As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# O que AWS CloudHSMé
<a name="introduction"></a>

AWS CloudHSM combina os benefícios da AWS nuvem com a segurança dos módulos de segurança de hardware (HSMs). Um módulo de segurança de hardware (HSM) é um dispositivo computacional que processa operações de criptografia e oferece armazenamento seguro para chaves criptográficas. Com AWS CloudHSM, você tem controle total sobre a alta disponibilidade HSMs que está na nuvem da AWS, tem acesso de baixa latência e uma raiz segura de confiança que automatiza o gerenciamento de HSM (incluindo backups, provisionamento, configuração e manutenção). 

AWS CloudHSM oferece aos clientes uma variedade de benefícios:

**Acesso a clusters FIPS e diferentes de FIPS**  
AWS CloudHSM oferece clusters em dois modos: *FIPS e *não* FIPS*. No modo FIPS, somente chaves e algoritmos validados pelo Federal Information Processing Standard (FIPS – Padrão federal de processamento de informações) podem ser usados. O modo não FIPS oferece todas as chaves e algoritmos suportados AWS CloudHSM, independentemente da aprovação do FIPS. Para obter mais informações, consulte [AWS CloudHSM modos de cluster](cluster-hsm-types.md).

**HSMs são de uso geral, de inquilino único e validados para FIPS 140-2 de nível 3 ou FIPS 140-3 de nível 3 para clusters no modo FIPS**  
AWS CloudHSM usa propósitos gerais HSMs que fornecem mais flexibilidade quando comparados aos serviços totalmente gerenciados da AWS que têm algoritmos e comprimentos de chave predeterminados para seu aplicativo. Oferecemos soluções HSMs que estão em conformidade com os padrões, são de inquilino único e são validadas com FIPS 140-2 de nível 3 ou FIPS 140-3 de nível 3 para clusters no modo FIPS. Para clientes com casos de uso fora das restrições da validação do FIPS 140-2 ou FIPS 140-3 de nível 3, o AWS CloudHSM também oferece clusters no modo não FIPS. Consulte [AWS CloudHSM aglomerados](clusters.md) para obter mais informações.

**A criptografia E2E não é visível para a AWS**  
Como seu plano de dados é criptografado end-to-end (E2E) e não é visível para a AWS, você controla seu próprio gerenciamento de usuários (fora das funções do IAM). A desvantagem desse controle é que você tem mais responsabilidade do que se usasse um serviço gerenciado da AWS. 

**Controle total de suas chaves, algoritmos e desenvolvimento de aplicativos**  
AWS CloudHSM oferece controle total dos algoritmos e das chaves que você usa. Você pode gerar, armazenar, importar, exportar e gerenciar chaves criptográficas (incluindo chaves de sessão, chaves de token, pares de chaves simétricas e assimétricas). Além disso, AWS CloudHSM SDKs oferece controle total sobre o desenvolvimento de aplicativos, a linguagem do aplicativo, o encadeamento e onde seus aplicativos existem fisicamente.

**Migre suas workloads de criptografia para a nuvem**  
Os clientes que migram a infraestrutura de chave pública que usam os Padrões de Criptografia de Chave Pública \$111 (PKCS \$111), a Extensão Cryptográfica Java (JCE), a API de Criptografia: Próxima Geração (CNG) ou o Provedor de Armazenamento de Chaves (KSP) podem migrar para o aplicativo com menos alterações. AWS CloudHSM 

Para saber mais sobre o que você pode fazer com AWS CloudHSM, consulte os tópicos a seguir. Quando você estiver pronto para começar AWS CloudHSM, consulte[Introdução](getting-started.md). 

**nota**  
Se você quiser um serviço gerenciado para criar e controlar suas chaves de criptografia, mas não quiser ou precisar operar suas próprias chaves HSMs, considere usá-lo [AWS Key Management Service](https://aws.amazon.com/kms/).  
Se você estiver procurando por um serviço elástico que HSMs gerencie pagamentos e chaves para aplicativos de processamento de pagamentos na nuvem, considere usar a [criptografia de pagamento da AWS](https://aws.amazon.com/payment-cryptography/). 

