Общие вопросы

Вопрос: Что такое AWS CloudHSM?

Сервис AWS CloudHSM позволяет обеспечить соответствие корпоративным, договорным и нормативным требованиям по безопасности данных с помощью выделенных инстансов аппаратных модулей безопасности (HSM) в облаке AWS. AWS и партнеры AWS Marketplace предлагают множество разнообразных решений для защиты конфиденциальной информации в рамках платформы AWS. Однако для некоторых приложений и данных, на которые распространяются требования договоров или нормативных актов по управлению криптографическими ключами, иногда требуется дополнительная защита. CloudHSM дополняет существующие решения, обеспечивающие безопасность данных, и позволяет защитить ключи шифрования с помощью модулей HSM, которые были разработаны и проверены в соответствии с государственными стандартами управления ключами безопасности. CloudHSM позволяет надежно генерировать и хранить криптографические ключи, используемые для шифрования данных, а также управлять ими таким образом, чтобы эти ключи были доступны только вам.

Вопрос: Что такое аппаратный модуль безопасности (HSM)?

Аппаратный модуль безопасности (HSM) обеспечивает безопасное хранение ключей и выполнение криптографических операций с помощью устойчивого к взлому аппаратного средства. Модули HSM разработаны для надежного хранения данных криптографических ключей и их использования без раскрытия ключей за пределами криптографического аппаратного модуля.

Вопрос: Для чего можно использовать сервис CloudHSM?

Сервис CloudHSM применяется в различных приложениях и примерах использования, таких как шифрование баз данных, управление цифровыми правами (DRM), инфраструктура открытых ключей (PKI), аутентификация и авторизация, подпись документов и обработка транзакций.

Вопрос: Как работает CloudHSM?

При использовании сервиса AWS CloudHSM создается кластер CloudHSM. Кластеры могут содержать множество модулей HSM из разных зон доступности в регионе. Для модулей HSM в кластере автоматически выполняется синхронизация и балансировка нагрузки. Вы получаете выделенный однопользовательский доступ ко всем модулям HSM кластере. Каждый модуль HSM отображается как сетевой ресурс в Amazon Virtual Private Cloud (VPC). Добавление модулей HSM в кластер и их удаление выполняется одним вызовом API AWS CloudHSM (или одной командой в интерфейсе командной строки AWS). После создания и инициализации кластера CloudHSM можно настроить в своем инстансе EC2 клиент, позволяющий приложениям использовать кластер через безопасное аутентифицированное сетевое соединение.

Сервис обеспечивает автоматический мониторинг работоспособности модулей HSM, при этом сотрудники AWS не имеют доступа к вашим ключам или данным. Для отправки криптографических запросов модулю HSM приложения используют стандартные криптографические API в сочетании с клиентским ПО HSM, установленным на инстансе приложения. Клиентское ПО обеспечивает защищенный канал связи со всеми модулями HSM в кластере и отправляет запросы по этому каналу, а модули HSM выполняют операции и возвращают результаты по тому же защищенному каналу. После этого клиентское ПО возвращает результат в приложение посредством криптографического API.

Вопрос: В настоящее время у меня нет VPC. Можно ли будет использовать AWS CloudHSM?

Нет. Для защиты и изоляции AWS CloudHSM от других пользователей Amazon необходимо выделять модули CloudHSM в рамках Amazon VPC. Создать VPC очень просто. Подробнее см. в Руководстве по началу работы с VPC.

Вопрос: Обязательно ли приложение должно находиться в том же облаке VPC, что и кластер CloudHSM?

Нет, но сервер или инстанс, на котором запущены приложение и клиент HSM, должен иметь сетевой (IP) доступ ко всем модулям HSM в кластере. Сетевое подключение между приложением и модулями HSM можно установить различными способами, включая запуск приложения в том же облаке VPC, использование пирингового подключения VPC, VPN‑подключения или сервиса Direct Connect. Подробнее см. в Руководстве по пиринговому подключению VPC и Руководстве пользователя VPC.

