張貼日期: Nov 26, 2018
AWS Key Management Service (KMS) 整合了 AWS CloudHSM,所以現在提供建立 KMS 自訂金鑰存放區的選項。每一個自訂金鑰存放區都由 AWS CloudHSM 叢集提供支援,透過這些存放區,您可以在自己所控制的硬體安全模組 (HSM) 中,產生、儲存及使用 KMS 金鑰。 KMS 自訂金鑰存放區可協助達成合規義務 (否則您便需要使用內部部署 HSM),並且支援使用整合到 KMS 的 AWS 服務和加密工具組。
利用這個新功能,您可以產生 AWS KMS 自訂主金鑰 (CMK),然後將其儲存到自訂金鑰存放區中,而不是儲存到預設的 KMS 金鑰存放區。每個 KMS 自訂金鑰存放區都是使用您自己的 AWS CloudHSM 叢集中的 HSM 執行個體建立的,所以可以與 KMS 分開管理。當您使用自訂金鑰存放區中的 KMS CMK,系統會在您的 CloudHSM 叢集中,只在該金鑰之下執行密碼編譯作業。儲存在自訂金鑰存放區中的主金鑰,其管理方式與 KMS 中的其他主金鑰相同,任何加密資料並支援 KMS 客戶代管 CMK 的 AWS 服務都可以使用這些主金鑰。
使用自訂金鑰存放區不會影響存放和使用 CMK 的 KMS 費用。不過,自訂金鑰存放區會涉及維護至少包含兩個 HSM 的 CloudHSM 叢集的額外費用。請參考 AWS CloudHSM 定價。
如需詳細資訊,請瀏覽 KMS 自訂金鑰存放區常見問答集,如需自訂金鑰存放區是否適合您需求的指引,您可以參考這個部落格。