Aspectos generales

P: ¿Qué es AWS CloudHSM?

El servicio AWS CloudHSM lo ayuda a cumplir los requisitos empresariales, contractuales y normativos vinculados con la seguridad de los datos mediante el uso de instancias de módulos de seguridad de hardware (HSM) exclusivas en la nube de AWS. Los socios de AWS y AWS Marketplace ofrecen una gama de soluciones para proteger la información confidencial en la plataforma de AWS, pero para algunas aplicaciones y datos sujetos a requisitos contractuales o normativos para la administración de las claves de cifrado, puede que se necesite una protección adicional. CloudHSM complementa las soluciones de protección de datos existentes y le permite proteger las claves de cifrado en los dispositivos HSM diseñados y aprobados de acuerdo con los estándares gubernamentales para la administración segura de las claves. CloudHSM le permite crear, almacenar y administrar de manera segura las claves criptográficas utilizadas para el cifrado de datos de forma que solo usted pueda obtener acceso a ellas.

P: ¿Qué es un módulo de seguridad de hardware (HSM)?

Un módulo de seguridad de hardware (HSM) proporciona seguridad para el almacenamiento de claves y las operaciones criptográficas en una unidad de hardware resistente a manipulaciones. Los dispositivos HSM están diseñados para almacenar de forma segura el material relacionado con las claves criptográficas y para utilizar dicho material sin exponerlo fuera de los límites criptográficos del hardware.

P: ¿Qué puedo hacer con CloudHSM?

Puede utilizar el servicio CloudHSM para respaldar una variedad de casos de uso y aplicaciones, como el cifrado de bases de datos, la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la autenticación y autorización, la firma de documentos y el procesamiento de transacciones.

P: ¿Cómo funciona CloudHSM?

Cuando usa el servicio de AWS CloudHSM crea un clúster de AWS CloudHSM. Los clústeres pueden contener varios HSM, ampliarse en múltiples zonas de disponibilidad en una región. Los HSM en un clúster están automáticamente sincronizadas y con carga equilibrada. Dispone de acceso de un inquilino dedicado a cada HSM en su clúster. Cada HSM aparece como un recurso de red en su Amazon Virtual Private Cloud (VPC). Para agregar y eliminar HSM del clúster, solo tiene que llamar a la API de AWS CloudHSM (o usar la línea de comandos en la CLI de AWS). Una vez creado e iniciado un clúster de CloudHSM, puede configurar un cliente en su instancia EC2 que permita a sus aplicaciones usar el clúster a través de una conexión de red segura y autenticada.

El servicio monitorea automáticamente el estado de sus HSM, pero ningún personal de AWS tiene acceso a sus claves o datos. Las aplicaciones utilizan las API criptográficas estándar, junto con el software del cliente de HSM instalado en la instancia de la aplicación para enviar solicitudes criptográficas al HSM. El software de cliente mantiene un canal seguro a todos los HSM de su clúster y envía solicitudes en este canal. Los HSM realizan las operaciones y devuelven los resultados a través del canal seguro. A continuación, el cliente devuelve el resultado a la aplicación a través de la API criptográfica.

P: No dispongo de una VPC actualmente. ¿Puedo usar AWS CloudHSM de todas maneras?

No. Para proteger y aislar AWS CloudHSM de otros clientes de Amazon, el servicio CloudHSM debe aprovisionarse dentro de una Amazon VPC. Crear una VPC es sencillo. Consulte la Guía de introducción a VPC para obtener más información.

P: ¿Mi aplicación debe encontrarse en la misma VPC que el clúster de CloudHSM?

No, pero el servidor o la instancia en la que se ejecutan su aplicación y el cliente de HSM deben tener accesibilidad de red (IP) a todos los HSM del clúster. Hay numerosas maneras en las que puede establecer la conexión de red desde su aplicación al HSM. Por ejemplo, si ejecuta su aplicación en la misma VPC, con interconexiones de VPC, por medio de una conexión de VPN o mediante Direct Connect. Consulte la Guía de interconexión de VPC y la Guía del usuario de VPC para leer más detalles.