Вопрос: Работает ли CloudHSM с локальными HSM‑модулями?

Да. Хотя CloudHSM не взаимодействует напрямую с локальными HSM-модулями, вы можете безопасно передавать экспортируемые ключи между CloudHSM и большинством коммерческих HSM-модулей, используя один из нескольких поддерживаемых методов переноса ключей RSA.   

Вопрос. Как приложение может использовать CloudHSM?

Мы интегрировали и протестировали CloudHSM с рядом сторонних программных решений, таких как Oracle Database 11g и 12c, а также с веб‑серверами, включая Apache и Nginx, для выполнения задач по разгрузке SSL. Подробнее см. в Руководстве пользователя CloudHSM.

Если вы разрабатываете собственное пользовательское приложение, в нем можно использовать стандартные API, поддерживаемые CloudHSM, включая PKCS#11, Java JCA/JCE (криптографическая архитектура Java и криптографические расширения Java) или Microsoft CAPI/CNG. Образцы кода и инструкции по началу работы см. в Руководстве пользователя CloudHSM.

Если вы перемещаете существующую рабочую нагрузку из CloudHSM Classic или локальных модулей HSM в CloudHSM, в Руководстве по миграции на CloudHSM приведены детальные указания, как спланировать и осуществить такую операцию.

Вопрос: Можно ли использовать CloudHSM для хранения ключей или шифрования данных, используемых другими сервисами AWS?

Да. Можно выполнять шифрование в собственном приложении, интегрированном с CloudHSM. В этом случае сервисы AWS, такие как Amazon S3 или Amazon Elastic Block Store (EBS), будут видеть только зашифрованные данные.

Вопрос: Могут ли другие сервисы AWS использовать CloudHSM для хранения ключей и управления ими?

Сервисы AWS интегрированы с AWS Key Management Service, который, в свою очередь, интегрирован с AWS CloudHSM через возможность собственного хранилища ключей KMS. Чтобы использовать шифрование на стороне сервера, предлагаемое многими сервисами AWS (такими как EBS, S3 или Amazon RDS), можно настроить собственное хранилище ключей в AWS KMS.

Вопрос: Можно ли использовать CloudHSM для трансляции PIN‑блока или выполнения других криптографических операций при дебетовых платежных транзакциях?

В настоящее время CloudHSM предоставляет модули HSM общего назначения. Со временем мы можем добавить платежные функции. Сообщите нам, если вас интересует такая возможность.

Вопрос. Как начать работу с CloudHSM?

Кластер CloudHSM можно выделить в консоли CloudHSM или с помощью нескольких вызовов API через SDK или API AWS. Подробнее о начале работы см. в Руководстве пользователя CloudHSM. Сведения об API сервиса см. в документации по CloudHSM. Сведения об использовании SDK см. на странице инструментов для работы с Amazon Web Services.

Вопрос: Как прекратить использование сервиса CloudHSM?

Вы можете воспользоваться API, консолью или SDK сервиса CloudHSM для удаления модулей HSM и прекращения использования сервиса. Подробнее см. в Руководстве пользователя CloudHSM.

Оплата

Вопрос: Каков принцип оплаты сервиса AWS CloudHSM?

За использование сервиса взимается почасовая плата за каждый полный или неполный час, в течение которых модуль HSM был выделен кластеру CloudHSM. За кластеры, в которых нет модулей HSM, плата не начисляется. Автоматическое хранение зашифрованных резервных копий выполняется бесплатно. Подробнее см. на странице цен на CloudHSM. Обратите внимание: передача данных по сети на модули HSM и в обратном направлении оплачивается отдельно. Подробнее см. в разделе цен на передачу данных сервиса EC2.

Вопрос: Доступен ли для сервиса CloudHSM уровень бесплатного пользования?

Нет, уровень бесплатного пользования CloudHSM не предусмотрен.

Вопрос: Различаются ли цены в зависимости от количества пользователей или ключей, созданных на модуле HSM?

Нет, почасовая оплата различается по регионам. Она не зависит от объема использования модуля HSM.

