Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cómo AWS CloudHSM funciona
<a name="whatis-concepts"></a>

En este tema se proporciona una descripción general de los conceptos básicos y la arquitectura que se utilizan para cifrar datos y realizar operaciones criptográficas de forma segura. HSMs AWS CloudHSM opera en su propia Amazon Virtual Private Cloud (VPC). Antes de poder utilizarla AWS CloudHSM, primero debe crear un clúster, HSMs añadirlo, crear usuarios y claves y, a continuación, utilizar Client SDKs para integrarlo HSMs con la aplicación. Una vez hecho esto, utiliza los registros del SDK del cliente AWS CloudTrail, los registros de auditoría y Amazon CloudWatch para [supervisar AWS CloudHSM](get-logs.md).

Conozca AWS CloudHSM los conceptos básicos y cómo funcionan juntos para ayudar a proteger sus datos.

**Topics**
+ [

# AWS CloudHSM clústeres
](clusters.md)
+ [

# Usuarios en AWS CloudHSM
](hsm-users.md)
+ [

# Llaves en AWS CloudHSM
](whatis-hsm-keys.md)
+ [

# Cliente SDKs para AWS CloudHSM
](client-tools-and-libraries.md)
+ [

# AWS CloudHSM copias de seguridad en clúster
](backups.md)
+ [

# Regiones compatibles para AWS CloudHSM
](regions.md)

# AWS CloudHSM clústeres
<a name="clusters"></a>

*Hacer que las personas HSMs trabajen juntas de forma sincronizada, redundante y con alta disponibilidad puede resultar difícil, pero supone todo el trabajo por AWS CloudHSM sí solo al proporcionar módulos de seguridad de hardware () en clústeres. HSMs* Un clúster es un conjunto de individuos HSMs que AWS CloudHSM se mantienen sincronizados. Cuando realizas una tarea u operación en un HSM de un clúster, los demás HSMs de ese clúster se actualizan automáticamente.

AWS CloudHSM *ofrece clústeres en dos modos: *FIPS y no FIPS*.* En el modo FIPS, solo se pueden usar claves y algoritmos validados por el Estándar Federal de Procesamiento de Información (FIPS). El modo sin FIPS ofrece todas las claves y algoritmos compatibles AWS CloudHSM, independientemente de la aprobación FIPS. AWS CloudHSM *también ofrece dos tipos de HSMs: *hsm1.medium y hsm2m.medium*.* Para obtener información detallada sobre las diferencias entre cada tipo de HSM y modo de clúster, consulte [AWS CloudHSM modos de clúster](cluster-hsm-types.md). El tipo de HSM *hsm1.medium* ha llegado al final de su soporte, por lo que ya no es posible crear nuevos clústeres con este tipo. Para obtener más información, consulte las [Notificaciones de obsolescencia](compliance-dep-notif.md#hsm-dep-1).

Para cumplir sus objetivos de disponibilidad, durabilidad y escalabilidad, debe establecer el número de zonas de disponibilidad del clúster en varias zonas de HSMs disponibilidad. Puede crear un clúster que tenga de 1 a 28 HSMs (el [límite predeterminado](limits.md) es de 6 HSMs por AWS cuenta y [AWS región](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)). Puede colocarlos HSMs en diferentes [zonas de disponibilidad](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html) de una AWS región. Agregar más HSMs a un clúster proporciona un mayor rendimiento. Distribuir clústeres en varias zonas de disponibilidad proporciona redundancia y alta disponibilidad.

Para obtener más información acerca de los clústeres , consulte [Clústeres en AWS CloudHSM](manage-clusters.md).

Para crear un clúster, consulte [Introducción](getting-started.md).