**Topics**
+ [Casos de uso](use-cases.md)
+ [Como funciona](whatis-concepts.md)
+ [Preços para AWS CloudHSM](pricing.md)

# AWS CloudHSM casos de uso
<a name="use-cases"></a>

AWS CloudHSM pode ser usado para atingir uma variedade de objetivos. O conteúdo deste tópico fornece uma visão geral do que você pode fazer com AWS CloudHSM.

**Conformidade regulatória**  
As empresas que precisam se alinhar aos padrões de segurança corporativos podem usar AWS CloudHSM para gerenciar chaves privadas que protegem dados altamente confidenciais. Os HSMs fornecidos pela AWS CloudHSM são certificados FIPS 140-2 nível 3 e estão em conformidade com o PCI DSS. Além disso, AWS CloudHSM é compatível com PCI PIN e PCI-3DS. Para obter mais informações, consulte [Validação de conformidade para AWS CloudHSM](fips-validation.md).

**Criptografar e descriptografar dados**  
Use AWS CloudHSM para gerenciar chaves privadas que protegem dados altamente confidenciais, criptografia em trânsito e criptografia em repouso. Além disso, AWS CloudHSM oferece integração compatível com os padrões com vários criptográficos. SDKs

**Assine e verifique documentos com chaves públicas e privadas**  
Na criptografia, o uso de uma chave privada para **assinar** um documento permite que os destinatários usem uma chave pública para **verificar** se você (e não outra pessoa) realmente enviou o documento. Use AWS CloudHSM para criar pares assimétricos de chaves públicas e privadas projetados especificamente para essa finalidade.

**Autenticar mensagens usando HMACs e CMACs**  
Na criptografia, os códigos de autenticação de mensagens cifradas (CMACs) e os códigos de autenticação de mensagens baseados em hash (HMACs) são usados para autenticar e garantir a integridade das mensagens enviadas por redes inseguras. Com AWS CloudHSM, você pode criar e gerenciar com segurança chaves simétricas que suportam e. HMACs CMACs

**Aproveite os benefícios de AWS CloudHSM e AWS Key Management Service**  
Os clientes podem combinar AWS CloudHSM e [AWS KMS](https://aws.amazon.com/kms/)armazenar materiais essenciais em um ambiente de inquilino único e, ao mesmo tempo, obter os benefícios de gerenciamento de chaves, escalabilidade e integração na nuvem. AWS KMS Para obter detalhes sobre como fazer isso, consulte as [lojas de chaves do AWS CloudHSM](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) no *Guia do desenvolvedor do AWS Key Management Service *.

** SSL/TLS Processamento de descarga para servidores web**  
Para enviar dados com segurança pela Internet, os servidores web usam pares de chaves pública-privada e certificado de chave SSL/TLS pública para estabelecer sessões HTTPS. Esse processo envolve muita computação para servidores web, mas você pode reduzir a carga computacional e, ao mesmo tempo, fornecer segurança extra transferindo parte disso para o seu cluster. AWS CloudHSM Para obter informações sobre como configurar o SSL/TLS offload with AWS CloudHSM, consulte. [Descarregamento de SSL/TLS](ssl-offload.md)

**Ativar criptografia de dados transparente (TDE)**  
Transparent Data Encryption [criptografia de dados transparente (TDE)] é usada para criptografar arquivos de banco de dados. Com o TDE, o servidor de banco de dados criptografa os dados antes de armazená-los no disco. Você pode obter maior segurança armazenando a chave de criptografia mestra do TDE HSMs em seu AWS CloudHSM. Para obter informações sobre como configurar o Oracle TDE com AWS CloudHSM, consulte[Criptografia do Oracle Database](oracle-tde.md).

**Gerenciar as chaves privadas para uma autoridade de certificado de emissão (CA)**  
Uma autoridade de certificação (CA) é uma entidade confiável que emite certificados digitais que vinculam uma chave pública a uma identidade (uma pessoa ou organização). Para operar uma CA, é necessário manter a confiança, protegendo as chaves privadas que assinam os certificados emitidos pela CA. Você pode armazenar essas chaves privadas em seu AWS CloudHSM cluster e depois usá-las HSMs para realizar operações de assinatura criptográfica.

