Q : Qu'est-ce qu'AWS CloudHSM ?

Le service AWS CloudHSM vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données en mettant à votre disposition des modules de sécurité matériels (HSM, Hardware Security Module) dédiés dans le cloud AWS. AWS et les partenaires AWS Marketplace proposent différentes solutions de protection des données sensibles sur la plate-forme AWS, mais dans le cas d'applications et de données soumises à des exigences contractuelles ou réglementaires en termes de gestion des clés cryptographiques, une protection supplémentaire peut s'avérer nécessaire. CloudHSM vient compléter les solutions de protection des données existantes en vous permettant de protéger vos clés de chiffrement dans des HSM conformes aux normes gouvernementales relatives à la gestion sécurisée des clés. Avec CloudHSM, vous pouvez générer, stocker et gérer de manière sécurisée les clés cryptographiques utilisées pour le chiffrement des données, afin d'être le seul à pouvoir y accéder.

Q : Qu'est-ce qu'un module de sécurité matériel (HSM) ?

Un module de sécurité matériel (HSM, Hardware Security Module) est une appliance matérielle permettant de mettre en œuvre des opérations de chiffrement et de stockage des clés de manière sécurisée au sein d'un dispositif matériel protégé contre tout accès non autorisé. Les HSM garantissent un stockage sécurisé des clés cryptographiques et les utilisent uniquement au sein de la limite cryptographique de l'appliance.

Q : Que puis-je faire avec CloudHSM ?

Vous pouvez utiliser le service CloudHSM pour prendre en charge différents cas d'utilisation et applications, notamment le chiffrement de bases de données, la gestion des droits numériques (DRM, Digital Rights Management), les infrastructures à clé publique (PKI, Public Key Infrastructure), les définitions d'authentifications et d'autorisations, la signature de documents et le traitement des transactions.

Q : Comment le service CloudHSM fonctionne-t-il ?

Lorsque vous utilisez le service AWS CloudHSM, vous créez un cluster CloudHSM. Les clusteurs peuvent contenir jusqu'à 32 HSM individuels répartis sur plusieurs zones de disponibilité qui sont automatiquement synchronisés et chargés de manière équilibrée. Vous recevrez un accès dédié à client unique à chaque HSM du cluster. Chaque HSM apparaît comme une ressource réseau dans votre VPC (Virtual Private Cloud). Lors de la mise en service, vous recevrez les informations d'identification d'administrateur pour le cluster et pourrez créer d'autres utilisateurs et administrateurs si nécessaire. Ajouter et retirer des HSM de votre cluster se fait par un simple appel vers l'API AWS CloudHSM (ou sur la ligne de commande à l'aide d'AWS CLI). Après avoir créé et initialisé un Cluster CloudHSM, vous pouvez configurer un client sur votre instance EC2 qui permet à vos applications d'utiliser le cluster sur une connexion réseau sécurisée et authentifiée.

Les administrateurs d'Amazon surveillent la santé de vos HSM, mais n'ont pas d'accès pour les configurer, les gérer ou les utiliser. Vos applications utilisent des API de chiffrement standard, conjointement avec le logiciel client du HSM installé sur l'instance d'application, afin d'envoyer des demandes de chiffrement au HSM. Le logiciel client maintient un canal sécurisé pour l'ensemble des HSM de votre cluster et envoie des requêtes sur ce canal. Votre HSM réalise ensuite les opérations et renvoie les résultats sur le canal sécurisé. Le client renvoie ensuite le résultat à l'application via l'API de chiffrement.

Q : Je ne dispose pas d'un VPC pour le moment. Puis-je tout de même utiliser AWS CloudHSM ?

Non. Afin de protéger et d'isoler votre CloudHSM des autres clients Amazon, vous devez le mettre en service au sein d'un VPC. Vous pouvez facilement créer un VPC. Pour en savoir plus, consultez le Manuel de mise en route d'Amazon Virtual Private Cloud.

Q : Mon application doit-elle se trouver dans le même VPC que le cluster CloudHSM ?

Non, mais le serveur ou l'instance sur laquelle votre application et le HSM client s'exécutent doit bénéficier d'un accès réseau (IP) pour l'ensemble des HSM du cluster. Vous pouvez établir la connectivité réseau de votre application au HSM à bien des égards, notamment pour exécuter votre application dans le même VPC, via des VPC pairs, une connexion VPN, ou bien Direct Connect. Pour en savoir plus, veuillez consulter les manuels « VPC Peering Guide » et « VPC User Guide ».

