Questions d'ordre général

Q : Qu'est-ce qu'AWS CloudHSM ?

Le service AWS CloudHSM vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données en mettant à votre disposition des modules de sécurité matériels (HSM, Hardware Security Module) dédiés dans le Cloud AWS. AWS et les partenaires AWS Marketplace proposent différentes solutions de protection des données sensibles sur la plate-forme AWS, mais dans le cas d'applications et de données soumises à des exigences contractuelles ou réglementaires en termes de gestion des clés cryptographiques, une protection supplémentaire peut s'avérer nécessaire. CloudHSM vient compléter les solutions de protection des données existantes en vous permettant de protéger vos clés de chiffrement dans des HSM conformes aux normes gouvernementales relatives à la gestion sécurisée des clés. Avec CloudHSM, vous pouvez générer, stocker et gérer de manière sécurisée les clés cryptographiques utilisées pour le chiffrement des données, afin d'être le seul à pouvoir y accéder.

Q : Qu'est-ce qu'un module de sécurité matériel (HSM) ?

Un module de sécurité matériel (HSM, Hardware Security Module) permet de mettre en œuvre des opérations de chiffrement et de stockage des clés au sein d'un dispositif matériel protégé contre tout accès non autorisé. Les HSM sont conçus pour garantir un stockage sécurisé des clés cryptographiques et les utilisent uniquement au sein de la limite cryptographique du matériel.

Q : Que puis-je faire avec CloudHSM ?

Vous pouvez utiliser le service CloudHSM pour prendre en charge différents cas d'utilisation et applications, notamment le chiffrement de bases de données, la gestion des droits numériques (DRM, Digital Rights Management), les infrastructures à clé publique (PKI, Public Key Infrastructure), les définitions d'authentifications et d'autorisations, la signature de documents et le traitement des transactions.

Q : Comment le service CloudHSM fonctionne-t-il ?

Lorsque vous utilisez le service AWS CloudHSM, vous créez un cluster CloudHSM. Les clusters peuvent contenir plusieurs HSM sur plusieurs zones de disponibilité d'une région. Les HSM d'un cluster sont automatiquement synchronisés et leurs charges sont équilibrées. Vous recevrez un accès dédié à client unique à chaque HSM de votre cluster. Chaque HSM apparaît comme une ressource réseau dans votre Amazon Virtual Private Cloud (VPC). Ajouter et retirer des HSM de votre cluster se fait par un simple appel vers l'API AWS CloudHSM (ou sur la ligne de commande à l'aide d'AWS CLI). Après avoir créé et initialisé un Cluster CloudHSM, vous pouvez configurer un client sur votre instance EC2, ce qui permet à vos applications d'utiliser le cluster sur une connexion réseau sécurisée et authentifiée.

Le service surveille automatiquement la santé de vos HSM, mais aucun membre du personnel d'AWS n'a accès à vos clés ni à vos données. Vos applications utilisent des API de chiffrement standard, conjointement avec le logiciel client du HSM installé sur l'instance d'application, afin d'envoyer des demandes de chiffrement au HSM. Le logiciel client maintient un canal sécurisé pour l'ensemble des HSM de votre cluster et envoie des requêtes sur ce canal. Votre HSM réalise ensuite les opérations et renvoie les résultats sur le canal sécurisé. Le client renvoie ensuite le résultat à l'application via l'API de chiffrement.

Q : Je ne dispose pas d'un VPC pour le moment. Puis-je tout de même utiliser AWS CloudHSM ?

Non. Afin de protéger et d'isoler votre AWS CloudHSM des autres clients Amazon, vous devez le mettre en service au sein d'un VPC Amazon. Vous pouvez facilement créer un VPC. Pour en savoir plus, consultez le Manuel de mise en route d'Amazon Virtual Private Cloud.

Q : Mon application doit-elle se trouver dans le même VPC que le cluster CloudHSM ?

Non, mais le serveur ou l'instance sur laquelle votre application et le HSM client s'exécutent doit bénéficier d'un accès réseau (IP) pour l'ensemble des HSM du cluster. Vous pouvez établir la connectivité réseau de votre application au HSM à bien des égards, notamment pour exécuter votre application dans le même VPC, via des VPC pairs, une connexion VPN, ou bien Direct Connect. Pour en savoir plus, veuillez consulter les manuels « VPC Peering Guide » et « VPC User Guide ».