P: ¿CloudHSM funciona con HSM local?

Sí. Mientras que CloudHSM no interopere directamente con HSM locales, puede transmitir de forma segura las claves exportables entre CloudHSM y los HSM más comerciales usando uno o varios métodos de protección de claves RSA admitidos.   

P: ¿Cómo puede mi aplicación utilizar CloudHSM?

Hemos integrado y probado CloudHSM con varias soluciones de software de terceros, como Oracle Database 11g y 12c, y servidores web, incluidos Apache y Nginx para la descarga SSL. Para obtener más información, consulte la Guía del usuario de CloudHSM.

Si desarrolla su propia aplicación personalizada, la aplicación puede utilizar las API estándar compatibles con CloudHSM, como PKCS#11 y Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions) o Microsoft CAPI/CNG. Consulte la Guía del usuario de CloudHSM para ver ejemplos de código y obtener ayuda para ponerse en marcha.

Si está migrando una carga de trabajo existente desde CloudHSM Classic o desde HSM local a CloudHSM, nuestra Guía de migración a CloudHSM proporciona información sobre cómo planear y ejecutar la migración.

P: ¿Puedo utilizar CloudHSM para almacenar claves o cifrar datos que utilizan otros servicios de AWS?

Sí. Puede realizar todo el cifrado en su aplicación integrada con CloudHSM. En este caso, los servicios de AWS como Amazon S3 o Amazon Elastic Block Store (EBS) solo verían los datos cifrados.

P: ¿Pueden otros servicios de AWS usar CloudHSM para almacenar y administrar claves?

Los servicios de AWS se integran con AWS Key Management Service, que a su vez se integra con AWS CloudHSM a través de la función de almacén de claves personalizadas de KMS. Si desea usar el cifrado desde el servidor que ofrecen muchos servicios de AWS (como EBS, S3 o Amazon RDS), puede hacerlo configurando un almacén de claves personalizado en AWS KMS.

P: ¿Se puede utilizar CloudHSM para realizar la traducción en bloque del número de identificación personal (PIN) o cualquier otra operación de cifrado que se utilice con las transacciones de pago por débito?

Actualmente, CloudHSM ofrece HSM de uso general. En el futuro, es posible que ofrezcamos funciones de pago. Si le interesa este tema, infórmenos.

P: ¿Cómo comienzo a usar CloudHSM?

Puede aprovisionar un clúster de CloudHSM en la consola de CloudHSM, o a través de unas pocas llamadas a la API mediante el SDK o la API de AWS. Consulte la Guía del usuario de CloudHSM para obtener información sobre cómo comenzar, la documentación de CloudHSM para obtener información sobre la API de CloudHSM o la página Herramientas para Amazon Web Services para obtener más información sobre el SDK.

P: ¿Cómo puedo cancelar el servicio de CloudHSM?

Puede usar la consola, la API o el SDK de CloudHSM para eliminar sus HSM y dejar de usar el servicio. Consulte la guía de usuario de CloudHSM para obtener información más detallada.

Facturación

P: ¿Cómo se me cobrará y facturará por el uso que haga del servicio AWS CloudHSM?

Se le cobrará una tarifa por hora por cada hora (u hora parcial) durante la que se aprovisione un HSM en un clúster de CloudHSM. Los clústeres sin HSM no se cobran, ni se le cobra el almacenamiento automático de las copias de seguridad cifradas. Para obtener más información, visite la página de precios de CloudHSM. Tenga en cuenta que las transferencias de datos de red hacia y desde sus HSM se cobran por separado. Si desea obtener más información, consulte los precios de transferencia de datos para EC2.

P: ¿El servicio CloudHSM incluye una capa gratuita?

No, no existe ninguna capa gratuita para CloudHSM.

P: ¿Los cargos varían en función del número de usuarios o de las claves que cree en mi HSM?

