As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como AWS CloudHSM funciona
Este tópico fornece uma visão geral dos conceitos básicos e da arquitetura que você usa para criptografar dados com segurança e realizar operações criptográficas em. HSMs AWS CloudHSM opera em sua própria Amazon Virtual Private Cloud (VPC). Antes de poder usar AWS CloudHSM, primeiro você cria um cluster, adiciona HSMs a ele, cria usuários e chaves e, em seguida, usa o Client SDKs para integrá-lo HSMs ao seu aplicativo. Feito isso, você usa os registros do SDK do cliente AWS CloudTrail, os registros de auditoria e CloudWatch a Amazon para [monitorar AWS CloudHSM](get-logs.md).
Conheça AWS CloudHSM os conceitos básicos e saiba como eles funcionam juntos para ajudar a proteger seus dados.
**Topics**
+ [AWS CloudHSM aglomerados](clusters.md)
+ [Usuários em AWS CloudHSM](hsm-users.md)
+ [Entrada de chaves AWS CloudHSM](whatis-hsm-keys.md)
+ [Cliente SDKs para AWS CloudHSM](client-tools-and-libraries.md)
+ [AWS CloudHSM backups de cluster](backups.md)
+ [Regiões suportadas para AWS CloudHSM](regions.md)
# AWS CloudHSM aglomerados
*Fazer com que as pessoas HSMs trabalhem em conjunto de forma sincronizada, redundante e altamente disponível pode ser difícil, mas AWS CloudHSM faz o trabalho pesado para você, fornecendo módulos de segurança de hardware () em clusters. HSMs* Um cluster é uma coleção de indivíduos HSMs que se AWS CloudHSM mantém sincronizados. Quando você executa uma tarefa ou operação em um HSM em um cluster, o outro HSMs nesse cluster é automaticamente atualizado.
AWS CloudHSM oferece clusters em dois modos: *FIPS e *não* FIPS*. No modo FIPS, somente chaves e algoritmos validados pelo Federal Information Processing Standard (FIPS – Padrão federal de processamento de informações) podem ser usados. O modo não FIPS oferece todas as chaves e algoritmos suportados AWS CloudHSM, independentemente da aprovação do FIPS. AWS CloudHSM *também oferece dois tipos de HSMs: *hsm1.medium e hsm2m.medium*.* Para obter detalhes sobre as diferenças entre cada tipo de HSM e modo de cluster, consulte [AWS CloudHSM modos de cluster](cluster-hsm-types.md). O tipo de HSM *hsm1.medium* está chegando ao fim do suporte, portanto não será possível criar novos clusters com esse tipo. Para saber mais, consulte [Notificações de suspensão de uso](compliance-dep-notif.md#hsm-dep-1) para obter detalhes.
Para atender às suas metas de disponibilidade, durabilidade e escalabilidade, você define o número de HSMs em seu cluster em várias zonas de disponibilidade. Você pode criar um cluster que tenha de 1 a 28 HSMs (o [limite padrão](limits.md) é de 6 HSMs por AWS conta por [AWS região](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)). Você pode colocá-los HSMs em diferentes [zonas de disponibilidade](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html) em uma AWS região. Adicionar mais HSMs a um cluster proporciona maior desempenho. Espalhar clusters pelas zonas de disponibilidade fornece redundância e alta disponibilidade.
Para obter mais informações sobre clusters, consulte [Clusters em AWS CloudHSM](manage-clusters.md).
Para criar um cluster, consulte [Introdução](getting-started.md).
# Usuários em AWS CloudHSM
Ao contrário da maioria dos AWS serviços e recursos, você não usa usuários AWS Identity and Access Management (IAM) ou políticas do IAM para acessar recursos dentro do seu AWS CloudHSM cluster. Em vez disso, você usa *usuários do HSM* diretamente HSMs no seu AWS CloudHSM cluster.