Q : CloudHSM est-il compatible avec des HSM sur site ?

Oui. Bien que CloudHSM n'interagisse pas directement avec des HSM sur site, vous pouvez transférer des clés exportables en toute sécurité entre CloudHSM et la plupart des HSM commerciaux à l'aide de l'une des différentes méthodes de chiffrement de clé RSA.   

Q : Comment mon application peut-elle utiliser CloudHSM ?

Nous avons intégré et testé CloudHSM avec plusieurs solutions logicielles tierces telles que Oracle Database 11g et 12c et des serveurs Web dont Apache et Nginx pour le déchargement de SSL. Consultez le guide de l'utilisateur CloudHSM pour en savoir plus.

Si vous développez votre propre application personnalisée, celle-ci peut utiliser les API standard prises en charge par CloudHSM, notamment PKCS#11 et Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions), ou Microsoft CAPI/CNG. Pour obtenir des exemples de code et des informations sur la mise en route, consultez le guide de l'utilisateur CloudHSM.

Si vous déplacez une charge de travail existante depuis des HSM sur site ou CloudHSM Classic vers CloudHSM, notre guide de migration CloudHSM fournit des informations sur la planification et l'exécution de votre migration.

Q : Est-il possible d'utiliser CloudHSM pour stocker des clés ou de chiffrer des données utilisées par d'autres services AWS ?

Oui. Vous pouvez effectuer tout le chiffrement dans votre application intégrée CloudHSM. Dans ce cas, les services AWS comme Amazon S3 ou Amazon Elastic Block Store (EBS) ne verront que les données chiffrées.

Q : Les autres services AWS peuvent-ils utiliser CloudHSM pour stocker et gérer des clés ?

Les services AWS s'intègrent à AWS Key Management Service, qui à son tour s'intègre à AWS CloudHSM via la fonctionnalité de dépôt de clés KMS personnalisé. Si vous voulez utiliser le cryptage côté serveur proposé par de nombreux services AWS(comme EBS, S3 ou Amazon RDS), vous pouvez le faire en configurant un dépot de clé personnalisé dans AWS KMS.

Q : CloudHSM peut-il être utilisé pour réaliser la traduction par bloc d'un numéro d'identification personnel (PIN) ou d'autres opérations cryptographiques utilisées lors de transactions de paiement par carte de débit ?

Actuellement, CloudHSM fournit des HSM à usage général. Avec le temps, nous proposerons peut-être des fonctions de paiement. Si ce point vous intéresse, n'hésitez pas à nous contacter.

Q : Comment démarrer avec CloudHSM ?

Vous pouvez mettre en service un cluster CloudHSM dans la console CloudHSM ou grâce à quelques appels d'API dans le SDK ou l'API AWS. Pour en savoir plus sur comment bien démarrer, consultez le manuel CloudHSM User Guide. Pour plus d'informations sur l'API CloudHSM, consultez le manuel CloudHSM Documentation. Pour plus d'informations sur le kit SDK, consultez la page Outils pour Amazon Web Services.

Q : Comment mettre fin au service CloudHSM ?

Vous pouvez utiliser l'API, le SDK ou la console CloudHSM pour supprimer vos HSM et arrêter d'utiliser ce service. Pour obtenir des instructions supplémentaires, veuillez vous référer au guide de l'utilisateur CloudHSM.

Facturation

Q : Comment mon utilisation du service AWS CloudHSM me sera-t-elle facturée ?

Des frais horaires vous seront facturés pour chaque heure (ou heure partielle) où un HSM est alloué à un cluster CloudHSM. Un cluster qui ne contient pas de HSM ne sera pas facturé tout comme vous ne serez pas facturé pour le stockage automatique que nous faisons des sauvegardes chiffrées. Pour plus d'informations, consultez la page Tarification de CloudHSM. Notez que les transferts de données réseau vers et depuis vos HSM sont facturés séparément. Pour plus d'informations, consultez les informations relatives à la tarification du transfert de données pour EC2.

Q : Existe-t-il une offre gratuite pour le service CloudHSM ?

Non, il n'existe pas d'offre gratuite disponible pour CloudHSM.

