AWS CloudHSM 服務透過在 AWS 雲端中使用專用的硬體安全模組 (HSM) 設備,協助您滿足資料安全方面的企業、合約和法規遵循要求。您可以利用 CloudHSM 控制加密金鑰和由 HSM 執行的加密操作。

AWS 和 AWS Marketplace 合作夥伴為保護 AWS 平台中的敏感資料提供了多種解決方案,但對於需符合管理加密金鑰方面嚴格的合約或法規要求的應用程式和資料,有時必須提供額外的保護。到目前為止,您只能選擇在內部部署的資料中心儲存敏感資料 (或保護敏感資料的加密金鑰)。可是,這會使您無法將這些應用程式遷移到雲端,或大幅降低其效能。透過 AWS CloudHSM 服務,您可以在 HSM 內保護您的加密金鑰,HSM 依據安全金鑰管理的政府標準進行設計並經過驗證。您可以安全地產生、存放和管理用於資料加密的加密金鑰,使其只能由您存取。AWS CloudHSM 可協助您在不犧牲應用程式效能的情況下符合嚴格的金鑰管理要求。

AWS CloudHSM 服務使用 Amazon Virtual Private Cloud (VPC)。在 VPC 中,CloudHSM 執行個體透過由您指定的 IP 地址進行佈建,為 Amazon Elastic Compute Cloud (EC2) 執行個體提供簡單和私有的網路連線能力。將 CloudHSM 執行個體放置在靠近 EC2 執行個體的位置可減少網路延遲,因此提高應用程式效能。AWS 提供對 CloudHSM 執行個體的專有和獨佔存取 (單一租用戶),與其他 AWS 客戶隔離。AWS CloudHSM 可在多個區域和可用區域 (AZ) 中使用,讓您能將安全和耐久的金鑰儲存新增到應用程式。

開始免費使用 AWS

建立免費帳戶
或者,請登入主控台

獲得 12 個月的 AWS 免費用量方案,同時享受 AWS 的基本支援功能,包括全年無休的客戶服務、支援論壇等等。

做為服務的組成部分,您擁有對雲端中各項 HSM 功能的專用存取權限。AWS CloudHSM 使用防篡改的 HSM 設備保護您的加密金鑰,這些設備的設計符合加密模組的國際 (Common Criteria EAL4+) 和美國政府 (NIST FIPS 140-2) 法規標準。您保有在 HSM 上對金鑰和加密操作的完整控制,而 Amazon 在不需要存取您的金鑰的情況下管理和維護硬體。

透過在硬體中保護您的金鑰和防止被第三方存取,AWS CloudHSM 可以協助您遵守對金鑰保護最為嚴格的法規和合約要求。

CloudHSM API、命令列界面 (CLI) 工具和 SDK 可讓您隨時啟動和停止專用 CloudHSM 執行個體。

AWS CloudHSM 可在多個區域和可用區域 (AZ) 中使用,協助您建立需要強大金鑰保護的高可用性應用程式。CloudHSM 命令列界面 (CLI) 工具可協助您設定跨多個可用區域的高可用性 (HA) 群組,以便您建立彈性的應用程式。在罕見的硬體故障情況下,您可以啟動新的 CloudHSM 執行個體,透過一些命令將金鑰複製到新的 HSM。您也可以將 AWS CloudHSM 與相容的內部部署 HSM 配合使用,將金鑰安全地儲存在您的資料中心。這會增加金鑰耐久性,並賦予您將金鑰安全地遷入和遷出 AWS 的靈活性。

CloudHSM 執行個體位於您的 VPC 中,因此可以輕鬆地與 Amazon EC2 應用程式配合使用。您使用標準的 Amazon VPC 安全機制來控制對 CloudHSM 執行個體的存取。

將 CloudHSM 執行個體放置在靠近 EC2 執行個體的 VPC 中,可以減少網路延遲,及提高使用 HSM 的 AWS 應用程式的效能。

您可以將 CloudHSM 與 Amazon Redshift、Amazon Relational Database Service (RDS)、Oracle 或第三方應用程式搭配使用,這些應用程式包括做為根信任的 SafeNet Virtual KeySecure、Apache (SSL 終止) 或 Microsoft SQL Server (透明資料加密) 等。編寫個人應用程式時也可以使用 CloudHSM,並繼續使用您所熟悉的標準密碼庫,包括 PKCS#11、Java JCA/JCE 以及 Microsoft CAPI 和 CNG。

如果您需要追蹤資源變更,或因為安全和合規目的而稽核活動,可以透過 CloudTrail 檢閱帳戶進行的所有 CloudHSM API 呼叫。此外,您可以使用 syslog 在 HSM 設備上稽核操作,或將 syslog 日誌訊息傳送到自己的收集器。