Questions d'ordre général

Q : Qu'est-ce qu'AWS CloudHSM ?

Le service AWS CloudHSM vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données en mettant à votre disposition des modules de sécurité matériels (HSM, Hardware Security Module) dédiés dans le Cloud AWS. AWS et les partenaires AWS Marketplace proposent différentes solutions de protection des données sensibles sur la plate-forme AWS, mais dans le cas d'applications et de données soumises à des exigences contractuelles ou réglementaires en termes de gestion des clés cryptographiques, une protection supplémentaire peut s'avérer nécessaire. CloudHSM vient compléter les solutions de protection des données existantes en vous permettant de protéger vos clés de chiffrement dans des HSM conformes aux normes gouvernementales relatives à la gestion sécurisée des clés. Avec CloudHSM, vous pouvez générer, stocker et gérer de manière sécurisée les clés cryptographiques utilisées pour le chiffrement des données, afin d'être le seul à pouvoir y accéder.

Q : Qu'est-ce qu'un module de sécurité matériel (HSM) ?

Un module de sécurité matériel (HSM, Hardware Security Module) permet de mettre en œuvre des opérations de chiffrement et de stockage des clés au sein d'un dispositif matériel protégé contre tout accès non autorisé. Les HSM sont conçus pour garantir un stockage sécurisé des clés cryptographiques et les utilisent uniquement au sein de la limite cryptographique du matériel.

Q : Que puis-je faire avec CloudHSM ?

Vous pouvez utiliser le service CloudHSM pour prendre en charge différents cas d'utilisation et applications, notamment le chiffrement de bases de données, la gestion des droits numériques (DRM, Digital Rights Management), les infrastructures à clé publique (PKI, Public Key Infrastructure), les définitions d'authentifications et d'autorisations, la signature de documents et le traitement des transactions.

Q : Comment le service CloudHSM fonctionne-t-il ?

Lorsque vous utilisez le service AWS CloudHSM, vous créez un cluster CloudHSM. Les clusters peuvent contenir plusieurs instances HSM sur plusieurs zones de disponibilité d'une région. Les instances HSM d'un cluster sont automatiquement synchronisées et leurs charges sont équilibrées. Vous recevrez un accès dédié à client unique à chaque HSM de votre cluster. Chaque instance HSM apparaît comme une ressource réseau dans votre VPC (Virtual Private Cloud) Amazon. Ajouter et retirer des HSM de votre cluster se fait par un simple appel vers l'API AWS CloudHSM (ou sur la ligne de commande à l'aide d'AWS CLI). Après avoir créé et initialisé un Cluster CloudHSM, vous pouvez configurer un client sur votre instance EC2 qui permet à vos applications d'utiliser le cluster sur une connexion réseau sécurisée et authentifiée.

Les administrateurs d'Amazon surveillent la santé de vos HSM, mais n'ont pas d'accès pour les configurer, les gérer ou les utiliser. Vos applications utilisent des API de chiffrement standard, conjointement avec le logiciel client du HSM installé sur l'instance d'application, afin d'envoyer des demandes de chiffrement au HSM. Le logiciel client maintient un canal sécurisé pour l'ensemble des HSM de votre cluster et envoie des requêtes sur ce canal. Votre HSM réalise ensuite les opérations et renvoie les résultats sur le canal sécurisé. Le client renvoie ensuite le résultat à l'application via l'API de chiffrement.

Q : Je ne dispose pas d'un VPC pour le moment. Puis-je tout de même utiliser AWS CloudHSM ?

Non. Afin de protéger et d'isoler votre CloudHSM AWS des autres clients Amazon, vous devez le mettre en service au sein d'un VPC Amazon. Vous pouvez facilement créer un VPC. Pour en savoir plus, consultez le Manuel de mise en route d'Amazon Virtual Private Cloud.

Q : Mon application doit-elle se trouver dans le même VPC que le cluster CloudHSM ?

