Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# ¿Qué es AWS CloudHSM?
AWS CloudHSM combina las ventajas de la AWS nube con la seguridad de los módulos de seguridad de hardware (HSMs). Un módulo de seguridad de hardware (HSM) es un dispositivo informático que procesa las operaciones criptográficas y proporciona almacenamiento seguro de las claves criptográficas. Con ello AWS CloudHSM, tiene el control total de la alta disponibilidad HSMs que se encuentra en la nube de AWS, tiene acceso de baja latencia y una raíz de confianza segura que automatiza la administración de los HSM (incluidos los respaldos, el aprovisionamiento, la configuración y el mantenimiento).
AWS CloudHSM ofrece a los clientes una variedad de beneficios:
**Acceso a clústeres FIPS y no FIPS**
AWS CloudHSM ofrece clústeres en dos modos: *FIPS y *no* FIPS*. En el modo FIPS, solo se pueden usar claves y algoritmos validados por el Estándar Federal de Procesamiento de Información (FIPS). El modo sin FIPS ofrece todas las claves y algoritmos compatibles AWS CloudHSM, independientemente de la aprobación FIPS. Para obtener más información, consulte [AWS CloudHSM modos de clúster](cluster-hsm-types.md).
**HSMs son de uso general, de un solo usuario y están validados para clústeres en modo FIPS 140-2 de nivel 3 o FIPS 140-3 de nivel 3**
AWS CloudHSM utiliza un propósito general HSMs que proporciona más flexibilidad en comparación con los servicios de AWS totalmente administrados que tienen algoritmos y longitudes de clave predeterminados para su aplicación. Ofrecemos productos HSMs que cumplen con los estándares, son de un solo inquilino y están validados por la norma FIPS 140-2 de nivel 3 o por la FIPS 140-3 de nivel 3 para clústeres en modo FIPS. Para los clientes con casos de uso que no estén contemplados en las restricciones de validación FIPS 140-2 o FIPS 140-3 de nivel 3, AWS CloudHSM también ofrece clústeres en modo no FIPS. Para obtener más información, consulte [AWS CloudHSM clústeres](clusters.md).
**El cifrado E2E no es visible para AWS**.
Como su plano de datos está cifrado end-to-end (E2E) y AWS no lo ve, usted controla su propia administración de usuarios (fuera de las funciones de IAM). A cambio de este control, usted tiene más responsabilidad que si usara un servicio de AWS gestionado.
**Control total de sus claves, algoritmos y desarrollo de aplicaciones**.
AWS CloudHSM le da el control total de los algoritmos y las claves que utiliza. Usted puede generar, almacenar, importar, exportar y administrar claves criptográficas, incluidas las claves de sesión, claves token, claves simétricas y pares de claves asimétricas. Además, AWS CloudHSM SDKs le brinda un control total sobre el desarrollo de las aplicaciones, el lenguaje de las aplicaciones, los subprocesos y la ubicación física de las aplicaciones.
**Migre sus cargas de trabajo criptográficas a la nube**.
Los clientes que migren una infraestructura de clave pública que utilice los estándares de criptografía de clave pública \$111 (PKCS \$111), la extensión criptográfica de Java (JCE), la API de criptografía: próxima generación (CNG) o el proveedor de almacenamiento de claves (KSP) pueden migrar a ella con menos cambios en su aplicación. AWS CloudHSM
Para obtener más información sobre lo que puede hacer con ella, consulte los siguientes temas. AWS CloudHSM Cuando esté listo para empezar AWS CloudHSM, consulte[Introducción](getting-started.md).
**nota**
Si desea un servicio gestionado para crear y controlar sus claves de cifrado, pero no quiere ni necesita utilizar el suyo propio HSMs, considere la posibilidad de utilizarlo [AWS Key Management Service](https://aws.amazon.com/kms/).
Si busca un servicio flexible que gestione los pagos HSMs y las claves de las aplicaciones de procesamiento de pagos en la nube, considere la posibilidad de utilizar la [criptografía de pagos de AWS](https://aws.amazon.com/payment-cryptography/).