Q : Les frais varient-ils en fonction du nombre d'utilisateurs ou de clés crées sur mon HSM ?

Non. Le tarif horaire, qui varie selon la région, ne dépend pas du volume d'utilisation de votre HSM.

Q : Proposez-vous une tarification d'instance réservée pour CloudHSM?

Non, nous ne proposons pas une tarification d'instance réservée pour CloudHSM.

Mise en service et opérations

Q : Est-il nécessaire de remplir certaines conditions préalables pour utiliser CloudHSM ?

Oui. Pour commencer à utiliser CloudHSM, vous devez disposer de plusieurs éléments, dont notamment un Virtual Private Cloud (VPC) dans la région où vous souhaitez bénéficier de ce service. Pour en savoir plus, consultez le manuel « CloudHSM User Guide ».

Q : Ai-je besoin de gérer les versions du microprogramme sur mon HSM ?

Non. AWS gère le microprogramme du matériel. La maintenance du microprogramme est effectuée par un tiers et la conformité à la norme FIPS 140-2 niveau 3 de chaque microprogramme doit être évaluée par le NIST (National Institute of Standards and Technology, l'institut américain des normes et de la technologie). Seuls les microprogrammes qui ont été signés de manière chiffrée à l'aide d'une clé FIPS (à laquelle AWS n'a pas accès) peuvent être installés.

Q : Combien d'HSM dois-je avoir dans mon cluster CloudHSM ?

AWS vous recommande fortement d'utiliser au moins deux HSM dans deux zones de disponibilité différentes pour toute charge de travail de production. Pour les charges de travail stratégiques, nous vous recommandons au moins trois HSM dans au moins deux zones de disponibilité différentes. Le client CloudHSM gérera automatiquement toute défaillance d'un HSM et équilibrera les charges vers deux ou plusieurs HSM de manière transparente dans votre application.

Q : Qui est responsable de la durabilité des clés ?

AWS effectue des sauvegardes chiffrées automatiques de votre cluster CloudHSM de manière quotidienne et des sauvegardes supplémentaires lorsque des événements du cycle de vie d'un cluster se produisent (comme l'ajout ou la suppression d'un HSM). Pour la période de 24 heures entre chaque sauvegarde, vous êtes uniquement responsable de la durabilité des éléments de clé créés ou importés vers votre cluster. Nous vous recommandons fortement de vous assurer que chacune des clés créées est synchronisée vers au moins deux HSM dans deux zones de disponibilité différentes pour assurer la durabilité de vos clés. Consultez le CloudHSM User Guide pour plus d'informations sur la vérification de la synchronisation des clés.

Q : Comment définir une configuration à haute disponibilité (HA) ?

La haute disponibilité est fournie automatiquement lorsque vous possédez au moins deux HSM dans votre cluster CloudHSM. Aucune configuration supplémentaire n'est requise. Dans le cas d'une défaillance d'un HSM dans votre cluster, celui-ci sera remplacé automatiquement et tous les clients seront mis à jour pour refléter la nouvelle configuration sans interrompre toute opération en cours. Des HSM supplémentaires peuvent être ajoutés au cluster par le biais de l'API ou du SDK AWS afin d'augmenter la disponibilité sans interrompre votre application.

Q : Combien d'HSM peut contenir un cluster CloudHSM ?

Un cluster CloudHSM peut contenir jusqu'à 28 HSM, selon les limites de service du compte. Pour en savoir plus sur les limites de service et sur la façon de demander une augmentation de la limite, consultez notre documentation en ligne.

Q : Est-il possible de sauvegarder le contenu d'un CloudHSM ?

AWS effectue quotidiennement une sauvegarde de votre cluster CloudHSM. Les clés peuvent également être exportées (« emballées ») hors de votre cluster et stockées sur site tant qu'elles n'ont pas été générées en tant que « non exportables ».

Question : Existe-t-il un accord de niveau de service (SLA) pour CloudHSM ?

Oui. Vous trouverez l'accord de niveau de service (SLA) pour AWS CloudHSM ici.

Sécurité et conformité

Q : Mon CloudHSM est-il partagé avec d'autres clients AWS ?

Non. Dans le cadre du service, vous obtenez un accès unique à votre HSM. Le matériel sous-jacent peut être partagé avec d'autres utilisateurs, mais le HSM n'est accessible que par vous.

