AWS CloudHSM のキー

AWS CloudHSM により、AWS CloudHSM クラスターにあるシングルテナント HSM で暗号化キーを安全に生成、保存、管理できます。キーは対称キーまたは非対称キーである場合があり、単一セッション向けのセッションキー (エフェメラルキー)、長期間使用するトークンキー (永続キー) として利用できます。また、AWS CloudHSM との間のエクスポートやインポートも可能です。さらに、キーは一般的な暗号タスクや機能を実行するためにも使用できます。

対称暗号化アルゴリズムと非対称暗号化アルゴリズムの両方を使用して、暗号データ署名と署名検証を行います。
ハッシュ関数を使用して、メッセージダイジェストと Hash-based Message Authentication Code (HMAC) を計算します。
他のキーをラップして保護します。
暗号化された安全なランダムデータにアクセスします。

クラスターが持つことができる最大キーは、クラスター内の HSM のタイプによって異なります。例えば、hsm2m.medium には hsm1,medium よりも多くのキーが保存されます。これらの比較については、「AWS CloudHSM のクォータ」を参照してください。

さらに、AWS CloudHSM は、キーの使用と管理に関するいくつかの基本原則に従います。

多くのキータイプとアルゴリズムから選択可能: 独自のソリューションをカスタマイズできるように、AWS CloudHSM では多数のキータイプとアルゴリズムから選択できます。アルゴリズムはさまざまなキーサイズをサポートします。詳細については、それぞれ AWS CloudHSM クライアント SDK を使用したオフロードオペレーションの属性とメカニズムのページを参照してください。

キーの管理方法: AWS CloudHSM キーは SDK とコマンドラインツールで管理されます。これらのツールを使用してキーを管理する方法については、「AWS CloudHSM のキー」と「のベストプラクティスAWS CloudHSM」を参照してください。

キーの所有者は誰か: AWS CloudHSM では、キーを作成した Crypto User (CU) がキーを所有しています。所有者は key share と key unshare コマンドを使用してキーを他の CU と共有または共有解除することができます。詳細情報は、CloudHSM CLI を使用してキーを共有または共有解除するを参照してください。

属性ベースの暗号化によりアクセスと使用を制御可能: AWS CloudHSM により、属性ベースの暗号化を使用できます。属性ベースの暗号化は、キー属性を使用してポリシーに基づいてデータを復号化できるユーザーを制御できる暗号化の一種です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS CloudHSM のユーザー

クライアント SDK