Вопрос. Можно ли приобрести зарезервированные инстансы для CloudHSM?

Нет. Мы не реализуем зарезервированные инстансы для CloudHSM.

Выделение и использование

Вопрос. Есть ли обязательные условия для использования CloudHSM?

Да. Чтобы начать использовать сервис CloudHSM, необходимо выполнить несколько предварительных требований, включая создание Virtual Private Cloud (VPC) в том регионе, где предполагается использовать сервис CloudHSM. Подробнее см. в Руководстве пользователя CloudHSM.

Вопрос: Требуется ли управлять встроенным ПО на модуле HSM?

Нет. AWS управляет встроенным ПО на аппаратных ресурсах. Такое ПО поддерживается сторонним производителем, и каждая версия должна быть оценена NIST на соответствие требованиям стандарта FIPS 140‑2 Level 3. К установке допускаются только версии встроенного ПО, криптографически подписанные ключом FIPS, к которому AWS не имеет доступа.

Вопрос: Сколько модулей HSM должно быть в кластере CloudHSM?

AWS настоятельно рекомендует для любой рабочей нагрузки использовать как минимум два модуля HSM в двух разных зонах доступности. Для критически важных рабочих нагрузок мы рекомендуем использовать как минимум три модуля HSM по меньшей мере в двух отдельных зонах доступности. Клиент CloudHSM автоматически обрабатывает любые сбои модулей HSM и незаметно для приложения балансирует нагрузку между двумя или более модулями HSM.

Вопрос: Кто отвечает за надежность ключей?

AWS ежедневно создает автоматические зашифрованные резервные копии кластера CloudHSM. Дополнительные резервные копии создаются при наступлении событий жизненного цикла кластера (таких как добавление или удаление модулей HSM). В течение 24‑часового интервала между резервными копиями клиент несет единоличную ответственность за сохранность данных ключей, созданных в его кластере или импортированных в него. Для обеспечения сохранности ключей настоятельно рекомендуется синхронизировать любые созданные ключи по меньшей мере на двух модулях HSM в двух разных зонах доступности. Подробнее о проверке синхронизации ключей см. в Руководстве пользователя CloudHSM.

Вопрос: Как настроить конфигурацию высокой доступности (HA)?

Высокая доступность предоставляется автоматически при наличии как минимум двух модулей HSM в кластере CloudHSM. Никакой дополнительной настройки не требуется. В случае сбоя модуля HSM в кластере он заменяется автоматически, а все клиенты обновляются для отражения новой конфигурации без прерывания обработки данных. Дополнительные модули HSM необходимо добавить в кластер с помощью API или SDK AWS. Это позволяет повысить доступность без прерывания работы приложения.

Вопрос. Сколько модулей HSM может быть в кластере CloudHSM?

Согласно лимитам сервисов кластер CloudHSM может содержать до 28 модулей HSM. Дополнительную информацию о лимитах сервисов и запросе их увеличения см. в онлайн-документации.

Вопрос. Можно ли создавать резервные копии содержимого кластеров CloudHSM?

Резервные копии кластеров CloudHSM создаются AWS ежедневно. Ключи также можно экспортировать из кластера и сохранить локально, если только они не были сгенерированы без возможности экспортирования.

Вопрос: Существует ли для CloudHSM Соглашение об уровне обслуживания (SLA)?

Да, Соглашение об уровне обслуживания (SLA) для AWS CloudHSM можно просмотреть по ссылке.

Безопасность и соответствие требованиям

Вопрос: Используется ли сервис CloudHSM совместно с другими клиентами AWS?

Нет. В рамках сервиса клиенту предоставляется однопользовательский доступ к модулям HSM. Базовое аппаратное обеспечение может использоваться совместно с другими клиентами, но модуль HSM доступен только вам.

Вопрос: Каким образом AWS управляет модулями HSM без доступа к ключам шифрования пользователей?