Q : Comment le HSM est-il géré par AWS sans avoir accès à mes clés de chiffrement ?

La séparation des responsabilités et le contrôle d'accès basé sur des rôles sont deux concepts qui ont façonné la conception de CloudHSM. AWS dispose d'informations d'identification limitées au HSM qui nous permettent de surveiller et de maintenir la santé et la disponibilité du HSM, d'effectuer des sauvegardes chiffrées et d'extraire et de publier des journaux d'audit dans vos CloudWatch Logs. AWS n'a accès à aucune clé ou donnée de votre cluster CloudHSM et ne peut exécuter aucune autre opération que celles autorisées pour un utilisateur d'appliance HSM.

Consultez le guide de l'utilisateur CloudHSM pour de plus amples informations sur la séparation des responsabilités ainsi que sur les possibilités que chaque classe d'utilisateur possède sur le HSM.

Q : Puis-je suivre mon HSM ?

Oui. CloudHSM publie différentes mesures CloudWatch pour les clusters CloudHSM et les HSM individuels. Vous pouvez utiliser la console, l'API ou le SDK AWS CloudWatch pour consulter ou être alerté de ces mesures.

Q : Quelle est la "source entropique" (source aléatoire) du CloudHSM ?

Chaque HSM dispose d'un générateur déterministe de bits aléatoires (DRBG) alimenté par un générateur de nombres réellement aléatoires (TRNG) au sein du module matériel HSM conforme à la norme SP800-90B. Il s'agit d'une source entropique de qualité élevée capable de produire 20 Mo/s d'entropie par HSM.

Q : Que se passe-t-il en cas de tentative d'accès non autorisé à l'appliance HSM ?

CloudHSM possède des systèmes de détection des atteintes physiques et logiques et des mécanismes de réponse qui déclenchent la suppression des clés (abrogation) de l'appliance. Le matériel est conçu pour détecter une atteinte si sa barrière physique est rompue. Les HSM sont également protégés contre les tentatives de connexion par force brute. Après un certain nombre d'échecs de tentatives d'accès à un HSM avec des informations d'identification de responsable de chiffrement (CO), l'HSM verrouille le CO. De la même manière, après un nombre déterminé de tentatives infructueuses d'accéder à un HSM à l'aide des informations d'identification d'utilisateur de chiffrement (CU), l'utilisateur sera bloqué et devra être débloqué par un CO.

Q : Que se passe-t-il en cas de défaillance ?

Amazon assure la surveillance et la maintenance de la disponibilité et des conditions d'erreur du HSM et du réseau. Si un HSM rencontre une défaillance ou perd la connectivité au réseau, le HSM sera remplacé automatiquement. Vous pouvez vérifier l'état d'un HSM spécifique par le biais de l'API CloudHSM, du kit SDK ou des outils d'interface de ligne de commande, ainsi que l'état général du service, à tout moment, par le biais d'AWS Service Health Dashboard.

Q : Est-il possible que je perde mes clés en cas de défaillance d'un HSM ?

Si votre cluster CloudHSM ne dispose que d'un seul HSM, oui, il est possible de perdre les clés créées depuis la dernière sauvegarde quotidienne. Les clusters CloudHSM comprenant deux ou plusieurs HSM, idéalement dans des zones de disponibilité distinctes, ne perdront pas de clés en cas de défaillance d'un seul HSM. Consultez nos bonnes pratiques pour plus d'informations.

Q : Amazon peut-il récupérer mes clés si je perds les informations d'identification me permettant d'accéder au HSM ?

Non. Amazon n'a pas accès à vos clés, ni à vos informations d'identification, et ne peut donc pas récupérer vos clés en cas de perte de vos informations d'identification.

Q : Comment savoir si je peux faire confiance aux CloudHSM ?

CloudHSM repose sur un matériel validé par la norme FIPS (Federal Information Processing Standard) 140-2 de niveau 3. Vous trouverez des informations sur le profil de sécurité FIPS 140-2 pour le matériel utilisé par CloudHSM et le micrologiciel qu'il exécute, sur notre page relative à la conformité.

Q : Le service CloudHSM prend-il en charge FIPS 140-2 niveau 3 ?

