Geral

P: O que é o AWS CloudHSM?

O serviço AWS CloudHSM ajuda a cumprir requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando instâncias de Hardware Security Module (HSM – Módulo de segurança de hardware) dedicadas dentro da Nuvem AWS. Os parceiros da AWS e da AWS Marketplace oferecem diversas soluções para a proteção de dados confidenciais dentro da plataforma AWS. Porém, para alguns aplicativos e dados sujeitos a obrigações contratuais ou normativas rigorosas para o gerenciamento de chaves criptográficas, ocasionalmente é necessário oferecer proteção adicional. O CloudHSM complementa as soluções existentes de proteção de dados e permite proteger as chaves de criptografia dentro de HSMs projetados e validados de acordo com padrões governamentais para o gerenciamento seguro de chaves. O CloudHSM permite gerar, armazenar e gerenciar chaves de criptografia usadas para a criptografia de dados de tal forma que somente você tenha acesso a elas.

P: O que é um Hardware Security Module (HSM)?

Um Hardware Security Module (HSM) oferece armazenamento de chaves e operações criptográficas seguras em um dispositivo de hardware inviolável. Os HSMs são projetados para armazenar material de chaves criptográficas com segurança e usar esse material sem exposição ao exterior do perímetro de criptografia do hardware.

P: O que posso fazer com o CloudHSM?

Você pode usar o serviço CloudHSM para apoiar diversos casos de uso e aplicativos, como criptografia de banco de dados, Digital Rights Management (DRM – Gerenciamento de direitos digitais), Public Key Infrastructure (PKI – Infraestrutura de chaves públicas), autenticação e autorização, assinatura de documentos e processamento de transações.

P: Como funciona o CloudHSM?

Com o AWS CloudHSM, você cria um cluster do CloudHSM. Os clusters podem conter vários HSMs, distribuídos em várias zonas de disponibilidade em uma região. Os HSMs em um cluster são automaticamente sincronizados e têm balanceamento de carga. Você recebe acesso unilocatário dedicado a cada HSM no cluster. Cada HSM é exibido como um recurso de rede na Amazon Virtual Private Cloud (VPC). A adição e a remoção de HSMs do cluster requer uma chamada única para a API do AWS CloudHSM (ou na linha de comando usando a AWS CLI). Depois de criar e inicializar um cluster do CloudHSM, você poderá configurar um cliente na instância do EC2 que permita que aplicativos usem o cluster em uma conexão de rede segura e autenticada.

O serviço monitora automaticamente a integridade dos HSMs, porém o pessoal da AWS não tem acesso às suas chaves nem aos seus dados. Os seus aplicativos usam APIs padrão de criptografia com o software cliente do HSM, instalado na instância do aplicativo, para enviar solicitações de criptografia ao HSM. O software cliente mantém um canal seguro para todos os HSMs no cluster e envia solicitações nesse canal. Então, o HSM executa as operações e retorna os resultados pelo canal seguro. Em seguida, o cliente envia o resultado ao aplicativo por meio da API de criptografia.

P: Eu não tenho uma VPC no momento. Ainda posso usar o AWS CloudHSM?

Não. Para proteger e isolar o seu AWS CloudHSM de outros clientes da Amazon, ele deve ser provisionado dentro de uma VPC da Amazon. É fácil criar uma VPC. Consulte o Guia de conceitos básicos do Amazon VPC para obter mais informações.

P: O meu aplicativo precisa residir na mesma VPC que o cluster do CloudHSM?

Não, mas é necessário que o servidor ou a instância em que o aplicativo e o cliente HSM estejam em execução possam ser alcançados pela rede (IP) por todos os HSMs no cluster. Você pode estabelecer conectividade de rede do seu aplicativo ao HSM de diversas formas, incluindo a operação do aplicativo na mesma VPC, com emparelhamento de VPCs, com uma conexão VPN ou com o Direct Connect. Consulte o Guia de emparelhamento de VPC e o Guia do usuário de VPC para obter mais detalhes.

P: O CloudHSM funciona com HSMs locais?

Sim. Embora o CloudHSM não tenha interoperabilidade direta com os HMSs locais, é possível transferir chaves exportáveis com segurança entre o CloudHSM e a maioria dos HSMs comerciais usando um dos vários métodos de encapsulamento de chaves RSA compatíveis.   

P: Como o meu aplicativo usa o CloudHSM?