Non, mais le serveur ou l'instance sur laquelle votre application et le HSM client s'exécutent doit bénéficier d'un accès réseau (IP) pour l'ensemble des HSM du cluster. Vous pouvez établir la connectivité réseau de votre application au HSM à bien des égards, notamment pour exécuter votre application dans le même VPC, via des VPC pairs, une connexion VPN, ou bien Direct Connect. Pour en savoir plus, veuillez consulter les manuels « VPC Peering Guide » et « VPC User Guide ».

Q : CloudHSM est-il compatible avec des HSM sur site ?

Oui. Bien que CloudHSM n'interagisse pas directement avec des HSM sur site, vous pouvez transférer des clés exportables en toute sécurité entre CloudHSM et la plupart des HSM commerciaux à l'aide de l'une des différentes méthodes de chiffrement de clé RSA.   

Q : Comment mon application peut-elle utiliser CloudHSM ?

Nous avons intégré et testé CloudHSM avec plusieurs solutions logicielles tierces telles que Oracle Database 11g et 12c et des serveurs Web dont Apache et Nginx pour le déchargement de SSL. Consultez le manuel CloudHSM User Guide pour en savoir plus.

Si vous développez votre propre application personnalisée, celle-ci peut utiliser les API standard prises en charge par CloudHSM, notamment PKCS#11 et Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). Microsoft CAPI/CNG sera bientôt pris en charge. Pour obtenir des exemples de code et des informations sur la mise en route, consultez le Guide de l'utilisateur CloudHSM.

Si vous déplacez une charge de travail existante depuis des HSM sur site ou CloudHSM Classic vers CloudHSM, notre guide de migration CloudHSM fournit des informations sur la planification et l'exécution de votre migration.

Q : Est-il possible d'utiliser CloudHSM pour stocker des clés ou de chiffrer des données utilisées par d'autres services AWS ?

Oui. Vous pouvez effectuer tout le chiffrement dans votre application intégrée CloudHSM. Dans ce cas, les services AWS comme Amazon S3 ou Amazon Elastic Block Store (EBS) ne verront que les données chiffrées.

Q : Les autres services AWS peuvent-ils utiliser CloudHSM pour stocker et gérer des clés ?

Les services AWS s’intègrent à AWS Key Management Service, qui à son tour s’intègre à AWS CloudHSM via la fonctionnalité de dépôt de clés KMS personnalisé. Si vous voulez utiliser le cryptage côté serveur proposé par de nombreux services AWS(comme EBS, S3 ou Amazon RDC), vous pouvez le faire en configurant un dépot de clé personnalisé dans AWS KMS.

Q : CloudHSM peut-il être utilisé pour réaliser la traduction par bloc d'un numéro d'identification personnel (PIN) ou d'autres opérations cryptographiques utilisées lors de transactions de paiement par carte de débit ?

Actuellement, CloudHSM fournit des HSM à usage général. Avec le temps, nous proposerons peut-être des fonctions de paiement. Si ce point vous intéresse, n'hésitez pas à nous contacter.

Q : En quoi AWS Key Management Service (KMS) est-il différent d'AWS CloudHSM ?

AWS Key Management Service (KMS) est un service géré à locataires multiples qui vous permet d'utiliser et de gérer des clés de chiffrement. Les deux services proposent un niveau élevé de sécurité pour vos clés de chiffrement. AWS CloudHSM vous apporte un HSM dédié répondant à la norme FIPS 140-2 niveau 3 sous votre contrôle exclusif directement dans votre Amazon Virtual Private Cloud (VPC).

Q : Quand me conseillez-vous d'utiliser AWS CloudHSM plutôt qu'AWS KMS ?

Vous devriez envisager l'utilisation d'AWS CloudHSM s'il vous faut :

  • des clés stockées dans des modules de sécurité matérielle dédiés et validés par un tiers sous votre contrôle exclusif ;
  • un système conforme à FIPS 140-2 ;
  • une intégration à des applications utilisant les interfaces PKCS#11, Java JCE, ou Microsoft CNG.
  • de hautes performances en accélération de chiffrement VPC (chiffrement par bloc).