No, la tarifa por hora, que varía en función de la región, no depende del uso que se haga del HSM.

P: ¿Ofrece precios de las instancias reservadas para CloudHSM?

No, no ofrecemos precios de las instancias reservadas para CloudHSM.

Aprovisionamiento y operaciones

P: ¿Existe algún requisito previo para utilizar CloudHSM?

Sí. Es necesario cumplir ciertos requisitos para poder comenzar a utilizar CloudHSM como, por ejemplo, tener una Virtual Private Cloud (VPC) en la región en la que desee ubicar el servicio CloudHSM. Consulte la guía de usuario de CloudHSM para leer más detalles.

P: Tengo que administrar el firmware en mi HSM?

No. AWS administra el firmware en el hardware. Un tercero se encarga de mantener el firmware. Además, NIST evalúa la conformidad con FIPS 140-2 de nivel 3 de todo firmware. Solo se puede instalar el firmware que dispone de una firma criptográfica de la clave FIPS (a la que AWS no tiene acceso).

P: ¿De cuántos HSM debería disponer en mi clúster de CloudHSM?

AWS aconseja encarecidamente que disponga de al menos de dos HSM en dos zonas de disponibilidad distintas para cualquier carga de producción. Para cargas de trabajo críticas, recomendamos que disponga de al menos tres HSM en dos zonas de disponibilidad como mínimo. El cliente de CloudHSM administrará automáticamente cualquier error en los HSM y equilibrará la carga entre dos o más HSM de manera transparente a su aplicación.

P: ¿Quién es el responsable de administrar la duración de las claves?

AWS realiza copias de seguridad cifradas automáticas de su clúster de CloudHSM una vez al día, y copias de seguridad adicionales cuando se producen eventos del ciclo de vida del clúster (como agregar o eliminar un HSM). Durante el período de 24 horas entre copias de seguridad, usted es responsable de la durabilidad del material de las claves creado o importado en su clúster. Recomendamos encarecidamente que se asegure de que cualquier clave creada se sincronice en al menos dos HSM en dos zonas de disponibilidad distintas para garantizar la durabilidad de las claves. Para obtener más detalles sobre como verificar la sincronización de las claves, consulte la Guía del usuario de CloudHSM.

P: ¿Cómo puedo establecer una configuración de alta disponibilidad?

La alta disponibilidad se proporciona automáticamente cuando dispone de al menos dos HSM en su clúster de CloudHSM. No se necesita ninguna configuración adicional. En el caso de que se produzca un error en un HSM de su clúster, se sustituirá automáticamente, y se actualizarán todos los clientes para reflejar la nueva configuración sin interrumpir el procesamiento. Se pueden agregar HSM adicionales al clúster mediante la API o el SDK de AWS, lo que permite incrementar la disponibilidad sin interrumpir la aplicación.

P: ¿Cuántos HSM puede contener un clúster de CloudHSM?

Un único clúster de CloudHSM puede contener hasta 28 HSM, sujeto a límites de servicio de la cuenta. Puede obtener más información sobre los límites del servicio y la forma de solicitar un incremento del límite en nuestra documentación en línea.

P: ¿Puedo realizar copias de seguridad del contenido de un CloudHSM?

AWS realiza copias de seguridad de su clúster de CloudHSM una vez al día. También es posible exportar claves (“ajustadas”) desde su clúster y almacenarlas en las instalaciones, siempre y cuando no se generen en formato “no exportable”.

P: ¿Existe algún acuerdo de nivel de servicios para CloudHSM?

Sí, puede encontrar el acuerdo de nivel de servicio (SLA) de AWS CloudHSM aquí.

Seguridad y conformidad

P: ¿Comparto mi CloudHSM con otros clientes de AWS?

No. Como parte del servicio, recibe acceso de un inquilino al HSM. Puede compartir el hardware subyacente con otros clientes, pero solo usted puede obtener acceso al HSM.

P: ¿Cómo administra AWS el dispositivo HSM sin obtener acceso a mis claves de cifrado?