Integramos e testamos o CloudHSM com várias soluções de software de terceiros, como banco de dados Oracle 11g e 12c, e servidores web, como Apache e Nginx, para transferir o processamento de SSL. Consulte o Guia do usuário do CloudHSM para obter mais informações.

Se você estiver desenvolvendo o seu próprio aplicativo personalizado, ele poderá usar as APIs padrão aceitas pelo CloudHSM, como PKCS#11 e Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions) ou Microsoft CAPI/CNG. Consulte o Guia do usuário do CloudHSM para obter exemplos de código e ajuda para começar a usar.

Se você estiver movimentando uma carga de trabalho existente do CloudHSM Classic ou HSMs locais para o CloudHSM, nosso Guia de migração do CloudHSM fornece informações sobre como planejar e executar sua migração.

P: Posso usar o CloudHSM para armazenar chaves ou criptografar dados usados por outros serviços da AWS?

Sim. Você pode fazer toda a criptografia no aplicativo integrado ao CloudHSM. Nesse caso, os serviços da AWS, como o Amazon S3 ou o Amazon Elastic Block Store (EBS), conseguiriam ver seus dados somente criptografados.

P: Outros serviços da AWS podem usar o CloudHSM para armazenar e gerenciar chaves?

Os serviços da AWS integram-se ao AWS Key Management Service, que, por sua vez, integra-se ao AWS CloudHSM por meio do recurso de armazenamento de chaves personalizado do KMS. Se deseja usar a criptografia do lado do servidor oferecida por muitos serviços da AWS (como o EBS, o S3 ou o Amazon RDS), é possível fazê-lo configurando um armazenamento de chaves personalizado no AWS KMS.

P: O CloudHSM pode ser usado para executar a tradução de bloco de número de identificação pessoal (PIN) ou outras operações de criptografia usadas com transações de pagamento por débito?

No momento, o CloudHSM provisiona HSMs de propósito geral. Com o tempo, poderemos oferecer funções de pagamento. Se você está interessado, entre em contato conosco.

P: Como faço para começar a usar o CloudHSM?

Você pode provisionar um cluster do CloudHSM no Console do CloudHSM, ou ao fazer algumas chamadas de API por meio do AWS SDK ou da API. Para saber mais, consulte o Guia do usuário do CloudHSM para obter informações sobre os conceitos básicos, a documentação do CloudHSM para obter informações sobre a API do CloudHSM, ou a página Ferramentas da Amazon Web Services para obter mais informações sobre o SDK.

P: Como faço para encerrar o serviço CloudHSM?

Você pode usar o console, a API ou o SDK do CloudHSM para excluir HSMs e parar de usar o serviço. Consulte o Guia do usuário do CloudHSM para obter mais instruções.

Faturamento

P: Como serão a cobrança e o faturamento do uso do serviço AWS CloudHSM?

Será cobrada uma taxa por hora para cada hora (ou hora parcial) em que um HSM for provisionado para um cluster do CloudHSM. Um cluster sem HSMs não será cobrado. Também não será cobrado o armazenamento automático de backups criptografados. Para obter mais informações, acesse a página de definição de preço do CloudHSM. Observe que as transferências de dados de rede enviadas e recebidas pelos seus HSMs são cobradas separadamente. Para obter mais informações confira a definição de preço de transferência de dados do EC2.

P: Há um nível gratuito para o serviço CloudHSM?

Não há nível gratuito disponível para o CloudHSM.

P: A cobrança varia em função do número de usuários ou chaves que crio no HSM?

Não. A taxa horária, que varia por região, não depende do uso do HSM.

P: Você oferece definição de preço de instância reservada para o CloudHSM?

Não oferecemos definição de preço de instância reservada para o CloudHSM.

Provisionamento e operações

P: Há pré-requisitos para o uso do CloudHSM?

Sim. Para começar a usar o CloudHSM, há alguns pré-requisitos, incluindo uma Virtual Private Cloud (VPC) na região onde você deseja usar o serviço CloudHSM. Consulte o Guia do usuário do CloudHSM para obter mais detalhes.

P: É necessário gerenciar o firmware no HSM?

Não. A AWS gerencia o firmware no hardware. O firmware é mantido por um terceiro, e cada firmware deve ser avaliado pela NIST para comprovar a conformidade com o FIPS 140-2 nível 3. Apenas o firmware que tenha sido criptograficamente assinado pela chave do FIPS (à qual a AWS não tem acesso) poderá ser instalado.

P: Quantos HSMs devo ter no meu cluster do CloudHSM?