# Usuarios en AWS CloudHSM
<a name="hsm-users"></a>

A diferencia de la mayoría de los AWS servicios y recursos, no utiliza usuarios AWS Identity and Access Management (de IAM) ni políticas de IAM para acceder a los recursos de su clúster. AWS CloudHSM En su lugar, utiliza *los usuarios de HSM* directamente HSMs en su clúster. AWS CloudHSM 

Los usuarios de HSM son distintos de los usuarios de IAM. Los usuarios de IAM que tengan las credenciales correctas pueden crear HSMs interactuando con los recursos a través de la API de AWS. El cifrado E2E no es visible para AWS, por lo que debe usar las credenciales de usuario del HSM para autenticar las operaciones en el mismo, ya que las credenciales se gestionan directamente en el HSM. El HSM autentica a sus usuarios mediante credenciales que usted define y administra. Cada usuario del HSM tiene un *tipo* que determina las operaciones que puede realizar en el HSM. Cada HSM autentica a sus usuarios mediante las credenciales que usted ha definido en la [CLI de CloudHSM](cloudhsm_cli.md). 

Si usa la [serie de versiones anteriores del SDK](choose-client-sdk.md), tendrá que utilizar [la utilidad de administración de CloudHSM (CMU)](cloudhsm_mgmt_util.md).

# Llaves en AWS CloudHSM
<a name="whatis-hsm-keys"></a>

AWS CloudHSM le permite generar, almacenar y administrar de forma segura sus claves de cifrado en un solo inquilino HSMs que se encuentran en su AWS CloudHSM clúster. Las claves pueden ser simétricas o asimétricas, pueden ser claves de sesión (claves efímeras) para sesiones individuales, claves simbólicas (claves persistentes) para un uso prolongado y pueden exportarse e importarse a ellas. AWS CloudHSM Las claves también se pueden usar para completar tareas y funciones criptográficas comunes:
+ Realice la firma de datos criptográficos y la verificación de firmas con algoritmos de cifrado simétricos y asimétricos.
+ Utilice funciones de hash para calcular resúmenes de mensajes y códigos de autenticación de mensajes basados en hash (). HMACs
+ Encapsule y proteja otras claves.
+ Accede a datos aleatorios criptográficamente seguros.

El número máximo de claves que puede tener un clúster depende del tipo de claves HSMs que contenga. Por ejemplo, hsm2m.medium almacena más claves que hsm1.medium. Para ver una comparación, consulte [AWS CloudHSM cuotas](limits.md).

Además, AWS CloudHSM sigue algunos principios fundamentales para el uso y la administración de las claves:

**Muchos tipos de claves y algoritmos entre los que elegir**  
Para que pueda personalizar sus propias soluciones, AWS CloudHSM ofrece muchos tipos de claves y algoritmos entre los que elegir. Los algoritmos admiten una variedad de tamaños de clave. Para obtener más información, consulte las páginas de atributos y mecanismos de cada [Operaciones de descarga con el cliente AWS CloudHSM SDKs](use-hsm.md).

**Cómo se gestionan las claves**  
AWS CloudHSM las claves se administran mediante SDKs herramientas de línea de comandos. Para obtener información sobre cómo usar estas herramientas para administrar las claves, consulte [Llaves en AWS CloudHSM](manage-keys.md) y [Mejores prácticas para AWS CloudHSM](best-practices.md).

**¿Quién posee las claves?**  
En AWS CloudHSM, el usuario criptográfico (CU) que crea la clave es el propietario de la misma. El propietario puede usar los **key unshare** comandos **key share** y para compartir y dejar de compartir la clave con otras CUs personas. Para obtener más información, consulte [Compartir y dejar de compartir claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-share.md).

**El acceso y el uso se pueden controlar mediante el cifrado basado en atributos**.  
AWS CloudHSM permite utilizar el cifrado basado en atributos, una forma de cifrado que permite utilizar los atributos clave para controlar quién puede descifrar los datos en función de las políticas.