Q : Mon HSM basé sur Safenet sera-t-il retiré ?

Oui. Gemalto a annoncé la fin de vie des HSM fournis par CloudHSM Classic. Vous devez procéder à une mise à niveau vers la nouvelle version de CloudHSM d'ici avril 2020. Veuillez consulter la FAQ CloudHSM Classic pour en savoir plus. Nous avons développé différentes ressources pour vous aider à procéder à la migration de CloudHSM Classic vers la nouvelle version de CloudHSM. Vous pouvez démarrer en consultant le Guide de mise à niveau CloudHSM.

Q : Comment démarrer avec CloudHSM ?

Vous pouvez mettre en service un cluster CloudHSM dans la console CloudHSM ou grâce à quelques appels d'API dans le SDK ou l'API AWS. Pour en savoir plus sur comment bien démarrer, consultez le manuel CloudHSM User Guide. Pour plus d'informations sur l'API CloudHSM, consultez le manuel CloudHSM Documentation. Pour plus d'informations sur le kit SDK, consultez la page Outils pour Amazon Web Services.

Q : Comment mettre fin au service CloudHSM ?

Vous pouvez utiliser l'API ou le SDK CloudHSM pour supprimer vos HSM et arrêter d'utiliser ce service. Pour obtenir des instructions supplémentaires, veuillez vous référer au manuel « CloudHSM User Guide ».

Facturation

Q : Comment mon utilisation du service AWS CloudHSM me sera-t-elle facturée ?

Des frais horaires vous seront facturés pour chaque heure (ou heure partielle) où un HSM est alloué à un cluster CloudHSM. Un cluster qui ne contient pas de HSM ne sera pas facturé tout comme vous ne serez pas facturé pour le stockage automatique que nous faisons des sauvegardes chiffrées. Pour plus d'informations, consultez la page Tarification de CloudHSM. Notez que les transferts de données réseau vers et depuis vos instances CloudHSM sont facturés séparément. Pour plus d'informations, consultez la tarification du transfert de données pour EC2.

Q : Existe-t-il une offre gratuite pour le service CloudHSM ?

Non, il n'existe pas d'offre gratuite disponible pour CloudHSM.

Q : Les frais varient-ils en fonction du nombre d’utilisateurs ou de clés crées sur mon HSM ?

Non. Le tarif horaire, qui varie selon la région, ne dépend pas du volume d’utilisation de votre HSM.

Mise en service et opérations

Q : Est-il nécessaire de remplir certaines conditions préalables pour s'inscrire à CloudHSM ?

Oui. Pour commencer à utiliser CloudHSM, vous devez disposer de plusieurs éléments, dont notamment un Virtual Private Cloud (VPC) dans la région où vous souhaitez bénéficier de ce service. Pour en savoir plus, consultez le manuel « CloudHSM User Guide ».

Q : Ai-je besoin de gérer les versions du microprogramme sur mon HSM ?

Non. AWS gère le microprogramme du matériel. La maintenance du microprogramme est effectuée par un tiers et la conformité à la norme FIPS 140-2 niveau 3 de chaque microprogramme doit être évaluée par le NIST (National Institute of Standards and Technology, l'institut américain des normes et de la technologie). Seuls les microprogrammes qui ont été signés de manière chiffrée à l'aide d'une clé FIPS (à laquelle AWS n'a pas accès) peuvent être installés.

Q : Combien d'HSM dois-je avoir dans mon cluster CloudHSM ?

AWS vous recommande fortement d'utiliser au moins deux HSM dans deux zones de disponibilité différentes pour toute charge de travail de production. Pour les charges de travail stratégiques, nous vous recommandons au moins trois HSM dans au moins deux zones de disponibilité différentes. Le client CloudHSM gérera automatiquement toute défaillance d'un HSM et équilibrera les charges vers deux ou plusieurs HSM de manière transparente dans votre application.