**Gere números randômicos**  
Gerar números aleatórios para criar chaves de criptografia é fundamental para a segurança online. AWS CloudHSM podem ser usados para gerar números aleatórios com segurança sob HSMs seu controle e só são visíveis para você.

# Como AWS CloudHSM funciona
<a name="whatis-concepts"></a>

Este tópico fornece uma visão geral dos conceitos básicos e da arquitetura que você usa para criptografar dados com segurança e realizar operações criptográficas em. HSMs AWS CloudHSM opera em sua própria Amazon Virtual Private Cloud (VPC). Antes de poder usar AWS CloudHSM, primeiro você cria um cluster, adiciona HSMs a ele, cria usuários e chaves e, em seguida, usa o Client SDKs para integrá-lo HSMs ao seu aplicativo. Feito isso, você usa os registros do SDK do cliente AWS CloudTrail, os registros de auditoria e CloudWatch a Amazon para [monitorar AWS CloudHSM](get-logs.md).

Conheça AWS CloudHSM os conceitos básicos e saiba como eles funcionam juntos para ajudar a proteger seus dados.

**Topics**
+ [AWS CloudHSM aglomerados](clusters.md)
+ [Usuários em AWS CloudHSM](hsm-users.md)
+ [Entrada de chaves AWS CloudHSM](whatis-hsm-keys.md)
+ [Cliente SDKs para AWS CloudHSM](client-tools-and-libraries.md)
+ [AWS CloudHSM backups de cluster](backups.md)
+ [Regiões suportadas para AWS CloudHSM](regions.md)

# AWS CloudHSM aglomerados
<a name="clusters"></a>

*Fazer com que as pessoas HSMs trabalhem em conjunto de forma sincronizada, redundante e altamente disponível pode ser difícil, mas AWS CloudHSM faz o trabalho pesado para você, fornecendo módulos de segurança de hardware () em clusters. HSMs* Um cluster é uma coleção de indivíduos HSMs que se AWS CloudHSM mantém sincronizados. Quando você executa uma tarefa ou operação em um HSM em um cluster, o outro HSMs nesse cluster é automaticamente atualizado.

AWS CloudHSM oferece clusters em dois modos: *FIPS e *não* FIPS*. No modo FIPS, somente chaves e algoritmos validados pelo Federal Information Processing Standard (FIPS – Padrão federal de processamento de informações) podem ser usados. O modo não FIPS oferece todas as chaves e algoritmos suportados AWS CloudHSM, independentemente da aprovação do FIPS. AWS CloudHSM *também oferece dois tipos de HSMs: *hsm1.medium e hsm2m.medium*.* Para obter detalhes sobre as diferenças entre cada tipo de HSM e modo de cluster, consulte [AWS CloudHSM modos de cluster](cluster-hsm-types.md). O tipo de HSM *hsm1.medium* está chegando ao fim do suporte, portanto não será possível criar novos clusters com esse tipo. Para saber mais, consulte [Notificações de suspensão de uso](compliance-dep-notif.md#hsm-dep-1) para obter detalhes.

Para atender às suas metas de disponibilidade, durabilidade e escalabilidade, você define o número de HSMs em seu cluster em várias zonas de disponibilidade. Você pode criar um cluster que tenha de 1 a 28 HSMs (o [limite padrão](limits.md) é de 6 HSMs por AWS conta por [AWS região](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)). Você pode colocá-los HSMs em diferentes [zonas de disponibilidade](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html) em uma AWS região. Adicionar mais HSMs a um cluster proporciona maior desempenho. Espalhar clusters pelas zonas de disponibilidade fornece redundância e alta disponibilidade.

Para obter mais informações sobre clusters, consulte [Clusters em AWS CloudHSM](manage-clusters.md).

Para criar um cluster, consulte [Introdução](getting-started.md).