Q : CloudHSM est-il compatible avec des HSM sur site ?

Oui. Bien que CloudHSM n'interagisse pas directement avec les HSM sur site, il est possible de déplacer ou de synchroniser des clés entre elles en fonction des cas d'utilisation, du type de clés et du type d'HSM sur site. Ouvrez une demande à l'assistance technique AWS dans votre AWS Console pour bénéficier d'une aide supplémentaire à ce sujet.

Q : Comment mon application peut-elle utiliser CloudHSM ?

Nous avons intégré et testé CloudHSM avec plusieurs solutions logicielles tierces telles que Oracle Database 11g et 12c et des serveurs Web dont Apache et Nginx pour le déchargement de SSL. Consultez le manuel CloudHSM User Guide pour en savoir plus.

Si vous développez votre propre application personnalisée, celle-ci peut utiliser les API standard prises en charge par CloudHSM, notamment PKCS#11 et Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). Microsoft CAPI/CNG sera bientôt pris en charge. Pour obtenir des exemples de code et des informations sur la mise en route, consultez le manuel « CloudHSM User Guide ».

Q : Est-il possible d’utiliser CloudHSM pour stocker des clés ou chiffrer des données utilisées par d’autres services AWS ?

Oui. Vous pouvez effectuer tout le chiffrement dans votre application intégrée CloudHSM. Dans ce cas, les services AWS comme S3 ou EBS ne verront que les données chiffrées.

Q : Les autres services AWS peuvent-ils utiliser CloudHSM pour stocker et gérer des clés ?

À ce jour, les services AWS ne s'intègrent pas directement à CloudHSM. Si vous souhaitez utiliser le chiffrement côté serveur proposé par de nombreux services AWS (comme EBS, S3 ou RDS), vous devriez envisager l'utilisation d'AWS Key Management Service. Nous prévoyons d'intégrer progressivement CloudHSM aux autres services AWS. Si ce point vous intéresse, n'hésitez pas à nous contacter.

Q : CloudHSM peut-il être utilisé pour réaliser la traduction par bloc d'un numéro d'identification personnel (PIN) ou d'autres opérations cryptographiques utilisées lors de transactions de paiement par carte de débit ?

Actuellement, CloudHSM fournit des HSM à usage général. Avec le temps, nous proposerons peut-être des fonctions de paiement. Si ce point vous intéresse, n'hésitez pas à nous contacter.

Q : En quoi AWS Key Management Service (KMS) est-il différent d'AWS CloudHSM ?

AWS Key Management Service (KMS) est un service géré à locataires multiples qui vous permet d'utiliser et de gérer des clés de chiffrement. Les deux services proposent un niveau élevé de sécurité pour vos clés de chiffrement. AWS CloudHSM vous apporte un HSM dédié répondant à la norme FIPS 140-2 niveau 3 sous votre contrôle exclusif directement dans votre Amazon Virtual Private Cloud (VPC).

Q : Quand me conseillez-vous d'utiliser AWS CloudHSM plutôt qu'AWS KMS ?

Vous devriez envisager l'utilisation d'AWS CloudHSM s'il vous faut :

  • des clés stockées dans des modules de sécurité matérielle dédiés et validés par un tiers sous votre contrôle exclusif ;
  • un système conforme à FIPS 140-2 ;
  • une intégration à des applications utilisant les interfaces PKCS#11, Java JCE, ou Microsoft CNG.
  • de hautes performances en accélération de chiffrement VPC (chiffrement par bloc).

Q : Mon HSM basé sur Safenet sera-t-il retiré ?

Non. Bien que nous croyons que l'ensemble de fonctionnalités et le coût du nouveau service CloudHSM proposent une alternative bien plus intéressante, nous conserverons l'AWS CloudHSM Classic de nos clients existants. Des ressources seront mises à votre disposition rapidement pour vous aider à migrer de CloudHSM Classic vers le nouveau service.

Q : Comment démarrer avec CloudHSM ?

Vous pouvez mettre en service un cluster CloudHSM dans la console CloudHSM ou grâce à quelques appels d'API dans le SDK ou l'API AWS. Pour en savoir plus sur comment bien démarrer, consultez le manuel CloudHSM User Guide. Pour plus d'informations sur l'API CloudHSM, consultez le manuel CloudHSM Documentation. Pour plus d'informations sur le kit SDK, consultez la page Outils pour Amazon Web Services.

Q : Comment mettre fin au service CloudHSM ?