**Topics**
+ [Casos de uso](use-cases.md)
+ [Funcionamiento](whatis-concepts.md)
+ [Precios para AWS CloudHSM](pricing.md)
# AWS CloudHSM casos de uso
AWS CloudHSM se puede utilizar para lograr una variedad de objetivos. El contenido de este tema proporciona una descripción general de lo que puede hacer con él AWS CloudHSM.
**Cumplimiento de la normativa**
Las empresas que necesiten ajustarse a los estándares de seguridad empresarial pueden utilizar AWS CloudHSM para gestionar las claves privadas que protegen los datos altamente confidenciales. Las que HSMs proporciona AWS CloudHSM cuentan con la certificación FIPS 140-2 de nivel 3 y cumplen con la normativa PCI DSS. Además, AWS CloudHSM es compatible con el PIN PCI y con el PCI-3DS. Para obtener más información, consulte [Validación de conformidad para AWS CloudHSM](fips-validation.md).
**Cifrar y descifrar datos**
Se utiliza AWS CloudHSM para gestionar las claves privadas que protegen los datos altamente confidenciales, el cifrado en tránsito y el cifrado en reposo. Además, AWS CloudHSM ofrece una integración compatible con los estándares con múltiples criptográficos. SDKs
**Firme y verifique documentos con claves públicas y privadas**.
En criptografía, el uso de una clave privada para **firmar** un documento permite a los destinatarios utilizar una clave pública para **verificar** que usted (y no otra persona) ha enviado realmente el documento. Se utiliza AWS CloudHSM para crear pares de claves públicas y privadas asimétricas diseñadas específicamente para este propósito.
**Autentique los mensajes mediante y HMACs CMACs**
En criptografía, los códigos de autenticación de mensajes cifrados (CMACs) y los códigos de autenticación de mensajes basados en hash (HMACs) se utilizan para autenticar y garantizar la integridad de los mensajes enviados a través de redes no seguras. Con AWS CloudHSM, puede crear y administrar de forma segura claves simétricas que admitan y. HMACs CMACs
**Aproveche los beneficios de y AWS CloudHSM AWS Key Management Service**
Los clientes pueden combinar AWS CloudHSM y [AWS KMS](https://aws.amazon.com/kms/)almacenar el material clave en un entorno de un solo inquilino y, al mismo tiempo, obtener los beneficios de administración clave, escalamiento e integración en la nube que ofrecen. AWS KMS Para obtener más información al respecto, consulte [Almacenamiento de claves de AWS CloudHSM](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) en la *AWS Key Management Service Guía del desarrollador*.
**Descarga el SSL/TLS procesamiento para servidores web**
Para enviar datos de forma segura a través de Internet, los servidores web utilizan pares de claves públicas y privadas y un certificado de clave SSL/TLS pública para establecer sesiones HTTPS. Este proceso implica una gran cantidad de cálculos para los servidores web, pero puede reducir la carga computacional y, al mismo tiempo, brindar mayor seguridad al transferir parte de esta información a su clúster. AWS CloudHSM Para obtener información sobre cómo configurar SSL/TLS offload with, consulte. AWS CloudHSM[Descarga de SSL/TLS](ssl-offload.md)
**Cifrado de datos transparente (TDE)**
El cifrado de datos transparente (TDE) se usa para cifrar archivos de bases de datos. Con TDE, el software de base de datos cifra los datos antes de almacenarlos en el disco. Puede lograr una mayor seguridad almacenando la clave de cifrado maestra TDE en HSMs su. AWS CloudHSM Para obtener información sobre cómo configurar Oracle TDE con AWS CloudHSM, consulte. [Cifrado de Oracle Database](oracle-tde.md)
**Gestionar las claves privadas de una autoridad de certificación (CA)**
Una autoridad de certificación (CA) es una entidad de confianza que emite certificados digitales que vinculan una clave pública a una identidad (persona u organización). Para operar una CA, debe mantener la confianza con la protección de las claves privadas que firman los certificados emitidos por la CA. Puede almacenar dichas claves privadas en su AWS CloudHSM clúster y, a continuación, utilizarlas HSMs para realizar operaciones de firma criptográfica.