Q : Qui est responsable de la durabilité des clés ?

AWS effectue des sauvegardes chiffrées automatiques de votre cluster CloudHSM de manière quotidienne et des sauvegardes supplémentaires lorsque des événements du cycle de vie d'un cluster se produisent (comme l'ajout ou la suppression d'un HSM). Pour la période de 24 heures entre chaque sauvegarde, vous êtes uniquement responsable de la durabilité des éléments de clé créés ou importés vers votre cluster. Nous vous recommandons fortement de vous assurer que chacune des clés créées est synchronisée vers au moins deux HSM dans deux zones de disponibilité différentes pour assurer la durabilité de vos clés. Consultez le CloudHSM User Guide pour plus d'informations sur la vérification de la synchronisation des clés.

Q : Comment définir une configuration à haute disponibilité (HA) ?

La haute disponibilité est fournie automatiquement lorsque vous possédez au moins deux HSM dans votre cluster CloudHSM. Aucune configuration supplémentaire n'est requise. Dans le cas d'une défaillance d'un HSM dans votre cluster, celui-ci sera remplacé automatiquement et tous les clients seront mis à jour pour refléter la nouvelle configuration sans interrompre toute opération en cours. Des HSM supplémentaires peuvent être ajoutés au cluster via l'API ou le SDK AWS afin d'augmenter la disponibilité sans interrompre votre application.

Q : Combien d'instances HSM peut-on connecter à un cluster CloudHSM ?

Un seul Cluster CloudHSM peut contenir jusqu'à 32 HSM. Les clients peuvent créer jusqu'à 28 instances sujettes aux limites de service de compte. La capacité restante est réservée pour une utilisation interne, par exemple pour le remplacement d'instances HSM défaillantes.

Q : Est-il possible de sauvegarder le contenu d’un CloudHSM ?

AWS effectue quotidiennement une sauvegarde de votre cluster CloudHSM. Les clés peuvent également être exportées (« emballées ») hors de votre cluster et stockées sur site tant qu'elles n'ont pas été générées en tant que « non exportables ». Aucune autre solution de sauvegarde n'est disponible pour le moment, bien que nous pensons fournir une possibilité de sauvegarde sur site plus complète dans un futur proche.

Q : Existe-t-il un accord de niveau de service (SLA) pour CloudHSM ?

Oui. Vous trouverez l’accord de niveau de service (SLA) pour AWS CloudHSM ici.

Sécurité

Q : Mon CloudHSM est-il partagé avec d'autres clients AWS ?

Non. Dans le cadre du service, vous obtenez un accès unique à votre HSM. Le matériel sous-jacent peut être partagé avec d'autres utilisateurs, mais le HSM n'est accessible que par vous.

Q : Comment le HSM est-il géré par AWS sans avoir accès à mes clés de chiffrement ?

La séparation des responsabilités et le contrôle d'accès basé sur des rôles sont deux concepts qui ont guidé la conception de CloudHSM. AWS possède des identifiants limités au HSM qui nous permettent de surveiller et de maintenir la bonne santé et la disponibilité du HSM, d'effectuer des sauvegardes chiffrées et d'extraire et de publier des journaux d'audits dans vos CloudWatch Logs. AWS n'a pas la possibilité de voir, d'accéder ou d'utiliser vos clés ou d'effectuer toute opération chiffrée à votre HSM en utilisant vos clés.

Consultez le CloudHSM User Guide pour de plus amples informations sur la séparation des responsabilités ainsi que sur les possibilités que chaque classe d'utilisateur possède sur le HSM.

Q : Puis-je suivre mon HSM ?

Oui. CloudHSM publie différentes métriques CloudWatch pour les clusters CloudHSM et chaque instance HSM individuelle. Vous pouvez utiliser la console, l'API ou le SDK AWS CloudWatch pour consulter ou être alerté sur ces statistiques.

Q : Quelle est la "source entropique" (source aléatoire) du CloudHSM ?