Vous pouvez utiliser l'API ou le SDK CloudHSM pour supprimer vos HSM et arrêter d'utiliser ce service. Pour obtenir des instructions supplémentaires, veuillez vous référer au manuel « CloudHSM User Guide ».

Q : Comment mon utilisation du service AWS CloudHSM me sera-t-elle facturée ?

Des frais horaires vous seront facturés pour chaque heure (ou heure partielle) où un HSM est alloué à un cluster CloudHSM. Un cluster qui ne contient pas de HSM ne sera pas facturé tout comme vous ne serez pas facturé pour le stockage automatique que nous faisons des sauvegardes chiffrées. Amazon se réserve le droit de facturer les transferts de données réseau depuis et vers un AWS CloudHSM lorsque ceux-ci dépassent 5 000 Go par mois. Pour plus d'informations, veuillez visiter la page Tarification CloudHSM.

Q : Existe-t-il une offre gratuite pour le service CloudHSM ?

Non, il n'existe pas d'offre gratuite disponible pour CloudHSM.

Q : Est-il nécessaire de remplir certaines conditions préalables pour s'inscrire à CloudHSM ?

Oui. Pour commencer à utiliser CloudHSM, vous devez disposer de plusieurs éléments, dont notamment un Virtual Private Cloud (VPC) dans la région où vous souhaitez bénéficier de ce service. Pour en savoir plus, consultez le manuel « CloudHSM User Guide ».

Q : Ai-je besoin de gérer les versions du microprogramme sur mon HSM ?

Non. AWS gère le microprogramme du matériel. La maintenance du microprogramme est effectuée par un tiers et la conformité à la norme FIPS 140-2 niveau 3 de chaque microprogramme doit être évaluée par le NIST (National Institute of Standards and Technology, l'institut américain des normes et de la technologie). Seuls les microprogrammes qui ont été signés de manière chiffrée à l'aide d'une clé FIPS (à laquelle AWS n'a pas accès) peuvent être installés.

Q : Combien d'HSM dois-je avoir dans mon cluster CloudHSM ?

AWS vous recommande fortement d'utiliser au moins deux HSM dans deux zones de disponibilité différentes pour toute charge de travail de production. Pour les charges de travail stratégiques, nous vous recommandons au moins trois HSM dans au moins deux zones de disponibilité différentes. Le client CloudHSM gérera automatiquement toute défaillance d'un HSM et équilibrera les charges vers deux ou plusieurs HSM de manière transparente dans votre application.

Q : Qui est responsable de la durabilité des clés ?

AWS effectue des sauvegardes chiffrées automatiques de votre cluster CloudHSM de manière quotidienne et des sauvegardes supplémentaires lorsque des événements du cycle de vie d'un cluster se produisent (comme l'ajout ou la suppression d'un HSM). Pour la période de 24 heures entre chaque sauvegarde, vous êtes uniquement responsable de la durabilité des éléments de clé créés ou importés vers votre cluster. Nous vous recommandons fortement de vous assurer que chacune des clés créées est synchronisée vers au moins deux HSM dans deux zones de disponibilité différentes pour assurer la durabilité de vos clés. Consultez le CloudHSM User Guide pour plus d'informations sur la vérification de la synchronisation des clés.

Q : Comment définir une configuration à haute disponibilité (HA) ?

La haute disponibilité est fournie automatiquement lorsque vous possédez au moins deux HSM dans votre cluster CloudHSM. Aucune configuration supplémentaire n'est requise. Dans le cas d'une défaillance d'un HSM dans votre cluster, celui-ci sera remplacé automatiquement et tous les clients seront mis à jour pour refléter la nouvelle configuration sans interrompre toute opération en cours. Des HSM supplémentaires peuvent être ajoutés au cluster via l'API ou le SDK AWS afin d'augmenter la disponibilité sans interrompre votre application.

Q : Combien d'HSM peut-on connecter à un cluster CloudHSM ?

Un seul Cluster CloudHSM peut contenir jusqu'à 32 HSM.

Q : Est-il possible de sauvegarder le contenu d’un CloudHSM ?

Une sauvegarde de votre cluster CloudHSM est effectuée quotidiennement par AWS. Les clés peuvent également être exportées (« emballées ») hors de votre cluster et stockées sur site tant qu'elles n'ont pas été générées en tant que « non exportables ». Aucune autre solution de sauvegarde n'est disponible pour le moment, bien que nous pensons fournir une possibilité de sauvegarde sur site plus complète dans un futur proche.

Q : Existe-t-il un accord de niveau de service (SLA) pour CloudHSM ?