# Usuários em AWS CloudHSM
<a name="hsm-users"></a>

Ao contrário da maioria dos AWS serviços e recursos, você não usa usuários AWS Identity and Access Management (IAM) ou políticas do IAM para acessar recursos dentro do seu AWS CloudHSM cluster. Em vez disso, você usa *usuários do HSM* diretamente HSMs no seu AWS CloudHSM cluster.

Os usuários do HSM são diferentes dos usuários do IAM. Os usuários do IAM que têm as credenciais corretas podem criar interagindo com recursos HSMs por meio da API da AWS. Como a criptografia E2E não é visível para a AWS, você deve usar as credenciais de usuário do HSM para autenticar as operações no HSM, uma vez que as credenciais ocorrem diretamente no HSM. O HSM autentica cada usuário do HSM por meio das credenciais que você define e gerencia. Cada usuário do HSM tem um *tipo* que determina quais operações o usuário tem permissão para realizar no HSM. Cada HSM autentica cada usuário do HSM por meio das credenciais que você define usando a [CLI do CloudHSM.](cloudhsm_cli.md) 

Se você estiver usando a [série de versões anteriores do SDK](choose-client-sdk.md), usará o [CloudHSM Management Utility (CMU)](cloudhsm_mgmt_util.md).

# Entrada de chaves AWS CloudHSM
<a name="whatis-hsm-keys"></a>

AWS CloudHSM permite que você gere, armazene e gerencie com segurança suas chaves de criptografia em um único locatário HSMs que estão em seu cluster. AWS CloudHSM As chaves podem ser simétricas ou assimétricas, podem ser chaves de sessão (chaves efêmeras) para sessões únicas, chaves de token (chaves persistentes) para uso a longo prazo e podem ser exportadas e importadas para. AWS CloudHSM As chaves também podem ser usadas para concluir tarefas e funções criptográficas comuns:
+ Execute a assinatura de dados criptográficos e a verificação de assinaturas com algoritmos de criptografia simétrica e assimétrica.
+ Trabalhe com funções hash para computar resumos de mensagens e códigos de autenticação de mensagens baseados em hash (). HMACs
+ Encapsule e proteja outras chaves.
+ Acessar dados aleatórios protegidos criptograficamente.

O máximo de chaves que um cluster pode ter depende do tipo HSMs que está no cluster. Por exemplo, o tipo hsm2m.medium armazena mais chaves do que o hsm1.medium. Para ver uma comparação, consulte [AWS CloudHSM cotas](limits.md).

Além disso, AWS CloudHSM segue alguns princípios fundamentais para uso e gerenciamento de chaves:

**Muitos tipos de chaves e algoritmos para escolher**  
Para permitir que você personalize suas próprias soluções, AWS CloudHSM fornece vários tipos de chaves e algoritmos para escolher, os algoritmos suportam uma variedade de tamanhos de chave. Para obter mais informações, consulte as páginas de atributos e mecanismos de cada um [Operações de descarga com o cliente AWS CloudHSM SDKs](use-hsm.md).

**Como gerenciar chaves**  
AWS CloudHSM as chaves são gerenciadas por meio SDKs de ferramentas de linha de comando. Para obter informações sobre como usar essas ferramentas para gerenciar chaves, consulte [Entrada de chaves AWS CloudHSM](manage-keys.md) e [Melhores práticas para AWS CloudHSM](best-practices.md).

**Quem possui as chaves**  
Em AWS CloudHSM, o usuário criptográfico (UC) que cria a chave é o proprietário dela. O proprietário pode usar os **key unshare** comandos **key share** e para compartilhar e descompartilhar a chave com outras CUs pessoas. Para obter mais informações, consulte [Compartilhar e cancelar o compartilhamento de chaves usando a CLI do CloudHSM](manage-keys-cloudhsm-cli-share.md).

**O acesso e o uso podem ser controlados com criptografia baseada em atributos**  
AWS CloudHSM permite que você use criptografia baseada em atributos, uma forma de criptografia que permite usar atributos-chave para controlar quem pode descriptografar dados com base em políticas.