Chaque HSM dispose d'un générateur déterministe de bits aléatoires (DRBG) alimenté par un générateur de nombres réellement aléatoires (TRNG) au sein du module matériel HSM conforme à la norme SP800-90B. Il s'agit d'une source entropique de qualité élevée capable de produire 20 Mo/s d'entropie par HSM.

Q : Que se passe-t-il en cas de tentative d'accès non autorisé à l'appliance HSM ?

CloudHSM possède des systèmes de détection des atteintes physiques et logiques et des mécanismes de réponse qui déclenchent la suppression des clés (abrogation) de l'appliance. Le matériel est conçu pour détecter une atteinte si sa barrière physique est rompue. Les instances HSM sont également protégées contre les tentatives de connexion par force brute. Après un certain nombre d'échecs de tentatives d'accès à un HSM avec des informations d'identification Crypto Officer (CO), l'instance HSM verrouille le CO. De la même manière, après un nombre déterminé de tentatives infructueuses d'accéder à un HSM à l'aide des informations d'identification Crypto User (CU), l'utilisateur sera bloqué et devra être débloqué par un CO.

Q : Que se passe-t-il en cas de défaillance ?

Amazon assure la surveillance et la maintenance de la disponibilité et des conditions d'erreur du HSM et du réseau. Si un HSM rencontre une défaillance ou perd la connectivité au réseau, le HSM sera remplacé automatiquement. Vous pouvez vérifier l'état d'un HSM spécifique via l'API CloudHSM, le kit SDK ou des outils d'interface de ligne de commande, ainsi que l'état général du service, à tout moment, via AWS Service Health Dashboard.

Q : Est-il possible que je perde mes clés en cas de défaillance d'une appliance HSM ?

Oui. Il est possible de perdre des clés créées précédemment lors de la sauvegarde quotidienne la plus récente si le cluster CloudHSM que vous utilisez rencontre une défaillance et que vous n'utilisez pas deux ou plus de deux HSM. Amazon vous recommande fortement d'utiliser deux ou plus de deux HSM dans des zones de disponibilité séparées, dans tout cluster CloudHSM de production afin d'éviter la perte de clés de chiffrement.

Q : Amazon peut-il récupérer mes clés si je perds les informations d'identification me permettant d'accéder au HSM ?

Non. Amazon n'a pas accès à vos clés, ni à vos informations d'identification, et ne peut donc pas récupérer vos clés en cas de perte de vos informations d'identification.

Q : Comment savoir si je peux faire confiance aux CloudHSM ?

CloudHSM repose sur un matériel validé par la norme FIPS (Federal Information Processing Standard) 140-2 de niveau 3. Vous trouverez des informations sur le profil de sécurité FIPS 140-2 pour le matériel utilisé par CloudHSM et le micrologiciel qu'il exécute, sur notre page relative à la conformité.

Q : Le service CloudHSM prend-il en charge FIPS 140-2 niveau 3 ?

Oui, CloudHSM fournit des HSM validés par la norme FIPS 140-2 de niveau 3. Vous pouvez suivre la procédure décrite dans le Guide de l’utilisateur CloudHSM, à la sectionVérifier l’authenticité de votre HSM afin de confirmer que vous disposez d'un HSM authentique sur le même modèle de matériel précisé dans le lien vers la politique de sécurité du NIST figurant ci-dessus.

Q : Comment exploiter un module CloudHSM en mode FIPS 140-2 ?

Un module CloudHSM se trouve toujours en mode FIPS 140-2. Vous pouvez vérifier cette option en utilisant les outils d'interface de ligne de commande (CLI) comme cela est décrit dans le manuel CloudHSM User Guide en exécutant la commande getHsmInfo, qui vous indiquera le statut du mode FIPS.

Q : Puis-je obtenir un historique de tous les appels d'API CloudHSM effectués depuis mon compte ?