**Genere números aleatorios**.
Generar números aleatorios para crear claves de cifrado es fundamental para la seguridad en línea. AWS CloudHSM se pueden usar para generar números aleatorios de forma segura bajo su control y solo usted los puede ver. HSMs
# Cómo AWS CloudHSM funciona
En este tema se proporciona una descripción general de los conceptos básicos y la arquitectura que se utilizan para cifrar datos y realizar operaciones criptográficas de forma segura. HSMs AWS CloudHSM opera en su propia Amazon Virtual Private Cloud (VPC). Antes de poder utilizarla AWS CloudHSM, primero debe crear un clúster, HSMs añadirlo, crear usuarios y claves y, a continuación, utilizar Client SDKs para integrarlo HSMs con la aplicación. Una vez hecho esto, utiliza los registros del SDK del cliente AWS CloudTrail, los registros de auditoría y Amazon CloudWatch para [supervisar AWS CloudHSM](get-logs.md).
Conozca AWS CloudHSM los conceptos básicos y cómo funcionan juntos para ayudar a proteger sus datos.
**Topics**
+ [AWS CloudHSM clústeres](clusters.md)
+ [Usuarios en AWS CloudHSM](hsm-users.md)
+ [Llaves en AWS CloudHSM](whatis-hsm-keys.md)
+ [Cliente SDKs para AWS CloudHSM](client-tools-and-libraries.md)
+ [AWS CloudHSM copias de seguridad en clúster](backups.md)
+ [Regiones compatibles para AWS CloudHSM](regions.md)
# AWS CloudHSM clústeres
*Hacer que las personas HSMs trabajen juntas de forma sincronizada, redundante y con alta disponibilidad puede resultar difícil, pero supone todo el trabajo por AWS CloudHSM sí solo al proporcionar módulos de seguridad de hardware () en clústeres. HSMs* Un clúster es un conjunto de individuos HSMs que AWS CloudHSM se mantienen sincronizados. Cuando realizas una tarea u operación en un HSM de un clúster, los demás HSMs de ese clúster se actualizan automáticamente.
AWS CloudHSM *ofrece clústeres en dos modos: *FIPS y no FIPS*.* En el modo FIPS, solo se pueden usar claves y algoritmos validados por el Estándar Federal de Procesamiento de Información (FIPS). El modo sin FIPS ofrece todas las claves y algoritmos compatibles AWS CloudHSM, independientemente de la aprobación FIPS. AWS CloudHSM *también ofrece dos tipos de HSMs: *hsm1.medium y hsm2m.medium*.* Para obtener información detallada sobre las diferencias entre cada tipo de HSM y modo de clúster, consulte [AWS CloudHSM modos de clúster](cluster-hsm-types.md). El tipo de HSM *hsm1.medium* ha llegado al final de su soporte, por lo que ya no es posible crear nuevos clústeres con este tipo. Para obtener más información, consulte las [Notificaciones de obsolescencia](compliance-dep-notif.md#hsm-dep-1).
Para cumplir sus objetivos de disponibilidad, durabilidad y escalabilidad, debe establecer el número de zonas de disponibilidad del clúster en varias zonas de HSMs disponibilidad. Puede crear un clúster que tenga de 1 a 28 HSMs (el [límite predeterminado](limits.md) es de 6 HSMs por AWS cuenta y [AWS región](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)). Puede colocarlos HSMs en diferentes [zonas de disponibilidad](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html) de una AWS región. Agregar más HSMs a un clúster proporciona un mayor rendimiento. Distribuir clústeres en varias zonas de disponibilidad proporciona redundancia y alta disponibilidad.
Para obtener más información acerca de los clústeres , consulte [Clústeres en AWS CloudHSM](manage-clusters.md).
Para crear un clúster, consulte [Introducción](getting-started.md).