# Cliente SDKs para AWS CloudHSM
<a name="client-tools-and-libraries"></a>

Ao usar AWS CloudHSM, você executa operações criptográficas com os [kits de desenvolvimento de software AWS CloudHSM do cliente (SDKs)](use-hsm.md). AWS CloudHSM O cliente SDKs inclui:
+ Padrão de criptografia de chave pública Nº 11 (PKCS \$111)
+ Provedor JCE
+ Mecanismo dinâmico do OpenSSL
+ Provedor de armazenamento de chaves (KSP) para Microsoft Windows

Você pode usar qualquer um ou todos esses SDKS em seu AWS CloudHSM cluster. Escreva o código do seu aplicativo para usá-lo SDKs para realizar operações criptográficas em seu HSMs. Para conferir quais plataformas e tipos de HSM são compatíveis com cada SDK, consulte [AWS CloudHSM Plataformas compatíveis com o Client SDK 5](client-supported-platforms.md)

Ferramentas utilitárias e de linha de comando são necessárias não apenas para usar, SDKs mas também para configurar as credenciais, políticas e configurações do seu aplicativo. Para obter mais informações, consulte [AWS CloudHSM ferramentas de linha de comando](command-line-tools.md).

 Para obter mais informações sobre como instalar e usar o Client SDK ou a segurança da conexão do cliente, consulte [Cliente SDKs](use-hsm.md) e. [End-to-end criptografia](client-end-to-end-encryption.md) 

# AWS CloudHSM backups de cluster
<a name="backups"></a>

AWS CloudHSM faz backups periódicos dos usuários, chaves e políticas no cluster. Os backups são seguros, duráveis e atualizados em um cronograma previsível. A ilustração a seguir mostra o relacionamento entre seus backups e o cluster. 

![\[AWS CloudHSM backups de cluster criptografados em um bucket Amazon S3 controlado por serviços.\]](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/images/cluster-backup.png)


Para obter mais informações sobre Trabalhar com backups, consulte [Backups do cluster](manage-backups.md).

**Segurança**  
Quando AWS CloudHSM faz um backup do HSM, o HSM criptografa todos os seus dados antes de enviá-los para. AWS CloudHSM Os dados nunca saem do HSM em formato de texto simples. Além disso, os backups não podem ser descriptografados AWS porque AWS não tem acesso à chave usada para descriptografar os backups. Para obter mais informações, consulte [Segurança dos backups do cluster](data-protection-backup-security.md).

**Durabilidade**  
AWS CloudHSM armazena backups em um bucket do Amazon Simple Storage Service (Amazon S3) controlado pelo serviço na mesma região do seu cluster. Os backups têm um nível de durabilidade de 99,999999999%, o mesmo de qualquer objeto armazenado no Amazon S3.

# Regiões suportadas para AWS CloudHSM
<a name="regions"></a>

Para obter informações sobre as regiões suportadas AWS CloudHSM, consulte [AWS CloudHSM Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) no *Referência geral da AWS*, ou na [tabela de regiões](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

AWS CloudHSM pode não estar disponível em todas as zonas de disponibilidade em uma determinada região. No entanto, isso não deve afetar o desempenho, pois equilibra AWS CloudHSM automaticamente a carga em tudo HSMs em um cluster.

Como a maioria dos AWS recursos, HSMs agrupam e são recursos regionais. Não é possível reutilizar ou estender um cluster entre regiões. É obrigatório executar todas as etapas necessárias listadas em [Começando com AWS CloudHSM](getting-started.md) para criar um cluster em uma nova região.

Para fins de recuperação de desastres, AWS CloudHSM permite que você copie backups do seu AWS CloudHSM cluster de uma região para outra. Para obter mais informações, consulte [AWS CloudHSM backups de cluster](backups.md).

# Preços para AWS CloudHSM
<a name="pricing"></a>

Com AWS CloudHSM, você paga por hora sem compromissos de longo prazo ou pagamentos antecipados. Para obter mais informações, consulte [AWS CloudHSM Preços](https://aws.amazon.com/cloudhsm/pricing/) no AWS site.