A l'heure actuelle, il n'existe pas de SLA pour CloudHSM.

Q : Mon CloudHSM est-il partagé avec d'autres clients AWS ?

Non. Dans le cadre du service, vous obtenez un accès unique à votre HSM. Le matériel sous-jacent peut être partagé avec d'autres utilisateurs, mais l'HSM n'est accessible que par vous.

Q : Comment le HSM est-il géré par AWS sans avoir accès à mes clés de chiffrement ?

La séparation des responsabilités et le contrôle d'accès basé sur des rôles sont deux concepts qui ont guidé la conception de CloudHSM. AWS possède des identifiants limités à l'HSM qui nous permettent de surveiller et de maintenir la bonne santé et la disponibilité de l'HSM, d'effectuer des sauvegardes chiffrées et d'extraire et de publier des journaux d'audits dans vos CloudWatch Logs. AWS n'a pas la possibilité de voir, d'accéder ou d'utiliser vos clés ou d'effectuer toute opération chiffrée à votre HSM en utilisant vos clés.

Consultez le CloudHSM User Guide pour de plus amples informations sur la séparation des responsabilités ainsi que sur les possibilités que chaque classe d'utilisateur possède sur l'HSM.

Q : Puis-je effectuer une surveillance de l'appliance HSM ?

Oui. CloudHSM publie différentes statistiques CloudWatch pour les clusters CloudHSM et chaque HSM individuel. Vous pouvez utiliser la console, l'API ou le SDK AWS CloudWatch pour consulter ou être alerté sur ces statistiques.

Q : Quelle est la "source entropique" (source aléatoire) du CloudHSM ?

Chaque HSM dispose d'un générateur déterministe de bits aléatoires (DRBG) alimenté par un générateur de nombres réellement aléatoires (TRNG) au sein du module matériel HSM conforme à la norme SP800-90B. Il s'agit d'une source entropique de qualité élevée capable de produire 20 Mo/s d'entropie par HSM.

Q : Que se passe-t-il en cas de tentative d'accès non autorisé à l'appliance HSM ?

CloudHSM possède des systèmes de détection des atteintes physiques et logiques et des mécanismes de réponse qui déclenchent la suppression des clés (abrogation) de l'appliance. Le HSM est conçu pour détecter une atteinte en cas de défaillance de la barrière physique de l'HSM. De plus, après cinq tentatives échouées d'accès à un HSM à l'aide des identifiants Crypto Officer (CO), l'appliance HSM s'efface d'elle-même. Après cinq tentatives infructueuses d'accéder à un HSM à l'aide des identifiants Crypto User (CU), l'utilisateur sera bloqué et devra être débloqué par un CO.

Q : Que se passe-t-il en cas de défaillance ?

Amazon assure la surveillance et la maintenance de la disponibilité et des conditions d'erreur de l'HSM et du réseau. Si un HSM rencontre une défaillance ou perd la connectivité au réseau, l'HSM sera remplacé automatiquement. Vous pouvez vérifier l'état d'un HSM spécifique via l'API CloudHSM, le kit SDK ou des outils d'interface de ligne de commande, ainsi que l'état général du service, à tout moment, via le tableau de bord de l'état des services AWS.

Q : Est-il possible que je perde mes clés en cas de défaillance d'une appliance HSM ?

Oui. Il est possible de perdre des clés créées précédemment lors de la sauvegarde quotidienne la plus récente si le cluster CloudHSM que vous utilisez rencontre une défaillance et que vous n'utilisez pas deux ou plus de deux HSM. Amazon vous recommande fortement d'utiliser deux ou plus de deux HSM dans des zones de disponibilité séparées, dans tout cluster CloudHSM de production afin d'éviter la perte de clés de chiffrement.

Q : Amazon peut-il récupérer mes clés si je perds les informations d'identification me permettant d'accéder à l'appliance ?

Non. Amazon n'a pas accès à vos clés, ni à vos informations d'identification, et ne peut donc pas récupérer vos clés en cas de perte de vos informations d'identification.

Q : Comment savoir si je peux faire confiance aux appliances CloudHSM ?

CloudHSM est conçu pour être conforme à la norme 140-2 niveau 3 du FIPS (Federal Information Processing Standard). Vous pourrez trouver le profil de sécurité FIPS 140-2 pour le matériel sous-jacent utilisé par CloudHSM ici : http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

Vous pouvez suivre la procédure décrite dans la section Verify the Authenticity of Your HSM du manuel CloudHSM User Guide afin de confirmer que vous disposez d'un HSM authentique sur le même modèle de matériel précisé dans le lien vers la politique de sécurité du NIST figurant ci-dessus.