Oui. AWS CloudTrail enregistre les appels d'API AWS sur votre compte. L'historique des appels d'API AWS généré par CloudTrail vous permet de réaliser une analyse de sécurité, un suivi des modifications au niveau des ressources, ainsi que des audits de conformité. Pour en savoir plus sur CloudTrail, consultez la page de présentation d'AWS CloudTrail et, pour l'activer, utilisez AWS Management Console de CloudTrail.

Q : Quels événements ne sont pas enregistrés dans CloudTrail ?

CloudTrail n'inclut ni les appareils HSM ni les journaux d'accès. Ceux-ci apparaissent directement dans votre compte AWS via les CloudWatch Logs. Pour en savoir plus, consultez le manuel CloudHSM User Guide.

Conformité

Q : Quelles initiatives de mise en conformité AWS incluent CloudHSM ?

Reportez-vous au site Conformité AWS pour en savoir plus sur les programmes de conformité couvrant CloudHSM. Contrairement aux autres services AWS, les exigences de conformité concernant CloudHSM sont souvent remplies directement par la validation FIPS 140-2 niveau 3 du matériel lui-même plutôt qu'en tant que programme d'audit séparé.

Q : Pourquoi la certification FIPS 140-2 niveau 3 est-elle importante ?

La certification FIPS 140-2 niveau 3 est exigée dans certains cas d'utilisation, notamment la signature de documents, le paiement ou lorsque vous utilisez HSM comme autorité de certification publique pour des certificats SSL.

Q : Comment puis-je obtenir des rapports de conformité couvrant le service CloudHSM ?

Vous pouvez en faire la demande auprès de votre représentant chargé du développement commercial. Si vous n'en avez pas, vous pouvez en faire la demande ici.

Performances et capacités

Q : Combien d'opérations cryptographiques CloudHSM peut-il réaliser par seconde ?

Les performances de chaque HSM varient selon leur charge de travail. Le tableau ci-dessous montre les performances approximatives d'un HSM seul pour plusieurs algorithmes de cryptographie ordinaires. Vous pouvez créer jusqu'à 28 instances HSM dans chaque cluster CloudHSM pour atteindre des performances 28 fois supérieures à celles répertoriées dans le tableau ci-dessous par cluster. Les performances peuvent varier selon les configurations exactes et les tailles des données. Nous vous encourageons donc à tester la charge de votre application avec CloudHSM pour déterminer vos besoins exacts en dimensionnement.

connexion/vérification RSA 2048 octets

1 100/sec

EC P256

315 points mul/s

AES 256

300 Mo/s chiffrement par lot en duplex intégral

Génération de clé RSA 2048 octets

~0,5/s

Génération de nombre aléatoire (CSPRNG)

20 Mo/s

Q : Combien de clés peut-on stocker sur une instance CloudHSM ?

Un cluster CloudHSM peut stocker environ 3 300 clés, quels qu’en soitent le type ou la taille.

AWS CloudHSM pour Oracle TDE

Q : CloudHSM prend-il en charge Amazon RDS Oracle TDE ?

Non. CloudHSM ne prend pas en charge Amazon RDS Oracle TDE. En revanche, Oracle TDE est pris en charge par les bases de données Oracle (11g et 12c) qui fonctionnent dans EC2. Consultez le Guide de l’utilisateur CloudHSM pour de plus amples informations. Vous pouvez également utiliser AWS Key Management Service (KMS) avec le stockage de clés personnalisé pour sécuriser les données Amazon RDS à l'aide des clés générées et stockées dans votre cluster AWS CloudHSM.

Client, API et SDK AWS CloudHSM

Q : Qu'est-ce que le client CloudHSM ?

Le client CloudHSM est un package logiciel fourni par AWS qui permet à vous et à vos applications d'interagir avec les clusters CloudHSM.

Q : Le client CloudHSM donne-t-il accès à AWS à mon cluster CloudHSM ?

Non. Toutes les communications entre le client et votre HSM sont chiffrées de bout en bout. AWS ne peut pas voir ni intercepter ces communications, et n'a pas non plus de visibilité sur vos identifiants d'accès au cluster.