La división de controles y el control de acceso basado en roles es inherente al diseño de CloudHSM. AWS posee una credencial limitada para el HSM que nos permite monitorear y mantener el estado y la disponibilidad del HSM, realizar copias de seguridad cifradas y extraer y publicar registros de auditorías en su CloudWatch Logs, AWS no tiene acceso a ninguna clave o datos dentro de su clúster de CloudHSM y no puede desempeñar ninguna operación más que aquellas permitidas por un usuario del dispositivo de HSM.

Consulte la Guía del usuario de CloudHSM para obtener más información sobre la división de controles y las capacidades que cada clase de usuario posee en el HSM.

P: ¿Puedo monitorear mi HSM?

Sí. CloudHSM publica varias métricas de CloudWatch para clústeres de CloudHSM y HSM individuales. Puede usar la consola, la API o el SDK de AWS CloudWatch para obtener estas métricas o crear alarmas asociadas con ellas.

P: ¿Cuál es el origen de entropía (origen de la aleatoriedad) de CloudHSM?

Cada HSM cuenta con un generador de bits aleatorios determinista (DRBG validado por FIPS) enviado por un generador de número aleatorio verdadero (TRNG) en el módulo de hardware HSM que cumple los requisitos de SP800-90B. Se trata de un origen de entropía de alta calidad capaz de producir 20 Mb/s de entropía por HSM.

P: ¿Qué sucede si alguien intenta obtener acceso al hardware del HSM?

CloudHSM cuenta con mecanismos de detección de manipulaciones y respuesta físicos y lógicos que activan la eliminación de claves (reinicio) del hardware. El hardware está diseñado para detectar manipulaciones si se infringe la barrera física. Los HSM también están protegidos contra ataques de inicio por fuerza bruta. Una vez excedido un número determinado de intentos fallidos para obtener acceso a un HSM con credenciales de un responsable de criptografía (CO), el HSM bloqueará la salida del CO. De igual modo, una vez excedido un número determinado de intentos fallidos para obtener acceso a un HSM con credenciales de un usuario criptográfico (CU), el usuario se bloqueará y un CO deberá desbloquearlo.

P: ¿Qué sucede en caso de error?

Amazon monitorea y realiza las tareas de mantenimiento del HSM y la red para comprobar la disponibilidad y si se han producido errores. Si se produce un error en un HSM o se pierde la conexión a la red, el HSM se sustituye automáticamente. Puede comprobar el estado de un HSM concreto a través de la API, el SDK o las herramientas de la CLI de CloudHSM y verificar el estado general del servicio en cualquier momento mediante el Panel de estado del servicio de AWS.

P: ¿Puedo perder mis claves si falla un único HSM?

Si su clúster CloudHSM tiene un único HSM, sí es posible perder las claves que se crearon desde la copia de seguridad más reciente. Los clústeres de CloudHSM con dos o más HSM, preferentemente en zonas de disponibilidad separadas, no perderán las claves si falla un único HSM. Para obtener más información, consulte nuestras prácticas recomendadas.

P: Si pierdo las credenciales para el HSM, ¿Amazon puede recuperar mis claves?

No. Amazon no tiene acceso ni a sus claves ni a sus credenciales, por lo que no puede recuperar sus claves si pierde sus credenciales.

P: ¿Cómo sé que puedo confiar en CloudHSM?

CloudHSM está creado en hardware validado por la Norma de Procesamiento de Información Federal (FIPS) 140-2 de nivel 3. Puede encontrar información sobre el perfil de seguridad FIPS 140-2 para el hardware que utiliza CloudHSM y sobre el firmware que ejecuta en nuestra página sobre asuntos de conformidad.

P: ¿El servicio CloudHSM es compatible con FIPS 140-2 de nivel 3?

Sí, CloudHSM suministra HSM que cumplen los requisitos de FIPS 140-2 de nivel 3. Puede leer el procedimiento en la Guía del usuario de CloudHSM en la sección Verificar la autenticidad de su HSM para confirmar que dispone de un HSM auténtico con el mismo modelo de hardware que se especifica en la política de seguridad NIST descrita en la pregunta anterior.

