クラスターバックアップのセキュリティ

AWS CloudHSM が HSM からバックアップを作成すると、そのすべてのデータは HSM で暗号化されてから AWS CloudHSM に送信されます。データがプレーンテキスト形式で HSM から外部に出ることはありません。また、AWS はバックアップの復号化に使用されたキーにアクセスできないため、AWS ではバックアップを復号化できません。

データを暗号化するために、HSM はエフェメラルバックアップキー (EBK) として知られる一意の暗号化キーを一時的に使用します。EBK は、AWS CloudHSM がバックアップを作成した際に HSM 内で生成される AES 256 ビット暗号化キーです。HSM は EBK を生成し、それを使用して NIST special publication 800-38F に準拠する FIPS 承認 AES キーラップメソッドで HSM のデータを暗号化します。その後、HSM は暗号化されたデータを AWS CloudHSM に渡します。暗号化されたデータには、EBK の暗号化済みコピーが含まれています。

EBK を暗号化するために、HSM は永続的バックアップキー (PBK) として知られる別の暗号化キーを使用します。PBK も、AES 256 ビット暗号化キーです。PBK を生成するために、HSM は NIST special publication 800-108 に準拠する FIPS 承認キー取得機能 (KDF) をカウンターモードで使用します。この KDF への入力には次のものがあります。

ハードウェア製造元が HSM に永続的に埋め込んだ、製造元キーバックアップキー (MKBK)。
最初に AWS に設定された場合、HSM に安全にインストールされる AWS CloudHSM キーバックアップキー (AKBK)。

次の図に暗号化プロセスがまとめてあります。バックアップ暗号化キーは、永続的なバックアップキー (PBK) とエフェメラルバックアップキー (EBK) を指します。

AWS CloudHSM は、同じ製造元に作られた AWS 所有の HSM のみにバックアップを保存できます。すべてのバックアップがすべてのユーザー、キー、およびオリジナルの HSM を含んでいるため、復元された HSM はオリジナルと同じ保護およびアクセス制御を含んでいます。復元されたデータは、復元前に HSM にあった可能性がある他のデータをすべて上書きします。

バックアップは暗号化されたデータのみで構成されます。サービスが Amazon S3 にバックアップを保存する前に、サービスは、AWS Key Management Service (AWS KMS) を使ってバックアップを再度暗号化します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

エンドツーエンドの暗号化

アイデンティティ/アクセス管理