Q : Quels sont les outils d'interface de ligne de commande (CLI) CloudHSM ?

Le client CloudHSM est fourni avec un ensemble d'outils CLI qui vous permettent d'administrer et d'utiliser le HSM depuis la ligne de commande HSM. Linux et Microsoft Windows sont pris en charge aujourd'hui. La prise en charge d'Apple macOS devrait suivre sous peu. Ces outils sont disponibles dans le même package que le client CloudHSM.

Q : Comment puis-je télécharger et commencer à utiliser les outils d'interface de ligne de commande CloudHSM ?

Pour le découvrir, consultez le Guide de l’utilisateur CloudHSM.

Q : Les outils d'interface de ligne de commande CloudHSM permettent-ils à AWS d'accéder au contenu du HSM ?

Non. Les outils CloudHSM communiquent directement avec votre cluster CloudHSM par l'intermédiaire du client CloudHSM sur un canal sécurisé à authentification mutuelle. AWS ne peut observer aucune communication entre le client, les outils et le HSM ; les communications sont cryptées de bout à bout.

Q : Sous quels systèmes d'exploitation puis-je utiliser les outils de ligne de commande Client CloudHSM et CLI ?

Plusieurs versions de Linux (versions modernes d'Amazon Linux, Redhat, Centos et Ubuntu) et de Microsoft Windows sont désormais prises en charge. La prise en charge d'Apple macOS devrait suivre sous peu. S'il existe d'autres systèmes d'exploitation sous lesquels vous souhaitez utiliser les outils Client CloudHSM et CLI, merci de nous en informer.

Q : Quels sont les prérequis en matière de connectivité réseau pour utiliser des outils d'interface de ligne de commande CloudHSM ?

L'hébergeur sur lequel vous exécutez le client CloudHSM et/ou utilisez les outils CLI doit disposer de l'accessibilité au réseau pour l'ensemble des HSM de votre cluster CloudHSM.

Q : Que puis-je faire avec l'API et le kit SDK CloudHSM ?

Vous pouvez créer, modifier, supprimer et obtenir le statut des clusters CloudHSM et des HSM. Les tâches que vous pouvez effectuer avec l'API AWS CloudHSM sont limitées par les opérations qu'AWS peut réaliser avec son accès restreint. L'API ne peut pas accéder aux contenus du HSM ou modifier tout utilisateur, stratégie ou tout autre réglage. Pour plus d'informations sur l'API, consultez le manuel CloudHSM Documentation. Pour plus d'informations sur le kit SDK, consultez la page Outils pour Amazon Web Services.

Migration vers le nouveau CloudHSM

Q : Comment dois-je planifier ma migration vers AWS CloudHSM ?

Commencez par veiller à ce que les algorithmes et modes nécessaires soient pris en charge par CloudHSM. Votre responsable de compte peut nous envoyer des demandes de fonctionnalités si besoin. Ensuite, déterminez votre stratégie de rotation de clés. Les suggestions pour les cas d’utilisation courants se trouvent dans la Q/R suivante. Nous avons également publié un guide de migration approfondi pour CloudHSM. Vous êtes désormais prêt à démarrer avec le nouveau CloudHSM.

Q : Comment procéder à la rotation de mes clés ?

Votre stratégie de rotation dépendra du type d'application. Voici quelques exemples courants.