В архитектуре CloudHSM предусмотрено разделение обязанностей и контроль доступа на основе ролей. AWS имеет ограниченный доступ к модулям HSM. Это позволяет контролировать и поддерживать работоспособность и доступность модулей, делать зашифрованные резервные копии, а также извлекать и публиковать журналы аудита в CloudWatch Logs. Сотрудники AWS не имеют доступа к вашим ключам или данным в кластере CloudHSM и не могут выполнить неразрешенные пользователем HSM операции.

Подробнее о разделении обязанностей и о возможностях модулей HSM, предоставляемых каждой категории пользователей, см. в Руководстве пользователя CloudHSM.

Вопрос: Можно ли выполнять мониторинг собственных модулей HSM?

Да. CloudHSM публикует множество метрик CloudWatch для кластеров CloudHSM и для отдельных модулей HSM. Можно использовать консоль, API или SDK сервиса AWS CloudWatch для получения этих метрик или генерации предупреждений на их основе.

Вопрос: Какой «источник энтропии» (генератор случайных чисел) используется в CloudHSM?

Каждый модуль HSM имеет сертифицированный FIPS детерминированный генератор случайных чисел (DRBG), начальные числа для которого выдает истинный генератор случайных чисел (TRNG), соответствующий требованиям SP800‑90B и размещенный в аппаратном модуле HSM. Это высококачественный источник энтропии, способный продуцировать непредсказуемые данные со скоростью 20 Мб/с на один модуль HSM.

Вопрос: Что произойдет при взломе аппаратного модуля HSM?

CloudHSM имеет как физические, так и логические механизмы обнаружения вторжения и реагирования на него, которые инициируют удаление ключа (обнуление) аппаратного устройства. Аппаратное устройство способно обнаруживать вторжение в случае нарушения его физической защиты. Модули HSM также защищены от атак путем перебора паролей. После определенного количества неудачных попыток доступа к модулю HSM с использованием данных для доступа специалиста по шифрованию (CO) модуль HSM автоматически выполняет блокировку этого сотрудника. После определенного количества неудачных попыток доступа к модулю HSM с данными для доступа пользователя системы криптографической защиты (CU) этот пользователь будет заблокирован, и разблокировать его сможет только специалист по шифрованию (CO).

Вопрос: Что произойдет в случае сбоя?

Amazon выполняет мониторинг модулей HSM и сети на доступность и наличие условий возникновения ошибок, а также проводит их техническое обслуживание. Если модуль HSM выходит из строя или отключается от сети, он автоматически заменяется. Проверить состояние отдельного модуля HSM можно с помощью API сервиса CloudHSM, SDK или инструментов интерфейса командной строки. Кроме того, с помощью панели состояния сервисов AWS можно в любое время проверить общее состояние сервиса.

Вопрос: Возможна ли потеря ключей пользователя при выходе из строя одного модуля HSM?

Если в вашем кластере CloudHSM подключен только один модуль, вы можете потерять ключи, созданные во время последнего ежедневного резервного копирования. Рекомендуем использовать кластеры CloudHSM с не менее чем двумя модулями HSM в разных зонах доступности. Так вы не потеряете ключи при сбое одного из модулей HSM. Детальную информацию см. в разделе рекомендаций.

Вопрос: Может ли Amazon восстановить ключи пользователя в случае потери данных для доступа к HSM‑модулю?

Нет. У Amazon нет доступа к ключам и данным для доступа пользователей, поэтому в случае потери данных для доступа восстановить ключи невозможно.

Вопрос: Как убедиться, что можно доверять CloudHSM?

Для CloudHSM используется оборудование, проверенное на соответствие Федеральному стандарту обработки информации (FIPS) 140‑2 Level 3. Информацию о профиле безопасности FIPS 140‑2 для оборудования, используемого сервисом CloudHSM, и соответствующего встроенного ПО можно найти на нашей странице соответствия требованиям.

Вопрос: Поддерживает ли CloudHSM стандарт FIPS 140‑2 Level 3?