P: ¿Cómo puedo utilizar CloudHSM en modo FIPS 140-2?

CloudHSM siempre se encuentra en modo FIPS 140-2. Puede verificarlo con las herramientas de la CLI, tal y como se documenta en la Guía del usuario de CloudHSM y mediante la ejecución del comando getHsmInfo, que indicará el estado del modo FIPS.

P: ¿Puedo obtener el historial de todas las llamadas a la API de CloudHSM realizadas desde mi cuenta?

Sí. AWS CloudTrail registra las llamadas a las API de AWS de su cuenta. El historial de llamadas a las API de AWS creado por CloudTrail permite realizar análisis de seguridad, un seguimiento de los cambios en los recursos y auditorías de conformidad. Obtenga más información sobre CloudTrail en la página de inicio de CloudTrail y habilítelo a través de la Consola de administración de AWS de CloudTrail.

P: ¿Qué eventos no se registran en CloudTrail?

CloudTrail no incluye ninguno de los dispositivos ni registros de acceso de HSM. CloudWatch Logs se los proporciona directamente en su cuenta de AWS. Para obtener más información, consulte la Guía del usuario de CloudHSM.

P: ¿Qué iniciativas de conformidad de AWS incluyen CloudHSM?

Consulte la página sobre conformidad de AWS para obtener más información sobre los programas de conformidad que incluyen CloudHSM. A diferencia de otros servicios de AWS, los requisitos de conformidad de CloudHSM suelen cumplirse a través de la validación FIPS 140-2 de nivel 3 del hardware, en lugar de formar parte de un programa de auditoría independiente.

P: ¿Cuál es la importancia de la norma FIPS 140-2 de nivel 3?

La norma FIPS 140-2 de nivel 3 es un requisito de determinados casos de uso, incluida la firma de documentos, los pagos o ejercer como autoridad certificadora pública para la emisión de certificados SSL.

P: ¿Cómo puedo solicitar informes de conformidad que incluyan CloudHSM en el ámbito?

Para ver qué informes de conformidad se encuentran en el ámbito para CloudHSM, revise los datos en los servicios de AWS en el ámbito del programa de conformidad. A fin de crear informes de conformidad bajo demanda, de autoservicio y gratuitos, utilice AWS Artifact.

Si solo le interesa la validación FIPS para los HSM que ofrece CloudHSM, consulte la validación FIPS.

Rendimiento y capacidad

P: ¿Cuántas operaciones criptográficas puede realizar CloudHSM por segundo?

El rendimiento de los clústeres de AWS CloudHSM varía en función de la carga de trabajo específica. En la siguiente tabla, se muestra el rendimiento aproximado de los algoritmos criptográficos más comunes que se ejecutan en una instancia de EC2. Para aumentar el rendimiento, puede agregar instancias de HSM adicionales a sus clústeres. El rendimiento puede variar en función de la configuración, el tamaño de los datos y la carga de aplicaciones adicionales en sus instancias de EC2. Le recomendamos que pruebe la carga de su aplicación para determinar las necesidades de escalado.

Operación Clúster de dos HSM [1] Clúster de tres HSM [2] Clúster de seis HSM [3]
Señal RSA de 2048 bits 2000 operaciones/seg 3000 operaciones/seg 5000 operaciones/seg
Signo EC p256 500 operaciones/seg 750 operaciones/seg 1500 operaciones/seg

Para más detalles, consulte la página de rendimiento en la guía del usuario de AWS CloudHSM.

[1]: Un clúster de dos HSM con la aplicación Java multiproceso ejecutándose en una instancia de EC2 c4.large con un HSM en la misma AZ que la instancia de EC2.

[2]: Un clúster de tres HSM con la aplicación Java multiproceso ejecutándose en una instancia de EC2 c4.large con un HSM en la misma AZ que la instancia de EC2.