Q : Comment exploiter un module CloudHSM en mode FIPS 140-2 ?

Un module CloudHSM se trouve toujours en mode FIPS 140-2. Vous pouvez vérifier cette option en utilisant les outils CLI comme cela est décrit dans le CloudHSM User Guide en exécutant la commande getHsmInfo, qui vous indiquera le statut du mode FIPS.

Q : Le service CloudHSM prend-il en charge FIPS 140-2 niveau 3 ?

Oui, CloudHSM se trouve toujours en mode FIPS 140-2 niveau 3.

Q : Comment distribuer les informations d’identification d’une partition HSM vers mes instances de manière sécurisée ?

Vous pouvez vous référer au billet « Using IAM roles to distribute non-AWS credentials to your EC2 instances » publié sur le blog AWS consacré à la sécurité.

Q : Puis-je obtenir un historique de tous les appels d'API CloudHSM effectués depuis mon compte ?

Oui. AWS CloudTrail enregistre les appels d'API AWS sur votre compte. L'historique des appels d'API AWS généré par CloudTrail vous permet de réaliser une analyse de sécurité, un suivi des modifications au niveau des ressources, ainsi que des audits de conformité. Pour en savoir plus sur CloudTrail, consultez la page de présentation d'AWS CloudTrail et, pour l'activer, utilisez AWS Management Console de CloudTrail.

Q : Quels événements ne sont pas enregistrés dans CloudTrail ?

CloudTrail n'inclut ni les appareils HSM ni les journaux d'accès. Ceux-ci apparaissent directement dans votre compte AWS via les CloudWatch Logs. Pour en savoir plus, consultez le manuel CloudHSM User Guide.

Q : Quelles initiatives de mise en conformité AWS incluent CloudHSM ?

Reportez-vous au site Conformité AWS pour en savoir plus sur les programmes de conformité couvrant CloudHSM. Contrairement aux autres services AWS, les exigences de conformité concernant CloudHSM sont souvent remplies directement par la validation FIPS 140-2 niveau 3 du matériel lui-même plutôt qu'en tant que programme d'audit séparé.

Q : Pourquoi la certification FIPS 140-2 niveau 3 est-elle importante ?

La certification FIPS 140-2 niveau 3 est exigée dans certains cas d'utilisation, notamment la signature de documents, le paiement ou lorsque vous utilisez HSM comme autorité de certification publique pour des certificats SSL.

Q : Comment puis-je obtenir des rapports de conformité couvrant le service CloudHSM ?

Vous pouvez en faire la demande auprès de votre représentant chargé du développement commercial. Si vous n'en avez pas, vous pouvez en faire la demande ici.

Q : Combien d'opérations cryptographiques CloudHSM peut-il réaliser par seconde ?

Les performances de chaque HSM varient selon leur charge de travail. Le tableau ci-dessous montre les performances approximatives d'un HSM seul pour plusieurs algorithmes de cryptographie ordinaires. Chaque Cluster CloudHSM peut contenir jusqu'à 32 HSM, apportant jusqu'à environ 32 fois les performances citées dans le tableau ci-dessous. Les performances peuvent varier selon les configurations exactes et les tailles des données. Nous vous encourageons donc à tester la charge de votre application avec CloudHSM pour déterminer vos besoins exacts en dimensionnement.

connexion/vérification RSA 2048 octets

1 100/sec

EC P256

315 points mul/s

AES 256

300 Mo/s chiffrement par lot en duplex intégral

Génération de clé RSA 2048 octets

~2/s

Génération de nombre aléatoire (CSPRNG)

20 Mo/s

Q : Combien de clés peut-on stocker sur une instance CloudHSM ?

Un cluster CloudHSM peut stocker jusqu'à 3 500 clés indépendamment du type ou de la taille.

Q : CloudHSM prend-il en charge Amazon RDS Oracle TDE ?

Non. CloudHSM ne prend pas en charge Amazon RDS Oracle TDE. En revanche, Oracle TDE est pris en charge par les bases de données Oracle (11g et 12c) qui fonctionnent dans EC2. Consultez le CloudHSM User Guide pour de plus amples informations.

Q : Qu'est-ce que le client CloudHSM ?

Le client CloudHSM est un package logiciel fourni par AWS qui permet à vous et à vos applications d'interagir avec les clusters CloudHSM.