# Usuarios en AWS CloudHSM
A diferencia de la mayoría de los AWS servicios y recursos, no utiliza usuarios AWS Identity and Access Management (de IAM) ni políticas de IAM para acceder a los recursos de su clúster. AWS CloudHSM En su lugar, utiliza *los usuarios de HSM* directamente HSMs en su clúster. AWS CloudHSM
Los usuarios de HSM son distintos de los usuarios de IAM. Los usuarios de IAM que tengan las credenciales correctas pueden crear HSMs interactuando con los recursos a través de la API de AWS. El cifrado E2E no es visible para AWS, por lo que debe usar las credenciales de usuario del HSM para autenticar las operaciones en el mismo, ya que las credenciales se gestionan directamente en el HSM. El HSM autentica a sus usuarios mediante credenciales que usted define y administra. Cada usuario del HSM tiene un *tipo* que determina las operaciones que puede realizar en el HSM. Cada HSM autentica a sus usuarios mediante las credenciales que usted ha definido en la [CLI de CloudHSM](cloudhsm_cli.md).
Si usa la [serie de versiones anteriores del SDK](choose-client-sdk.md), tendrá que utilizar [la utilidad de administración de CloudHSM (CMU)](cloudhsm_mgmt_util.md).
# Llaves en AWS CloudHSM
AWS CloudHSM le permite generar, almacenar y administrar de forma segura sus claves de cifrado en un solo inquilino HSMs que se encuentran en su AWS CloudHSM clúster. Las claves pueden ser simétricas o asimétricas, pueden ser claves de sesión (claves efímeras) para sesiones individuales, claves simbólicas (claves persistentes) para un uso prolongado y pueden exportarse e importarse a ellas. AWS CloudHSM Las claves también se pueden usar para completar tareas y funciones criptográficas comunes:
+ Realice la firma de datos criptográficos y la verificación de firmas con algoritmos de cifrado simétricos y asimétricos.
+ Utilice funciones de hash para calcular resúmenes de mensajes y códigos de autenticación de mensajes basados en hash (). HMACs
+ Encapsule y proteja otras claves.
+ Accede a datos aleatorios criptográficamente seguros.
El número máximo de claves que puede tener un clúster depende del tipo de claves HSMs que contenga. Por ejemplo, hsm2m.medium almacena más claves que hsm1.medium. Para ver una comparación, consulte [AWS CloudHSM cuotas](limits.md).
Además, AWS CloudHSM sigue algunos principios fundamentales para el uso y la administración de las claves:
**Muchos tipos de claves y algoritmos entre los que elegir**
Para que pueda personalizar sus propias soluciones, AWS CloudHSM ofrece muchos tipos de claves y algoritmos entre los que elegir. Los algoritmos admiten una variedad de tamaños de clave. Para obtener más información, consulte las páginas de atributos y mecanismos de cada [Operaciones de descarga con el cliente AWS CloudHSM SDKs](use-hsm.md).
**Cómo se gestionan las claves**
AWS CloudHSM las claves se administran mediante SDKs herramientas de línea de comandos. Para obtener información sobre cómo usar estas herramientas para administrar las claves, consulte [Llaves en AWS CloudHSM](manage-keys.md) y [Mejores prácticas para AWS CloudHSM](best-practices.md).
**¿Quién posee las claves?**
En AWS CloudHSM, el usuario criptográfico (CU) que crea la clave es el propietario de la misma. El propietario puede usar los **key unshare** comandos **key share** y para compartir y dejar de compartir la clave con otras CUs personas. Para obtener más información, consulte [Compartir y dejar de compartir claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-share.md).
**El acceso y el uso se pueden controlar mediante el cifrado basado en atributos**.
AWS CloudHSM permite utilizar el cifrado basado en atributos, una forma de cifrado que permite utilizar los atributos clave para controlar quién puede descifrar los datos en función de las políticas.