Да, CloudHSM предоставляет модули HSM, проверенные на соответствие FIPS 140‑2 Level 3. Можно выполнить процедуру, приведенную в Руководстве пользователя CloudHSM в разделе Verify the Authenticity of Your HSM, чтобы подтвердить, что модуль HSM является подлинным и в нем используется аппаратное оборудование, указанное в политике безопасности NIST (как описано в ответе на предыдущий вопрос).

Вопрос: Как использовать CloudHSM в режиме FIPS 140‑2?

CloudHSM всегда находится в режиме FIPS 140‑2. Это можно проверить с помощью инструментов интерфейса командной строки, как описано в Руководстве пользователя CloudHSM, и выполнив команду getHsmInfo, которая показывает состояние режима FIPS.

Вопрос: Можно ли просмотреть историю всех вызовов API сервиса CloudHSM, выполненных из аккаунта?

Да. AWS CloudTrail записывает вызовы API AWS для данного аккаунта. История вызовов API AWS в CloudTrail позволяет отслеживать изменения ресурсов, проводить анализ безопасности и аудит соответствия требованиям. Подробнее о сервисе CloudTrail см. на главной странице CloudTrail. Включить его можно в разделе CloudTrail Консоли управления AWS.

Вопрос: Какие события не записываются в CloudTrail?

CloudTrail не содержит журналов доступа и сведений об устройствах HSM. Они предоставляются непосредственно вашему аккаунту AWS через журналы CloudWatch. Подробнее см. в Руководстве пользователя CloudHSM.

Вопрос: Какие инициативы AWS по обеспечению соответствия требованиям распространяются на сервис CloudHSM?

Подробнее о том, какие программы обеспечения соответствия требованиям распространяются на CloudHSM, см. на странице соответствия AWS требованиям. В отличие от других сервисов AWS, соответствие CloudHSM требованиям часто контролируется непосредственно в рамках проверки соответствия самого оборудования стандарту FIPS 140‑2 Level 3, а не в рамках отдельной программы аудита.

Вопрос: Почему важно соблюдение требований стандарта FIPS 140‑2 Level 3?

Соблюдение требований FIPS 140‑2 Level 3 необходимо в определенных примерах использования, включая подпись документов, проведение платежей или работу в качестве публичного центра сертификации, выдающего сертификаты SSL.

Вопрос. Как запросить отчеты по соответствию требованиям, содержащие сведения о CloudHSM?

Чтобы увидеть отчеты по соответствию требованиям, содержащие сведения о CloudHSM, проверьте данные относительно Сервисов AWS, включенных в программу соответствия требованиям. Для создания бесплатных отчетов по соответствию требованиям по требованию с функцией самообслуживания используйте AWS Artifact.

Если вы заинтересованы в подтверждении FIPS для HSM, предоставляемых CloudHSM, см. раздел FIPS Validation.

Производительность и ресурсы

Вопрос. Сколько криптографических операций в секунду может выполнять CloudHSM?

Производительность кластеров AWS CloudHSM зависит от конкретной рабочей нагрузки. В таблице ниже приведена примерная производительность распространенных криптографических алгоритмов, работающих на инстансе EC2. Для повышения эффективности работы можно добавить в кластеры дополнительные инстансы HSM. Производительность может варьироваться в зависимости от конфигурации, размера данных и дополнительной нагрузки приложений на инстансах EC2. Мы рекомендуем провести нагрузочное тестирование приложения для определения потребностей в масштабировании.

Операции Кластер с двумя модулями HSM [1] Кластер с тремя модулями HSM [2] Кластер с шестью модулями HSM [3]
2048-битный знак RSA 2000 операций в секунду 3000 операций в секунду 5000 операций в секунду
Знак ЕС p256 500 операций в секунду 750 операций в секунду 1500 операций в секунду

Дополнительные сведения см. на странице производительности в руководстве пользователя AWS CloudHSM.

[1]: кластер с двумя модулями HSM с многопоточным приложением Java, работающим на одном инстансе EC2 c4.large с одним модулем HSM в той же зоне доступности, что и инстанс EC2.

[2]: кластер с тремя модулями HSM с многопоточным приложением Java, работающим на одном инстансе EC2 c4.large с одним модулем HSM в той же зоне доступности, что и инстанс EC2.