Oui, CloudHSM fournit des HSM validés par la norme FIPS 140-2 de niveau 3. Vous pouvez suivre la procédure décrite dans le manuel CloudHSM User Guide, à la sectionVerify the Authenticity of Your HSM afin de confirmer que vous disposez d'un HSM authentique sur le même modèle de matériel précisé dans le lien vers la politique de sécurité du NIST figurant ci-dessus.

Q : Comment exploiter un module CloudHSM en mode FIPS 140-2 ?

Un module CloudHSM se trouve toujours en mode FIPS 140-2. Vous pouvez vérifier cette option en utilisant les outils d'interface de ligne de commande (CLI) comme cela est décrit dans le manuel CloudHSM User Guide en exécutant la commande getHsmInfo, qui vous indiquera le statut du mode FIPS.

Q : Puis-je obtenir un historique de tous les appels d'API CloudHSM effectués depuis mon compte ?

Oui. AWS CloudTrail enregistre les appels d'API AWS sur votre compte. L'historique des appels d'API AWS généré par CloudTrail vous permet de réaliser une analyse de sécurité, un suivi des modifications au niveau des ressources, ainsi que des audits de conformité. Pour en savoir plus sur CloudTrail, consultez la page de présentation d'AWS CloudTrail et, pour l'activer, utilisez AWS Management Console de CloudTrail.

Q : Quels événements ne sont pas enregistrés dans CloudTrail ?

CloudTrail n'inclut ni les appareils HSM ni les journaux d'accès. Ceux-ci apparaissent directement dans votre compte AWS via les CloudWatch Logs. Pour en savoir plus, consultez le manuel CloudHSM User Guide.

Q : Quelles initiatives de mise en conformité AWS incluent CloudHSM ?

Reportez-vous au site Conformité AWS pour en savoir plus sur les programmes de conformité couvrant CloudHSM. Contrairement aux autres services AWS, les exigences de conformité concernant CloudHSM sont souvent remplies directement par la validation FIPS 140-2 niveau 3 du matériel lui-même plutôt qu'en tant que programme d'audit séparé.

Q : Pourquoi la certification FIPS 140-2 niveau 3 est-elle importante ?

La certification FIPS 140-2 niveau 3 est exigée dans certains cas d'utilisation, notamment la signature de documents, le paiement ou lorsque vous utilisez HSM comme autorité de certification publique pour des certificats SSL.

Q : Comment puis-je obtenir des rapports de conformité couvrant le service CloudHSM ?

Pour voir quels rapports de conformité couvrent le service CloudHSM, consultez les données sur la page Services AWS concernés par le programme de conformité. Pour créer des rapports de conformité à la demande, en libre-service et gratuit, utilisez AWS Artifact.

Si vous êtes simplement intéressé par la validation FIPS pour les HSM fournis par CloudHSM, consultez Validation FIPS.

Performances et capacité

Q : Combien d'opérations cryptographiques CloudHSM peut-il réaliser par seconde ?

Les performances des clusters AWS CloudHSM varient en fonction de la charge de travail spécifique. Le tableau ci-dessous présente les performances approximatives des algorithmes cryptographiques courants exécutés sur une instance EC2. Pour améliorer les performances, vous pouvez ajouter des instances HSM supplémentaires à vos clusters. Les performances peuvent varier en fonction de la configuration, de la taille des données et de la charge applicative supplémentaire sur vos instances EC2. Nous vous encourageons à tester la charge de votre application afin de déterminer les besoins de mise à l'échelle.

Exploitation Cluster à deux HSM [1] Cluster à trois HSM [2] Cluster à six HSM [3]
Signe RSA 2048 bits 2 000 ops/sec 3 000 ops/sec 5 000 ops/sec
Panneau CE p256 500 ops/sec 750 ops/sec 1 500 ops/sec

Pour plus de détails, consultez la page sur les performances du guide de l'utilisateur d'AWS CloudHSM.

[1] : Un cluster à deux HSM avec l'application multithread Java exécutée sur une instance EC2 c4.large avec un HSM dans la même zone de disponibilité que l'instance EC2.

[2] : Un cluster à trois HSM avec l'application multithread Java exécutée sur une instance EC2 c4.large avec un HSM dans la même zone de disponibilité que l'instance EC2.