# Cliente SDKs para AWS CloudHSM
Al usarlo AWS CloudHSM, realiza operaciones criptográficas con los [kits de desarrollo de software de AWS CloudHSM cliente () SDKs](use-hsm.md). AWS CloudHSM SDKs Los clientes incluyen:
+ Estándars de criptografía de clave pública \$111 (PKCS) \$111
+ Proveedor de JCE
+ Motor dinámico de OpenSSL
+ Proveedor de almacenamiento de claves (KSP) para Microsoft Windows
Puede usar alguno de estos SDK o todos ellos en su AWS CloudHSM clúster. Escriba el código de su aplicación para utilizarlos SDKs para realizar operaciones criptográficas en su. HSMs Para ver qué plataformas y tipos de HSM son compatibles con cada SDK, consulte [AWS CloudHSM Plataformas compatibles con Client SDK 5](client-supported-platforms.md)
Las herramientas utilitarias y de línea de comandos son necesarias no solo para usar, SDKs sino también para configurar las credenciales, las políticas y los ajustes de la aplicación. Para obtener más información, consulta [AWS CloudHSM herramientas de línea de comandos](command-line-tools.md).
Para obtener más información sobre la instalación y el uso del SDK de cliente o sobre la seguridad de la conexión del cliente, consulte [Cliente SDKs](use-hsm.md) y [End-to-end cifrado](client-end-to-end-encryption.md).
# AWS CloudHSM copias de seguridad en clúster
AWS CloudHSM realiza copias de seguridad periódicas de los usuarios, las claves y las políticas del clúster. Las copias de seguridad son seguras, duraderas y se actualizan según un cronograma predecible. En la siguiente ilustración, se muestra la relación de las copias de seguridad con el clúster.
![\[AWS CloudHSM copias de seguridad en clúster cifradas en un bucket de Amazon S3 controlado por el servicio.\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/images/cluster-backup.png)
Para obtener más información sobre cómo trabajar con copias de seguridad, consulte [Copias de seguridad de los clústeres](manage-backups.md).
**Seguridad**
Cuando AWS CloudHSM realiza una copia de seguridad desde el HSM, el HSM cifra todos sus datos antes de enviarlos a. AWS CloudHSM Los datos nunca salen del HSM en formato de texto no cifrado. Además, las copias de seguridad no se pueden descifrar AWS porque AWS no tiene acceso a la clave utilizada para descifrarlas. Para obtener más información, consulte [Seguridad de las copias de seguridad del clúster](data-protection-backup-security.md)
**Durabilidad**
AWS CloudHSM almacena las copias de seguridad en un depósito de Amazon Simple Storage Service (Amazon S3) controlado por el servicio en la misma región que su clúster. Las copias de seguridad tienen un nivel de durabilidad del 99,999999999 %, equivalente al de cualquier objeto almacenado en Amazon S3.
# Regiones compatibles para AWS CloudHSM
Para obtener información sobre las regiones compatibles AWS CloudHSM, consulte [AWS CloudHSM Regiones y puntos finales](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) en la tabla de regiones o en la *Referencia general de AWS*[tabla de regiones](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
AWS CloudHSM es posible que no esté disponible en todas las zonas de disponibilidad de una región determinada. Sin embargo, esto no debería afectar al rendimiento, ya que la carga AWS CloudHSM se equilibra automáticamente HSMs en todos los componentes de un clúster.
Como la mayoría de AWS los recursos, se HSMs agrupan y son recursos regionales. No es posible reutilizar o ampliar un clúster entre regiones. Debe realizar todos los pasos necesarios que se muestran en [Empezar con AWS CloudHSM](getting-started.md) para crear un clúster en una nueva región.
Con fines de recuperación ante desastres, AWS CloudHSM le permite copiar copias de seguridad de su AWS CloudHSM clúster de una región a otra. Para obtener más información, consulte [AWS CloudHSM copias de seguridad en clúster](backups.md).
# Precios para AWS CloudHSM
Con AWS CloudHSM, paga por hora sin compromisos a largo plazo ni pagos por adelantado. Para obtener más información, consulta [AWS CloudHSM los precios](https://aws.amazon.com/cloudhsm/pricing/) en el AWS sitio web.