[3]: кластер с шестью модулями HSM с многопоточным приложением Java, работающим на одном инстансе EC2 c4.large с двумя модулями HSM в той же зоне доступности, что и инстанс EC2.

Вопрос. Сколько ключей может храниться в кластере CloudHSM?

Кластер CloudHSM может хранить около 3300 ключей любого типа или размера.

Интеграции сторонних приложений

Вопрос. Поддерживает ли CloudHSM Amazon RDS Oracle TDE?

Прямая поддержка не предусмотрена. Можно использовать AWS Key Management Service и собственное хранилище ключей для защиты данных в Amazon RDS с помощью ключей, созданных и сохраняемых в кластере AWS CloudHSM.

Вопрос: Можно ли использовать кластер CloudHSM в качестве корня доверия для другого ПО?

ПО некоторых сторонних поставщиков использует AWS CloudHSM как корень доверия. Это позволяет использовать программное решение при создании и хранении базовых ключей в кластере CloudHSM, исходя из своих предпочтений.

Клиент, API и SDK сервиса AWS CloudHSM

Вопрос: Что такое клиент CloudHSM?

Клиент CloudHSM представляет собой программный пакет, поставляемый AWS, который позволяет вам и вашим приложениям взаимодействовать с кластерами CloudHSM.

Вопрос: Получает ли AWS доступ к кластеру CloudHSM при использовании клиента CloudHSM?

Нет. Все соединения между клиентом и HSM защищены с помощью сквозного шифрования. AWS не может просматривать и перехватывать данные, которые передаются по этим соединениям, а также данные для доступа к кластеру.

Вопрос: Что представляют собой инструменты интерфейса командной строки CloudHSM?

Клиент CloudHSM поставляется с набором инструментов для интерфейса командной строки (CLI), которые позволяют администрировать и использовать HSM из командной строки. В настоящее время поддерживаются Linux и Microsoft Windows. Планируется поддержка Apple macOS. Инструменты CLI доступны в том же пакете, что и клиент CloudHSM.

Вопрос: Как загрузить инструменты интерфейса командной строки CloudHSM и начать работать с ними?

См. инструкции в Руководстве пользователя CloudHSM.

Вопрос: Получает ли AWS доступ к содержимому HSM при использовании инструментов интерфейса командной строки CloudHSM?

Нет. Инструменты CloudHSM напрямую связывают кластер CloudHSM с клиентом CloudHSM через защищенный канал с двусторонней аутентификацией. AWS не может прослеживать обмен данными между клиентом, инструментами и модулем HSM, так как используется сквозное шифрование.

Вопрос: В каких операционных системах можно использовать инструменты командной строки и клиент CloudHSM?

Полный список поддерживаемых операционных систем см. в онлайн-документации.

Вопрос. Каковы требования к сетевому подключению для использования инструментов интерфейса командной строки CloudHSM?

Хост, на котором запускается клиент CloudHSM и (или) используются инструменты командной строки, должен иметь сетевой доступ ко всем модулям HSM в кластере CloudHSM.

Вопрос: Как можно использовать API и SDK сервиса CloudHSM?

Можно создавать, изменять, удалять кластеры CloudHSM и модули HSM и определять их состояние. Возможности использования API сервиса AWS CloudHSM ограничены операциями, которые позволяет выполнять ограниченный доступ AWS. API не может получать доступ к содержимому HSM или изменять пользователей, политики или другие настройки. Подробнее об API см. в документации по CloudHSM. Подробнее об SDK см. на странице Инструменты для работы с Amazon Web Services.

Переход на CloudHSM со сторонних модулей HSM

Вопрос. Как лучше организовать переход на AWS CloudHSM?

Для начала убедитесь, что в CloudHSM поддерживаются все нужные алгоритмы и режимы. При необходимости можно отправить AWS запрос на новые возможности через своего персонального менеджера. Затем следует определить стратегию ротации ключей. Предложения для типовых примеров использования приведены в ответе на следующий вопрос. Мы также опубликовали подробное Руководство по миграции в CloudHSM. После этого можно начинать работу с CloudHSM.