[3]: Un clúster de seis HSM con la aplicación Java multiproceso ejecutándose en una instancia de EC2 c4.large con dos HSM en la misma AZ que la instancia de EC2.

P: ¿Cuántas claves se pueden almacenar en un clúster de CloudHSM?

Un clúster de CloudHSM puede almacenar aproximadamente 3300 claves de cualquier tipo o tamaño.

Integraciones de terceros

P: ¿CloudHSM es compatible con Amazon RDS Oracle TDE?

No directamente. Debe utilizar AWS Key Management Service con un almacén de claves personalizado para proteger los datos de Amazon RDS mediante el uso de claves generadas y almacenadas en el clúster de AWS CloudHSM.

P: ¿Puedo utilizar CloudHSM como una raíz de confianza para otro software?

Varios proveedores de terceros admiten AWS CloudHSM como una raíz de confianza. Esto quiere decir que puede utilizar una solución de software de su elección, al mismo tiempo que crear y almacenar las claves subyacentes en su clúster de CloudHSM.

API, SDK y cliente de AWS CloudHSM

P: ¿Qué es el cliente de CloudHSM?

El cliente de CloudHSM es un paquete de software provisto por AWS que le permite a usted y sus aplicaciones interactuar con los clústeres de CloudHSM.

P: ¿El cliente de CloudHSM proporciona a AWS acceso a mi clúster de CloudHSM?

No. Toda la comunicación entre el cliente y su HSM está cifrada de extremo a extremo. AWS no puede ver ni interceptar esta comunicación y no tiene visibilidad de sus credenciales de acceso de clúster.

P: ¿Qué son las herramientas de la interfaz de línea de comandos (CLI) de CloudHSM?

El cliente de CloudHSM incluye un conjunto de herramientas de CLI que le permiten administrar y usar el HSM desde la línea de comandos. Compatibilidad vigente con Linux y Microsoft Windows. Hay planes previstos para incorporar la compatibilidad con Apple macOS. Las herramientas están disponibles en el mismo paquete que el cliente de CloudHSM.

P: ¿Cómo puedo descargar las herramientas de la interfaz de línea de comandos de CloudHSM y comenzar a utilizarlas?

Consulte las instrucciones en la Guía del usuario de CloudHSM.

P: ¿Las herramientas de la interfaz de línea de comandos de CloudHSM proporcionan acceso a AWS al contenido del HSM?

No. Las herramientas de CloudHSM se comunican directamente con su clúster de CloudHSM a través del cliente de CloudHSM mediante un canal seguro y mutuamente autenticado. AWS no puede observar ninguna comunicación entre el cliente, las herramientas y los HSM, está cifrada de principio a fin.

P: ¿En qué sistemas operativos puedo usar el cliente y las herramientas de la CLI de CloudHSM?

En nuestra documentación en línea se ofrece una lista completa de los sistemas operativos compatibles.

P: ¿Cuáles son los requisitos de conectividad de red para utilizar las herramientas de la interfaz de línea de comandos de CloudHSM?

El host en el que ejecuta el cliente de CloudHSM y/o utiliza las herramientas de la CLI debe poder comunicarse por red con todos los demás HSM de su clúster de CloudHSM.

P: ¿Qué puedo hacer con la API y el SDK de CloudHSM?

Puede crear, modificar, eliminar y obtener el estado de HSM y clústeres de CloudHSM. Lo que puede hacer con la API de AWS CloudHSM está limitado a las operaciones que AWS pueda realizar con su acceso restringido. La API no puede obtener acceso al contenido del HSM ni modificar usuarios, políticas ni ningún otro ajuste. Consulte la Documentación de CloudHSM para obtener información sobre la API o la página Herramientas para Amazon Web Services si desea más información sobre el SDK.

Migración desde otros HSM de terceros a CloudHSM

P: ¿Cómo puedo planificar una migración a AWS CloudHSM?