A AWS recomenda enfaticamente o uso de pelo menos dois HSMs em duas AZs diferentes para qualquer carga de trabalho de produção. Para cargas de trabalho de missão crítica, recomendamos no mínimo três HSMs em pelo menos duas AZs separadas. O cliente CloudHSM administrará automaticamente qualquer falha e balanceamento de carga de HSM em dois ou mais HSMs de modo transparente para o seu aplicativo.

P: Quem é responsável pela resiliência das chaves?

Diariamente, a AWS faz backups criptografados automáticos do cluster do CloudHSM, bem como faz backups adicionais quando ocorrem eventos de ciclo de vida do cluster (como a adição ou a remoção de um HSM). Durante o período de 24 horas entre os backups, você será inteiramente responsável pela resiliência do material de chaves criado ou importado para o cluster. Recomendamos enfaticamente garantir que qualquer chave criada seja sincronizada com pelo menos dois HSMs em duas AZs diferentes para garantir a resiliência das chaves. Consulte o Guia do usuário do CloudHSM para obter mais detalhes sobre a verificação da sincronização de chaves.

P: Como faço para definir uma configuração de alta disponibilidade (HA)?

A alta disponibilidade será disponibilizada automaticamente quando existirem pelos menos dois HSMs no cluster do CloudHSM. Não é exigida nenhuma configuração adicional. No caso de falha de um HSM no cluster, ele será substituído automaticamente. Além disso, todos os clientes serão atualizados para refletir a nova configuração sem que nenhum processamento seja interrompido. HSMs adicionais podem ser incluídos no cluster por meio da API da AWS ou do AWS SDK, o que aumenta a disponibilidade sem interromper aplicativos.

P: Quantos HSMs podem ser conectados em um cluster do CloudHSM?

Um único cluster do CloudHSM pode conter até 28 HSMs, sujeitos aos service limits da conta. Você pode saber mais sobre limites do serviço e como solicitar um aumento de limite na documentação online.

P: Posso fazer backup do conteúdo de um CloudHSM?

O backup do cluster do CloudHSM é feito diariamente pela AWS. As chaves também podem ser exportadas (“encapsuladas”) do cluster e armazenadas on-premises, desde que não tenham sido geradas como “não exportáveis”.

P: Há algum SLA para o CloudHSM?

Sim, você pode encontrar o Acordo de nível de serviço (SLA) do AWS CloudHSM aqui.

Segurança e conformidade

P: O meu CloudHSM é compartilhado com outros clientes da AWS?

Não. Como parte do serviço, você recebe acesso unilocatário ao HSM. O hardware subjacente pode ser compartilhado com outros clientes, mas o HSM só pode ser acessado por você.

P: Como a AWS gerencia o HSM sem ter acesso às minhas chaves de criptografia?

A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do CloudHSM. A AWS tem uma credencial limitada para o HSM que nos permite monitorar e manter a integridade e a disponibilidade do HSM, usar backups criptografados e extrair e publicar logs de auditoria em seu CloudWatch Logs. A AWS não tem acesso às chaves ou aos dados em seu cluster do CloudHSM nem executar operações que não sejam as permitidas a um usuário de dispositivo HSM.

Consulte o Guia do usuário do CloudHSM para obter mais informações sobre a separação de responsabilidades e os recursos de cada categoria de usuário no HSM.

P: Posso monitorar meu HSM?

Sim. O CloudHSM publica várias métricas do CloudWatch para clusters do CloudHSM e HSMs individuais. É possível usar o Console, a API ou o SDK do AWS CloudWatch para obter ou enviar alarmes sobre essas métricas.

P: Qual é a “fonte de entropia” (fonte de aleatoriedade) do CloudHSM?

Cada HSM tem um Deterministic Random Bit Generator (DRBG – Gerador de bits aleatórios determinísticos) validado pelo FIPS e propagado por um True Random Number Generator (TRNG – Gerador de números aleatórios verdadeiros) no módulo de hardware do HSM compatível com o SP800-90B. Essa é uma fonte de entropia de alta qualidade capaz de produzir 20 Mb por segundo de entropia por HSM.

P: O que acontece se alguém tentar violar o hardware do HSM?

O CloudHSM tem detecção de tentativas de violação física e lógica, bem como mecanismos de resposta que acionam a exclusão da chave (“zeramento”) do hardware. O hardware foi projetado para detectar violações se sua barreira física for rompida. Os HSMs também são protegidos contra ataques de login por força bruta. Após um número fixo de tentativas malsucedidas de acessar um HSM com credenciais de responsável por criptografia (CO), o HSM bloqueia o CO. De forma semelhante, depois de um número fixo de tentativas malsucedidas de acessar um HSM usando credenciais de usuário de criptografia (CU), o usuário será bloqueado e deverá ser desbloqueado por um CO.