[3] : Un cluster à six HSM avec l'application multithread Java exécutée sur une instance EC2 c4.large avec deux HSM dans la même zone de disponibilité que l'instance EC2.

Q : Combien de clés peut-on stocker dans un cluster CloudHSM ?

Un cluster CloudHSM peut stocker environ 3 300 clés, quels qu'en soient le type ou la taille.

Intégrations tierces

Q : CloudHSM prend-il en charge Amazon RDS Oracle TDE ?

Pas directement. Vous devez utiliser AWS Key Management Service avec le stockage de clés personnalisé pour sécuriser les données Amazon RDS à l'aide des clés générées et stockées dans votre cluster AWS CloudHSM.

Q : Puis-je utiliser CloudHSM en tant que racine de confiance pour d'autres logiciels?

Plusieurs fournisseurs tiers prennent en charge AWS CloudHSM en tant que racine de confiance. Vous pouvez donc utiliser une solution logicielle de votre choix tout en créant et en stockant les clés sous-jacentes dans votre cluster CloudHSM.

Client, API et SDK AWS CloudHSM

Q : Qu'est-ce que le client CloudHSM ?

Le client CloudHSM est un package logiciel fourni par AWS qui permet à vous et à vos applications d'interagir avec les clusters CloudHSM.

Q : Le client CloudHSM donne-t-il accès à AWS à mon cluster CloudHSM ?

Non. Toutes les communications entre le client et votre HSM sont chiffrées de bout en bout. AWS ne peut pas voir ni intercepter ces communications, et n'a pas non plus de visibilité sur vos identifiants d'accès au cluster.

Q : Quels sont les outils d'interface de ligne de commande (CLI) CloudHSM ?

Le client CloudHSM est fourni avec un ensemble d'outils CLI qui vous permettent d'administrer et d'utiliser le HSM depuis la ligne de commande HSM. Linux et Microsoft Windows sont pris en charge aujourd'hui. La prise en charge d'Apple macOS devrait suivre sous peu. Ces outils sont disponibles dans le même package que le client CloudHSM.

Q : Comment puis-je télécharger et commencer à utiliser les outils d'interface de ligne de commande CloudHSM ?

Pour le découvrir, consultez le Guide de l'utilisateur CloudHSM.

Q : Les outils d'interface de ligne de commande CloudHSM permettent-ils à AWS d'accéder au contenu du HSM ?

Non. Les outils CloudHSM communiquent directement avec votre cluster CloudHSM par l'intermédiaire du client CloudHSM sur un canal sécurisé à authentification mutuelle. AWS ne peut observer aucune communication entre le client, les outils et le HSM ; les communications sont cryptées de bout à bout.

Q : Sous quels systèmes d'exploitation puis-je utiliser les outils d'interface de ligne de commande et de client CloudHSM ?

Vous trouverez une liste complète des systèmes d'exploitation pris en charge dans notre documentation en ligne.

Q : Quels sont les prérequis en matière de connectivité réseau pour utiliser des outils d'interface de ligne de commande CloudHSM ?

L'hébergeur sur lequel vous exécutez le client CloudHSM et/ou utilisez les outils CLI doit disposer de l'accessibilité au réseau pour l'ensemble des HSM de votre cluster CloudHSM.

Q : Que puis-je faire avec l'API et le kit SDK CloudHSM ?

Vous pouvez créer, modifier, supprimer et obtenir le statut des clusters CloudHSM et des HSM. Les tâches que vous pouvez effectuer avec l'API AWS CloudHSM sont limitées par les opérations qu'AWS peut réaliser avec son accès restreint. L'API ne peut pas accéder aux contenus du HSM ou modifier tout utilisateur, stratégie ou tout autre réglage. Pour plus d'informations sur l'API, consultez la documentation CloudHSM. Pour plus d'informations sur le kit SDK, consultez la page Outils pour Amazon Web Services.

Migration depuis d'autres HSM tiers vers CloudHSM

Q : Comment planifier ma migration vers AWS CloudHSM ?

