudHSM.

P: Las herramientas de la interfaz de línea de comandos de CloudHSM, ¿proporcionan acceso a AWS al contenido del HSM?

No. Las herramientas de CloudHSM se comunican directamente con su clúster de CloudHSM a través del cliente de CloudHSM mediante un canal seguro y mutuamente autenticado. AWS no puede observar ninguna comunicación entre el cliente, las herramientas y los HSM, está cifrado de principio a fin.

P: ¿En qué sistemas operativos puedo usar el cliente y las herramientas de la CLI de CloudHSM?

En la actualidad, existe compatibilidad con varias versiones de Linux (versiones modernas de Amazon Linux, Redhat, Centos y Ubuntu) y Microsoft Windows. Existen planes previstos para incorporar la compatibilidad con Apple macOS. Infórmenos si hay otros sistemas operativos en los que desearía utilizar el cliente y las herramientas de la CLI de CloudHSM.

P: ¿Cuáles son los requisitos de conectividad de red para utilizar las herramientas de la interfaz de línea de comandos de CloudHSM?

El host en el que ejecuta el cliente de CloudHSM y/o utiliza las herramientas de la CLI debe poder comunicarse por red con todos los demás HSM de su clúster de CloudHSM.

P: ¿Qué puedo hacer con la API y el SDK de CloudHSM?

Puede crear, modificar, eliminar y obtener el estado de HSM y clústeres de CloudHSM. Lo que puede hacer con la API de AWS CloudHSM está limitado a las operaciones que AWS puede realizar con su acceso restringido. La API no puede acceder a los contenidos del HSM o modificar usuarios, políticas ni ningún otro ajuste. Consulte la Guía para desarrolladores de CloudHSM para obtener información sobre la API o la página Herramientas para Amazon Web Services para obtener más información sobre el SDK.

P: ¿De qué manera debo planificar una migración a CloudHSM?

En primer lugar, asegúrese de que los algoritmos y modos necesarios sean compatibles con CloudHSM. De ser necesario, el administrador de cuentas puede enviarnos solicitudes de características. A continuación, defina una estrategia de rotación de claves. Las sugerencias para casos de uso comunes se encuentran en la siguiente sección de preguntas y respuestas. Ya está listo para comenzar a usar el nuevo CloudHSM. Tenga en cuenta que las particiones de CloudHSM Classic son equivalentes a los usuarios criptográficos (CU) en el nuevo CloudHSM.

P: ¿De qué manera puedo rotar mis claves?

La estrategia de rotación dependerá del tipo de aplicación. A continuación se muestran los ejemplos más comunes.  

  • Claves privadas para firma: generalmente, la clave privada del HSM corresponde a un certificado intermedio, que a su vez es firmado por una raíz de empresa sin conexión. Rotará claves mediante la emisión de un nuevo certificado intermedio. Cree una clave privada nueva y genere la CSR correspondiente con OpenSSL en CloudHSM. A continuación, firme la CSR con la misma raíz de empresa sin conexión. Es posible que tenga que registrar este certificado nuevo con cualquier socio que no verifique automáticamente la cadena de certificados completa. Posteriormente, firmaría todas las solicitudes nuevas (como para documentos, código u otros certificados) con la nueva clave privada correspondiente al certificado nuevo. Puede continuar verificando las firmas desde la clave privada original con la clave pública correspondiente. No es necesario hacer una revocación. Este proceso es equivalente al proceso que seguiría para eliminar o archivar una clave de firma.
  • Cifrado de datos transparente de Oracle: puede transferir su cartera mediante, primero, el cambio de un almacén de claves de hardware (su HSM original) por un almacén de software y, a continuación, de vuelta a un almacén de claves de hardware (el nuevo CloudHSM).
  • Clave simétrica para cifrado de sobres: el cifrado de sobres se refiere a la arquitectura de claves en la que una clave del HSM cifra/descifra muchas claves de datos en el host de aplicación. Probablemente, ya cuenta con un proceso de rotación de claves definido para revisar y descifrar las claves de datos con la clave de encapsulación anterior y volver a cifrarlas con la clave de encapsulación nueva. La única diferencia durante la migración será que la clave de encapsulación nueva se creará y usará en CloudHSM en vez de en el HSM original. Si aún no cuenta con un proceso y una herramienta de rotación de claves definidos, deberá crearlos.

P: ¿Qué sucede si no puedo rotar las claves?

En algunos casos, podrá migrar las claves desde su HSM existente al nuevo CloudHSM. Cada aplicación y caso de uso es diferente. Abra un caso de soporte con los detalles de su aplicación, el tipo de claves que está usando y si son exportables o no. Lo ayudaremos a definir una ruta de migración adecuada.

P: ¿Cómo se realiza el mantenimiento periódico en las instancias de HSM?

El procedimiento de mantenimiento periódico de AWS para CloudHSM se diseñó para evitar tiempos de inactividad simultáneos en varias zonas de disponibilidad de la misma región.

AWS monitoriza y mantiene las instancias de HSM. Es posible que debamos retirar de servicio una instancia de HSM para realizar actualizaciones, reemplazos o pruebas. Estas operaciones deberían tardar menos de veinte minutos si se trata de un reemplazo y, en circunstancias normales, no deberían afectar el desempeño de su clúster de CloudHSM. Cualquier aplicación que use activamente un HSM específico en el clúster podría experimentar una interrupción temporal si este se sustituye mientras el cliente de CloudHSM intenta realizar la operación de nuevo en un HSM distinto del clúster.

AWS no realizará un mantenimiento periódico en los HSM en varias zonas de disponibilidad de la misma región durante el mismo período de 24 horas.

Bajo circunstancias imprevistas, es posible que AWS realice tareas de mantenimiento urgentes sin previo aviso. AWS procurará evitar este caso, así como las situaciones en las que se realicen tareas de mantenimiento urgentes en los HSM durante el mismo período de 24 horas en varias zonas de disponibilidad de la misma región.

AWS recomienda encarecidamente que use clústeres de CloudHSM con dos o más HSM en zonas de disponibilidad distintas para evitar cualquier posible interrupción.

P: Tengo un problema con CloudHSM. ¿Qué debo hacer?

Contacte con AWS Support.


Si tiene cualquier duda sobre AWS CloudHSM Classic, consulte las preguntas frecuentes sobre AWS CloudHSM Classic.