Вопрос. Как выполнять ротацию ключей?

Стратегия ротации ключей определяется в соответствии с типом приложения. Ниже приведены типовые примеры.

  • Закрытые ключи для подписи. Обычно закрытый ключ на модуле HSM соответствует промежуточному сертификату, который, в свою очередь, подписан автономным корневым корпоративным центром сертификации. Ротация ключей выполняется посредством выпуска нового промежуточного сертификата. Создайте новый закрытый ключ и сгенерируйте соответствующий запрос на подпись сертификата (CSR), используя OpenSSL в CloudHSM. Затем подпишите CSR тем же автономным корневым корпоративным центром сертификации. Возможно, придется зарегистрировать этот новый сертификат у партнеров, которые не проверяют всю цепочку сертификатов автоматически. После этого все новые запросы (например, на документы, коды или другие сертификаты) следует подписывать новым ключом, соответствующим новому сертификату. Проверку подписей, сделанных исходным закрытым ключом, можно продолжать с помощью соответствующего открытого ключа. Отзывать ключ не требуется. Аналогичная процедура рекомендуется для прекращения поддержки или архивирования ключа подписи.
  • Прозрачное шифрование данных Oracle. Для переноса электронного кошелька необходимо сначала переключиться с аппаратного хранилища ключей (исходного модуля HSM) на программное хранилище ключей, а затем обратно на аппаратное хранилище ключей (CloudHSM). Примечание. Если вы используете Amazon RDS, ознакомьтесь с ответом на вопрос «Поддерживает ли CloudHSM Amazon RDS Oracle TDE?» в разделе вопросов и ответов выше.
  • Симметричный ключ для конвертного шифрования. Конвертное шифрование обозначает такую архитектуру ключей, где один ключ на HSM шифрует и дешифрует множество ключей данных на хосте приложения. В таких случаях процесс ротации ключей, скорей всего, уже реализован. В его рамках можно дешифровать ключи данных с помощью старого упаковочного ключа и повторно зашифровать их с помощью нового упаковочного ключа. Единственное различие во время миграции будет заключаться в том, что новый упаковочный ключ будет создан и использован в CloudHSM, а не на исходном модуле HSM. Если у вас еще нет инструмента и процедуры для ротации ключей, требуется создать их.

Вопрос: Что делать, если не удается выполнить ротацию ключей?

Все зависит от конкретного приложения и примера использования. Решения для наиболее распространенных сценариев обсуждаются в Руководстве по миграции в CloudHSM. При наличии дополнительных вопросов создайте заявку в службу поддержки с подробными сведениями о приложении, типе используемых HSM, типе используемых ключей и возможности их экспорта. Мы поможем определить подходящий способ миграции.

Поддержка и техническое обслуживание

Вопрос. Есть ли в AWS CloudHSM перерывы на плановое обслуживание?

Нет. AWS может потребоваться провести техническое обслуживание при необходимых обновлениях или обнаружении неисправности аппаратного оборудования. Мы заранее уведомим вас о возможных изменениях в работе с помощью персональной панели состояния.

Обратите внимание: вы несете ответственность за создание архитектуры кластера, обеспечивающей высокую доступность. AWS настоятельно рекомендует использовать кластеры CloudHSM с не менее чем двумя модулями HSM в разных зонах доступности. Чтобы ознакомиться с рекомендациями по использованию кластеров, просмотрите нашу онлайн-документацию.

Вопрос: У меня возникли проблемы с CloudHSM. Что делать?

Чтобы найти решения для часто встречающихся проблем, ознакомьтесь с нашим Руководством по устранению неполадок. Если проблемы решить не удается, свяжитесь со службой поддержки AWS Support.

Подробнее о ценах на продукт

Ознакомьтесь с примерами расчета стоимости и рассчитайте свои расходы.

Подробнее 
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Начните разработку в консоли

Начните разработку с использованием AWS CloudHSM в Консоли AWS.

Вход