Commencez par veiller à ce que les algorithmes et modes nécessaires soient pris en charge par CloudHSM. Votre responsable de compte peut nous envoyer des demandes de fonctionnalités si besoin. Ensuite, déterminez votre stratégie de rotation de clés. Les suggestions pour les cas d'utilisation courants se trouvent dans la Q/R suivante. Nous avons également publié un guide de migration approfondi pour CloudHSM. Vous êtes désormais prêt à démarrer avec CloudHSM.

Q : Comment procéder à la rotation de mes clés ?

Votre stratégie de rotation dépendra du type d'application. Voici quelques exemples courants.

  • Clés privées pour la signature : en général, une clé privée sur le HSM correspond à un certificat intermédiaire à son tour signé par une racine d'entreprise hors ligne. Vous procéderez à la rotation des clés en émettant un nouveau certificat intermédiaire. Créez une nouvelle clé privée et générez le CSR correspondant à l'aide d'OpenSSL sur CloudHSM. Ensuite, signez le CSR avec la même racine d'entreprise hors ligne. Il se peut que vous ayez à enregistrer ce nouveau certificat avec des partenaires qui ne vérifient pas automatiquement la totalité de la chaine de certificat. En poursuivant, vous signerez toutes les nouvelles demandes (pour des documents, du code ou d'autres certificats, par exemple) avec la nouvelle clé privée qui correspondra au nouveau certificat. Vous pouvez continuer de vérifier des signatures à partir de la clé privée originale avec la clé publique correspondante. Aucune révocation n'est nécessaire. Ce processus est analogue à celui qu'il faut suivre pour retirer ou archiver une clé de signature.
  • Chiffrement transparent des données Oracle : vous pouvez transférer votre portefeuille en passant d'abord d'un magasin de clés matériel (votre HSM d'origine) à un magasin de clés logiciel, puis en revenant à un magasin de clés matériel (CloudHSM). Remarque : si vous utilisez Amazon RDS, consultez les FAQ ci-dessus concernant la question « CloudHSM prend-il en charge Amazon RDS Oracle TDE? »
  • Clé symétrique pour le chiffrement d'enveloppes : le chiffrement d'enveloppes fait référence à l'architecture de clés dans laquelle une clé du HSM chiffre/déchiffre plusieurs clés de données sur l'hôte de l'application. Vous disposez certainement déjà d'un processus de rotation de clés pour le transfert et le déchiffrement de clés de données avec l'ancienne clé d'assemblage, ainsi que pour leur rechiffrement avec la nouvelle clé d'assemblage. La seule différence lors de la migration résidera dans la nouvelle clé d'assemblage qui sera créée et utilisée sur CloudHSM et non sur le HSM d'origine. Si vous n'avez pas déjà d'outil ou de processus de rotation de clés, vous devrez en créer un.

Q : Et si je n'arrive pas à procéder à la rotation de mes clés ?

Chaque application et chaque cas d'utilisation sont différents. Vous trouverez des solutions aux scénarios les plus courants dans le guide de migration de CloudHSM. Si vous avez d'autres questions, ouvrez un cas d'assistance en indiquant les détails de votre application, le type de HSM que vous utilisez actuellement, le type de clés que vous utilisez et si ces clés peuvent être exportées ou non. Nous vous aiderons à déterminer une voie de migration appropriée.

Support et maintenance

Q : AWS CloudHSM comporte-t-il des fenêtres de maintenance programmée?

Non, mais il est possible qu'AWS doive effectuer une maintenance en cas de mises à jour nécessaires ou de matériel défectueux. Nous ferons tout notre possible pour vous informer à l'avance, par le biais du Personal Health Dashboard, des éventuelles répercussions.

Notez qu'il est de votre responsabilité de concevoir votre cluster pour assurer une haute disponibilité. AWS vous recommande fortement d'utiliser des clusters CloudHSM comportant deux HSM, voire plus, dans des zones de disponibilité séparées. Reportez-vous aux bonnes pratiques recommandées de notre documentation en ligne.

Q : Je rencontre un problème avec CloudHSM. Que puis-je faire ?

Vous pouvez trouver des solutions aux problèmes courants dans notre guide de dépannage. Si votre problème persiste, contactez AWS Support.

En savoir plus sur la tarification du produit

Consultez des exemples de tarification et calculez vos coûts.

En savoir plus 
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Commencer à créer dans la console

Commencez à créer avec AWS CloudHSM dans la console AWS.

Se connecter