# Cliente SDKs para AWS CloudHSM
<a name="client-tools-and-libraries"></a>

Al usarlo AWS CloudHSM, realiza operaciones criptográficas con los [kits de desarrollo de software de AWS CloudHSM cliente () SDKs](use-hsm.md). AWS CloudHSM SDKs Los clientes incluyen:
+ Estándars de criptografía de clave pública \$111 (PKCS) \$111
+ Proveedor de JCE
+ Motor dinámico de OpenSSL
+ Proveedor de almacenamiento de claves (KSP) para Microsoft Windows

Puede usar alguno de estos SDK o todos ellos en su AWS CloudHSM clúster. Escriba el código de su aplicación para utilizarlos SDKs para realizar operaciones criptográficas en su. HSMs Para ver qué plataformas y tipos de HSM son compatibles con cada SDK, consulte [AWS CloudHSM Plataformas compatibles con Client SDK 5](client-supported-platforms.md)

Las herramientas utilitarias y de línea de comandos son necesarias no solo para usar, SDKs sino también para configurar las credenciales, las políticas y los ajustes de la aplicación. Para obtener más información, consulta [AWS CloudHSM herramientas de línea de comandos](command-line-tools.md).

 Para obtener más información sobre la instalación y el uso del SDK de cliente o sobre la seguridad de la conexión del cliente, consulte [Cliente SDKs](use-hsm.md) y [End-to-end cifrado](client-end-to-end-encryption.md). 

# AWS CloudHSM copias de seguridad en clúster
<a name="backups"></a>

AWS CloudHSM realiza copias de seguridad periódicas de los usuarios, las claves y las políticas del clúster. Las copias de seguridad son seguras, duraderas y se actualizan según un cronograma predecible. En la siguiente ilustración, se muestra la relación de las copias de seguridad con el clúster. 

![\[AWS CloudHSM copias de seguridad en clúster cifradas en un bucket de Amazon S3 controlado por el servicio.\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/images/cluster-backup.png)


Para obtener más información sobre cómo trabajar con copias de seguridad, consulte [Copias de seguridad de los clústeres](manage-backups.md).

**Seguridad**  
Cuando AWS CloudHSM realiza una copia de seguridad desde el HSM, el HSM cifra todos sus datos antes de enviarlos a. AWS CloudHSM Los datos nunca salen del HSM en formato de texto no cifrado. Además, las copias de seguridad no se pueden descifrar AWS porque AWS no tiene acceso a la clave utilizada para descifrarlas. Para obtener más información, consulte [Seguridad de las copias de seguridad del clúster](data-protection-backup-security.md)

**Durabilidad**  
AWS CloudHSM almacena las copias de seguridad en un depósito de Amazon Simple Storage Service (Amazon S3) controlado por el servicio en la misma región que su clúster. Las copias de seguridad tienen un nivel de durabilidad del 99,999999999 %, equivalente al de cualquier objeto almacenado en Amazon S3.

# Regiones compatibles para AWS CloudHSM
<a name="regions"></a>

Para obtener información sobre las regiones compatibles AWS CloudHSM, consulte [AWS CloudHSM Regiones y puntos finales](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) en la tabla de regiones o en la *Referencia general de AWS*[tabla de regiones](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

AWS CloudHSM es posible que no esté disponible en todas las zonas de disponibilidad de una región determinada. Sin embargo, esto no debería afectar al rendimiento, ya que la carga AWS CloudHSM se equilibra automáticamente HSMs en todos los componentes de un clúster.

Como la mayoría de AWS los recursos, se HSMs agrupan y son recursos regionales. No es posible reutilizar o ampliar un clúster entre regiones. Debe realizar todos los pasos necesarios que se muestran en [Empezar con AWS CloudHSM](getting-started.md) para crear un clúster en una nueva región.

Con fines de recuperación ante desastres, AWS CloudHSM le permite copiar copias de seguridad de su AWS CloudHSM clúster de una región a otra. Para obtener más información, consulte [AWS CloudHSM copias de seguridad en clúster](backups.md).