P: O que acontece em caso de falha?

A Amazon monitora e mantém o HSM e a rede para verificar as condições de disponibilidade e erros. Se um HSM falhar ou perder a conectividade de rede, o HSM será substituído automaticamente. Você pode verificar a integridade de um HSM individual usando a API, o SDK ou as ferramentas da CLI do CloudHSM, bem como verificar a integridade geral do serviço a qualquer momento usando o Painel de Status de Serviços da AWS.

P: Posso perder minhas chaves se um único HSM falhar?

Se o cluster do CloudHSM tiver apenas um HSM, você poderá perder as chaves que foram criadas desde o backup diário mais recente. Os clusters do CloudHSM com dois ou mais HSMs, teoricamente em zonas de disponibilidade separadas, não perderão as chaves se um HSM falhar. Consulte nossas práticas recomendadas para obter mais informações.

P: A Amazon consegue recuperar minhas chaves se eu perder as credenciais para acesso ao HSM?

Não. A Amazon não tem acesso a suas chaves ou credenciais e, portanto, não será capaz de recuperar suas chaves se você perder suas credenciais.

P: Como saber se posso confiar no CloudHSM?

O CloudHSM é baseado em hardware validado pelo Federal Information Processing Standard (FIPS) 140-2 nível 3. Você pode encontrar informações sobre o perfil de segurança do FIPS 140-2 para o hardware usado pelo CloudHSM e o firmware que ele executa em nossa página de conformidade.

P: O serviço CloudHSM oferece suporte ao FIPS 140-2 nível 3?

Sim, o CloudHSM oferece HSMs validados pelo FIPS 140-2 nível 3. Siga o procedimento do Guia do usuário do CloudHSM (em Verificar a identidade e a autenticidade do HSM de seu cluster) para confirmar se você tem um HSM autêntico no mesmo modelo de hardware especificado na política de segurança da NIST descrita na pergunta anterior.

P: Como faço para operar o CloudHSM no modo FIPS 140-2?

O CloudHSM está sempre no modo FIPS 140-2. Isso pode ser verificado usando as ferramentas da ILC, conforme documentado no Guia do usuário do CloudHSM, e executando o comando getHsmInfo, que indicará o status do modo FIPS.

P: Posso obter um histórico de todas as chamadas de API do CloudHSM realizadas na minha conta?

Sim. O AWS CloudTrail registra as chamadas de API da AWS realizadas na sua conta. O histórico de chamadas de API da AWS gerado pelo CloudTrail permite executar análises de segurança, rastreamento de alterações de recursos e auditoria de conformidade. Saiba mais sobre o CloudTrail na página inicial do CloudTrail e ative-o no Console de Gerenciamento da AWS do CloudTrail.

P: Quais eventos não são registrados no CloudTrail?

O CloudTrail não inclui nenhum dispositivo HSM nem logs de acesso. Esses itens são disponibilizados diretamente na sua conta da AWS por meio do CloudWatch Logs. Consulte o Guia do usuário do CloudHSM para obter mais detalhes.

P: Quais iniciativas de conformidade da AWS incluem o CloudHSM?

Consulte o site de conformidade da AWS para obter mais informações sobre quais programas de conformidade abordam o CloudHSM. Diferentemente de outros serviços da AWS, os requisitos de conformidade relacionados ao CloudHSM são atendidos com frequência pela validação do FIPS 140-2 nível 3 do próprio hardware, em vez de como parte de um programa de auditoria.

P: Por que o FIPS 140-2 nível 3 é importante?

O FIPS 140-2 nível 3 é um requisito de determinados casos de uso, inclusive da assinatura de documentos, de pagamentos ou da operação como uma CA pública para certificados SSL.

P: Como posso solicitar relatórios de conformidade que incluem o CloudHSM no escopo?

Para ver quais relatórios de conformidade estão no escopo do CloudHSM, revise os dados dos serviço da AWS no escopo do programa de conformidade. Para criar relatórios de conformidade gratuitos, de autoatendimento e sob demanda, use o AWS Artifact.

Se estiver interessado apenas na validação FIPS para HSMs fornecida pelo CloudHSM, consulte a validação FIPS.

Performance e capacidade

P: Quantas operações criptográficas o CloudHSM pode executar por segundo?