Q : Le client CloudHSM donne-t-il accès à AWS à mon cluster CloudHSM ?

Non. Le client CloudHSM est open source et est édité sous licence BSD. La distribution source intégrale est disponible à la demande et peut être conçue à l'aide de vos propres outils de compilation. Nous fournissons par défaut un RPM binaire pour des raisons pratiques.

Q : Quels sont les outils d'interface de ligne de commande (CLI) CloudHSM ?

Le client CloudHSM est fourni avec un ensemble d'outils CLI qui vous permettent d'administrer et d'utiliser l'HSM depuis la ligne de commande HSM. Linux est actuellement pris en charge. MacOS et Windows le seront bientôt également. Ces outils sont disponibles dans le même package que le client CloudHSM.

Q : Comment puis-je télécharger et commencer à utiliser les outils d'interface de ligne de commande CloudHSM ?

Pour le découvrir, consultez le manuel « CloudHSM User Guide ».

Q : Les outils d'interface de ligne de commande CloudHSM permettent-ils à AWS d'accéder au contenu du HSM ?

Non. Les outils CloudHSM communiquent directement avec votre cluster CloudHSM par l'intermédiaire du client CloudHSM sur un canal sécurisé à authentification mutuelle. AWS ne peut observer aucune communication entre le client, les outils et l'HSM ; les communications sont cryptées de bout à bout.

Q : Sous quels systèmes d'exploitation puis-je utiliser les outils de ligne de commande Client CloudHSM et CLI ?

De nombreuses versions Linux (les versions modernes d'Amazon Linux, Redhat, Centos et Ubuntu), Microsoft Windows et Apple MacOS. S'il existe d'autres systèmes d'exploitation sous lesquels vous souhaitez utiliser les outils Client CloudHSM et CLI, merci de nous en informer.

Q : Quels sont les prérequis en matière de connectivité réseau pour utiliser des outils d'interface de ligne de commande CloudHSM ?

L'hébergeur sur lequel vous exécutez le client CloudHSM et/ou utilisez les outils CLI doit disposer de l'accessibilité au réseau pour l'ensemble des HSM de votre cluster CloudHSM.

Q : Que puis-je faire avec l'API CloudHSM et le kit SDK ?

Vous pouvez créer, modifier, supprimer et obtenir le statut des clusters CloudHSM et des HSM. Les tâches que vous pouvez effectuer avec l'API AWS CloudHSM sont limitées par les opérations qu'AWS peut réaliser avec son accès restreint. L'API ne peut pas accéder aux contenus de l'HSM ou modifier tout utilisateur, stratégie ou tout autre réglage. Pour plus d'informations sur l'API, consultez le manuel CloudHSM Documentation . Pour plus d'informations sur le kit SDK, consultez la page Outils pour Amazon Web Services.

Q : Comment est assurée la maintenance quotidienne des appliances HSM ?

Les procédures AWS de maintenance quotidienne des appliances HSM sont conçues pour éviter les interruptions simultanées dans plusieurs zones de disponibilité de la même région.

AWS surveille et effectue les opérations de maintenance sur l'HSM et peut avoir besoin de retirer un HSM afin de le mettre à niveau, le remplacer ou tester une partie du matériel. De telles opérations ne nécessitent pas plus de quelques minutes dans le cas d'un remplacement et ne devraient pas interférer avec les performances de votre cluster CloudHSM dans des circonstances normales. Une application qui utilise de manière active un HSM en particulier dans le cluster lorsque celui-ci est remplacé peut rencontrer une interruption momentanée, le temps que le client CloudHSM réessaye cette opération sur un HSM différent dans le cluster.

AWS veille à respecter un délai de 24 heures entre chaque maintenance quotidienne d'appliances HSM situées dans plusieurs zones de disponibilité de la même région.

En cas d'événement imprévu, il est possible qu'AWS effectue une maintenance d'urgence sans notification préalable. AWS tente, autant que possible, d'éviter l'apparition d'une telle situation, ou de toute autre situation nécessitant une maintenance d'urgence dans un délai de moins de 24 heures sur des appliances HSM situées dans plusieurs zones de disponibilité de la même région.

AWS vous recommande fortement d'utiliser des clusters CloudHSM avec deux ou plus de deux HSM dans des zones de disponibilité séparées afin d'éviter toute interruption potentielle.

Q : Je rencontre un problème avec CloudHSM. Que puis-je faire ?

Contactez AWS Support.


Pour toute question concernant AWS CloudHSM Classic, consultez la Foire aux questions AWS CloudHSM.