En primer lugar, asegúrese de que los algoritmos y modos que necesita sean compatibles con CloudHSM. De ser necesario, el administrador de cuentas puede enviarnos solicitudes de características. A continuación, defina una estrategia de rotación de claves. Puede encontrar sugerencias de casos de uso comunes en la siguiente sección de preguntas y respuestas. También publicamos una guía detallada de migración para CloudHSM. Ya está listo para comenzar con CloudHSM.

P: ¿De qué manera puedo rotar mis claves?

La estrategia de rotación dependerá del tipo de aplicación. A continuación se muestran los ejemplos más comunes.

  • Claves privadas para firma: generalmente, la clave privada del HSM corresponde a un certificado intermedio, que a su vez es firmado por una raíz de empresa sin conexión. Rotará claves mediante la emisión de un nuevo certificado intermedio. Cree una clave privada nueva y genere la CSR correspondiente con OpenSSL en CloudHSM. A continuación, firme la CSR con la misma raíz de empresa sin conexión. Es posible que tenga que registrar este certificado nuevo con cualquier socio que no verifique automáticamente la cadena de certificados completa. Posteriormente, firmaría todas las solicitudes nuevas (como para documentos, código u otros certificados) con la nueva clave privada correspondiente al certificado nuevo. Puede continuar verificando las firmas desde la clave privada original con la clave pública correspondiente. No es necesario hacer una revocación. Este proceso es equivalente al proceso que seguiría para eliminar o archivar una clave de firma.
  • Cifrado de datos transparente de Oracle: puede transferir su cartera mediante, primero, el cambio de un almacén de claves de hardware (su HSM original) por un almacén de claves de software y, a continuación, de vuelta a un almacén de claves de hardware (CloudHSM). Nota: Si utiliza Amazon RDS, consulte la pregunta frecuente anterior en “¿CloudHSM es compatible con Amazon RDS Oracle TDE?”
  • Clave simétrica para cifrado de sobres: el cifrado de sobres se refiere a la arquitectura de claves en la que una clave del HSM cifra o descifra muchas claves de datos en el host de aplicación. Probablemente, ya cuenta con un proceso de rotación de claves definido para revisar y descifrar las claves de datos con la clave de encapsulación anterior y volver a cifrarlas con la clave de encapsulación nueva. La única diferencia durante la migración será que la clave de encapsulación nueva se creará y usará en CloudHSM en vez de en el HSM original. Si aún no cuenta con un proceso y una herramienta de rotación de claves definidos, deberá crearlos.

P: ¿Qué sucede si no puedo rotar las claves?

Cada aplicación y caso de uso es diferente. En la guía de migración para CloudHSM, se incluyen soluciones de casos comunes. Si tiene otras preguntas, abra un caso de soporte con los detalles de su aplicación y el tipo de HSM y de claves que utiliza actualmente, e indique si estas son exportables o no. Lo ayudaremos a definir un itinerario de migración adecuado.

Soporte y mantenimiento

P: ¿AWS CloudHSM tiene periodos de mantenimiento programados?

No, pero AWS puede necesitar realizar mantenimiento en el caso de actualizaciones necesarias o hardware con mal funcionamiento. Nos esforzaremos en notificarle con anticipación mediante el panel de estado personal si se espera algún impacto.

Tenga en cuenta que es su responsabilidad diseñar su clúster para alta disponibilidad. AWS recomienda encarecidamente que use clústeres de CloudHSM con dos o más HSM en zonas de disponibilidad separadas. Puede obtener más información sobre las prácticas recomendadas en nuestra documentación en línea.

P: Tengo un problema con CloudHSM. ¿Qué debo hacer?

Puede encontrar soluciones a problemas comunes en nuestra guía de solución de problemas. Si aún experimenta problemas, póngase en contacto con AWS Support.

Más información sobre los precios de los productos

Ver ejemplos de precios y calcular costos.

Más información 
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Registrarse 
Comience a crear en la consola

Comience a crear con AWS CloudHSM en la consola de AWS.

Iniciar sesión