A performance dos clusters do AWS CloudHSM varia de acordo com a workload específica. A tabela abaixo apresenta a performance aproximada para algoritmos criptográficos comuns executados em uma instância do EC2. Para aumentar a performance, é possível adicionar instâncias do HSM adicionais aos clusters. A performance pode variar de acordo com a configuração, o tamanho dos dados e a carga adicional das aplicações nas instâncias do EC2. Incentivamos a realização do teste de carga da aplicação para determinar as necessidades de escalabilidade.

Operação Cluster de dois HSMs [1] Cluster de três HSMs [2] Cluster de seis HSMs [3]
Assinatura RSA de 2048 bits 2 mil operações por segundo 3 mil operações por segundo 5 mil operações por segundo
Assinatura EC p256 500 operações por segundo 750 operações por segundo 1.500 operações por segundo

Para obter mais detalhes, consulte a página de performance do Guia do usuário do AWS CloudHSM.

[1]: Um cluster de dois HSMs com a aplicação Java de múltiplos processos em execução em uma instância c4.large do EC2 com um HSM na mesma AZ da instância do EC2.

[2]: Um cluster de três HSMs com a aplicação Java de múltiplos processos em execução em uma instância c4.large do EC2 com um HSM na mesma AZ da instância do EC2.

[3]: Um cluster de seis HSMs com a aplicação Java de múltiplos processos em execução em uma instância c4.large do EC2 com dois HSMs na mesma AZ da instância do EC2.

P: Quantas chaves podem ser armazenadas em um cluster do CloudHSM?

Um cluster do CloudHSM pode armazenar aproximadamente 3.300 chaves de qualquer tipo ou tamanho.

Integrações de terceiros

P: O CloudHSM é compatível com o Amazon RDS Oracle TDE?

Não diretamente. Você também pode usar o AWS Key Management Service com o armazenamento de chaves personalizadas para proteger dados do Amazon RDS usando chaves geradas e armazenadas no cluster do AWS CloudHSM.

Q: Posso usar o CloudHSM como raiz de confiança de outro software?

Vários fornecedores terceirizados aceitam o AWS CloudHSM como raiz de confiança. Isso quer dizer que você pode utilizar uma solução de software de sua preferência ao criar e armazenar as chaves subjacentes no cluster do CloudHSM.

Cliente, API e SDK do AWS CloudHSM

P: O que é o cliente CloudHSM?

O cliente CloudHSM é um pacote de software disponibilizado pela AWS que permite que você e seus aplicativos interajam com clusters do CloudHSM.

P: O cliente CloudHSM permite que a AWS acesse o meu cluster do CloudHSM?

Não. Todas as comunicações entre o cliente e o HSM são totalmente criptografadas. A AWS não consegue ver ou interceptar essa comunicação e não tem visibilidade sobre as credenciais de acesso ao cluster.

P: O que são as ferramentas da Interface da Linha de Comando (ILC) do CloudHSM?

O cliente CloudHSM é disponibilizado com um conjunto de ferramentas da ILC que permite administrar e usar o HSM da linha de comando. No momento, o Linux e o Microsoft Windows contam com suporte. O suporte para o Apple macOS está no nosso roteiro. Essas ferramentas também estão disponíveis no mesmo pacote do cliente CloudHSM.

P: Como fazer download e começar a usar as ferramentas da Interface da Linha de Comando do CloudHSM?

Você encontrará instruções no Guia do usuário do CloudHSM.

P: As ferramentas ILC do CloudHSM permitem que a AWS acesse o conteúdo do HSM?

Não. As ferramentas do CloudHSM se comunicam diretamente com o cluster do CloudHSM por meio de um canal protegido e mutuamente autenticado. A AWS não pode observar nenhuma comunicação entre o cliente, as ferramentas e o HSM, ela é criptografada de ponta a ponta.

P: Em quais sistemas operacionais posso usar as ferramentas do cliente e da CLI do CloudHSM?

Há uma lista completa dos sistemas operacionais compatíveis na documentação on-line.

P: Quais são os requisitos de conectividade de rede para usar as ferramentas da Interface da Linha de Comando do CloudHSM?

O host em que você está executando o cliente CloudHSM e/ou usando as ferramentas da ILC devem permitir acesso via rede a todos os HSMs no cluster do CloudHSM.

P: O que posso fazer com a API e o SDK do CloudHSM?