  • Clés privées pour la signature : en général, une clé privée sur le HSM correspond à un certificat intermédiaire à son tour signé par une racine d'entreprise hors ligne. Vous procéderez à la rotation des clés en émettant un nouveau certificat intermédiaire. Créez une nouvelle clé privée et générez le CSR correspondant à l'aide d'OpenSSL sur CloudHSM. Ensuite, signez le CSR avec la même racine d'entreprise hors ligne. Il se peut que vous ayez à enregistrer ce nouveau certificat avec des partenaires qui ne vérifient pas automatiquement la totalité de la chaine de certificat. En poursuivant, vous signerez toutes les nouvelles demandes (pour des documents, du code ou d'autres certificats, par exemple) avec la nouvelle clé privée qui correspondra au nouveau certificat. Vous pouvez continuer de vérifier des signatures à partir de la clé privée originale avec la clé publique correspondante. Aucune révocation n'est nécessaire. Ce processus est analogue à celui qu'il faut suivre pour retirer ou archiver un clé de signature.
  • Chiffrement transparent de données Oracle : vous pouvez transférer votre porte-monnaie en passant d'abord d'un magasin de clés matériel (votre HSM d'origine) à un magasin de clés logiciel, puis en revenant à un magasin de clés matériel (le nouveau CloudHSM).
  • Clé symétrique pour le chiffrement d'enveloppes : le chiffrement d'enveloppes fait référence à l'architecture de clés dans laquelle une clé du HSM chiffre/déchiffre plusieurs clés de données sur l'hôte de l'application. Vous disposez certainement déjà d'un processus de rotation de clés pour le transfert et le déchiffrement de clés de données avec l'ancienne clé d'assemblage, ainsi que pour leur rechiffrement avec la nouvelle clé d'assemblage. La seule différence lors de la migration résidera dans la nouvelle clé d'assemblage qui sera créée et utilisée sur CloudHSM et non sur le HSM d'origine. Si vous n'avez pas déjà d'outil ou de processus de rotation de clés, vous devrez en créer un.

Q : Et si je n'arrive pas à procéder à la rotation de mes clés ?

Chaque application et chaque cas d'utilisation sont différents. Vous trouverez des solutions aux scénarios les plus courants dans le guide de migration de CloudHSM. Si vous avez d'autres questions, ouvrez un cas d'assistance en indiquant les détails de votre application, le type de HSM que vous utilisez actuellement, le type de clés que vous utilisez et si ces clés peuvent être exportées ou non. Nous vous aiderons à déterminer une voie de migration appropriée.

Support et maintenance

Q : Comment est assurée la maintenance quotidienne des appliances HSM ?

Les procédures AWS de maintenance quotidienne pour CloudHSM sont conçues pour éviter les interruptions simultanées dans plusieurs zones de disponibilité de la même région.

AWS suit et maintient les instances HSM. Nous devrons éventuellement retirer une instance HSM du service afin de la mettre à niveau, de la remplacer ou de la tester. De telles opérations ne devraient pas nécessiter plus de vingt minutes dans le cas d'un remplacement et ne devraient pas interférer avec les performances de votre cluster CloudHSM dans des circonstances normales. Une application qui utilise de manière active un HSM en particulier dans le cluster lorsque celui-ci est remplacé peut rencontrer une interruption momentanée, le temps que le client CloudHSM réessaye cette opération sur un HSM différent dans le cluster.

AWS veille à respecter un délai de 24 heures entre chaque maintenance quotidienne d'appliances HSM situées dans plusieurs zones de disponibilité de la même région.

En cas d'événement imprévu, il est possible qu'AWS effectue une maintenance d'urgence sans notification préalable. AWS tente, autant que possible, d'éviter l'apparition d'une telle situation, ou de toute autre situation nécessitant une maintenance d'urgence dans un délai de moins de 24 heures sur des appliances HSM situées dans plusieurs zones de disponibilité de la même région.

AWS vous recommande fortement d'utiliser des clusters CloudHSM avec deux ou plus de deux HSM dans des zones de disponibilité séparées afin d'éviter toute interruption potentielle.

Q : Je rencontre un problème avec CloudHSM. Que puis-je faire ?

Contactez AWS Support


Pour toute question concernant AWS CloudHSM Classic, consultez la Foire aux questions AWS CloudHSM.

En savoir plus sur la tarification d’AWS CloudHSM

Visiter la page de tarification
Prêt à créer ?
Mise en route d’AWS CloudHSM
D'autres questions ?
Contactez-nous