É possível criar, modificar, excluir e obter o status dos HSMs e dos clusters do CloudHSM. O que você pode fazer com a API do AWS CloudHSM é limitado às operações que a AWS pode executar com o acesso restrito que ela tem. A API não pode acessar o conteúdo do HSM, modificar nenhum usuário/nenhuma política, nem outras configurações. Para saber mais, consulte a documentação do CloudHSM para obter informações sobre a API ou a página Ferramentas da Amazon Web Services para obter mais informações sobre o SDK.

Migrar de HSMs de terceiros para o CloudHSM

P: Como devo planejar uma migração para o AWS CloudHSM?

Comece garantindo que os algoritmos e modos necessários são compatíveis com o CloudHSM. O seu gerente de contas pode nos enviar solicitações de recursos, se necessário. Em seguida, determine a estratégia de mudança de chaves. Veja nas perguntas e respostas abaixo algumas sugestões para casos de uso comuns. Além disso, publicamos um guia de migração detalhado do CloudHSM. Agora você já está pronto para começar a usar o CloudHSM.

P: Como posso fazer a mudança das chaves?

A estratégia de mudança dependerá do tipo de aplicativo. Veja a seguir alguns exemplos comuns.

  • Chaves privadas para assinatura: geralmente, a chave privada no HSM corresponde a um certificado intermediário que, por sua vez, é assinado por uma raiz corporativa offline. Você fará a mudança das chaves emitindo um novo certificado intermediário. Crie uma nova chave privada e gere o CSR correspondente usando o OpenSSL no CloudHSM. Em seguida, assine o CSR com a mesma raiz corporativa offline. Pode ser necessário registrar esse novo certificado com parceiros que não verificam automaticamente toda a cadeia de certificados. A partir desse momento, você assinará todas as novas solicitações (como solicitações de documentos, códigos ou outros certificados) com a nova chave privada correspondente ao novo certificado. Você pode continuar a verificar assinaturas da chave privada original usando a chave pública correspondente. Nenhuma revogação é necessária. Esse processo é análogo ao da retirada ou do arquivamento de uma chave de assinatura.
  • Oracle Transparent Data Encryption: Você pode transferir sua carteira mudando primeiro de um keystore de hardware (seu HSM original) para um Keystore de software e, em seguida, de volta para um keystore de hardware (CloudHSM). Observação: se você estiver usando o Amazon RDS, consulte as Perguntas frequentes acima sobre “O CloudHSM é compatível com o Amazon RDS Oracle TDE?”
  • Chave simétrica para criptografia de envelopes: a criptografia de envelopes é a arquitetura de chaves em que uma chave no HSM criptografa/descriptografa várias chaves de dados no host do aplicativo. Provavelmente, você já tem um processo de mudança de chaves implantado que pode ser executado para descriptografar as chaves de dados com a chave de empacotamento antiga e criptografá-las novamente com a nova chave de empacotamento. A única diferença durante a migração será que a nova chave de empacotamento será criada e usada no CloudHSM e não no HSM original. Se você ainda não tiver uma ferramenta e um processo de mudança de chaves, será necessário criá-los.

P: E se eu não conseguir mudar as chaves?

Cada aplicativo e caso de uso é diferente. As soluções para cenários comuns são discutidas no guia de migração para o CloudHSM. Se tiver mais dúvidas, abra um caso de suporte com detalhes do aplicativo, o tipo de HSM e o tipo de chaves utilizado e se as chaves são exportáveis ou não. Ajudaremos a determinar um caminho de migração adequado.

Suporte e manutenção

P: O AWS CloudHSM tem períodos de manutenção agendados?

Não, mas a AWS talvez precise executar a manutenção se ocorrerem upgrades necessários ou falha de hardware. Faremos todo o esforço para notificá-lo com antecedência no Personal Health Dashboard se houver previsão de algum impacto.

Lembre-se de que é sua responsabilidade projetar o seu cluster para que tenha alta disponibilidade. A AWS recomenda enfaticamente o uso de clusters do CloudHSM com dois ou mais HSMs em zonas de disponibilidade separadas. Você pode obter mais informações sobre as melhores práticas recomendadas na documentação on-line.

P: Estou tendo um problema com o CloudHSM. O que posso fazer?

Você pode encontrar soluções para problemas comuns no guia de solução de problemas. Se ainda tiver problemas, contate o AWS Support.

Saiba mais sobre a definição de preço de produtos

Veja exemplos de definição de preço e calcule os seus custos.

Saiba mais 
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Comece a criar no console

Comece a criar com o AWS CloudHSM no Console AWS.

Faça login