Os usuários do HSM são diferentes dos usuários do IAM. Os usuários do IAM que têm as credenciais corretas podem criar interagindo com recursos HSMs por meio da API da AWS. Como a criptografia E2E não é visível para a AWS, você deve usar as credenciais de usuário do HSM para autenticar as operações no HSM, uma vez que as credenciais ocorrem diretamente no HSM. O HSM autentica cada usuário do HSM por meio das credenciais que você define e gerencia. Cada usuário do HSM tem um *tipo* que determina quais operações o usuário tem permissão para realizar no HSM. Cada HSM autentica cada usuário do HSM por meio das credenciais que você define usando a [CLI do CloudHSM.](cloudhsm_cli.md)
Se você estiver usando a [série de versões anteriores do SDK](choose-client-sdk.md), usará o [CloudHSM Management Utility (CMU)](cloudhsm_mgmt_util.md).
# Entrada de chaves AWS CloudHSM
AWS CloudHSM permite que você gere, armazene e gerencie com segurança suas chaves de criptografia em um único locatário HSMs que estão em seu cluster. AWS CloudHSM As chaves podem ser simétricas ou assimétricas, podem ser chaves de sessão (chaves efêmeras) para sessões únicas, chaves de token (chaves persistentes) para uso a longo prazo e podem ser exportadas e importadas para. AWS CloudHSM As chaves também podem ser usadas para concluir tarefas e funções criptográficas comuns:
+ Execute a assinatura de dados criptográficos e a verificação de assinaturas com algoritmos de criptografia simétrica e assimétrica.
+ Trabalhe com funções hash para computar resumos de mensagens e códigos de autenticação de mensagens baseados em hash (). HMACs
+ Encapsule e proteja outras chaves.
+ Acessar dados aleatórios protegidos criptograficamente.
O máximo de chaves que um cluster pode ter depende do tipo HSMs que está no cluster. Por exemplo, o tipo hsm2m.medium armazena mais chaves do que o hsm1.medium. Para ver uma comparação, consulte [AWS CloudHSM cotas](limits.md).
Além disso, AWS CloudHSM segue alguns princípios fundamentais para uso e gerenciamento de chaves:
**Muitos tipos de chaves e algoritmos para escolher**
Para permitir que você personalize suas próprias soluções, AWS CloudHSM fornece vários tipos de chaves e algoritmos para escolher, os algoritmos suportam uma variedade de tamanhos de chave. Para obter mais informações, consulte as páginas de atributos e mecanismos de cada um [Operações de descarga com o cliente AWS CloudHSM SDKs](use-hsm.md).
**Como gerenciar chaves**
AWS CloudHSM as chaves são gerenciadas por meio SDKs de ferramentas de linha de comando. Para obter informações sobre como usar essas ferramentas para gerenciar chaves, consulte [Entrada de chaves AWS CloudHSM](manage-keys.md) e [Melhores práticas para AWS CloudHSM](best-practices.md).
**Quem possui as chaves**
Em AWS CloudHSM, o usuário criptográfico (UC) que cria a chave é o proprietário dela. O proprietário pode usar os **key unshare** comandos **key share** e para compartilhar e descompartilhar a chave com outras CUs pessoas. Para obter mais informações, consulte [Compartilhar e cancelar o compartilhamento de chaves usando a CLI do CloudHSM](manage-keys-cloudhsm-cli-share.md).
**O acesso e o uso podem ser controlados com criptografia baseada em atributos**
AWS CloudHSM permite que você use criptografia baseada em atributos, uma forma de criptografia que permite usar atributos-chave para controlar quem pode descriptografar dados com base em políticas.
# Cliente SDKs para AWS CloudHSM
Ao usar AWS CloudHSM, você executa operações criptográficas com os [kits de desenvolvimento de software AWS CloudHSM do cliente (SDKs)](use-hsm.md). AWS CloudHSM O cliente SDKs inclui:
+ Padrão de criptografia de chave pública Nº 11 (PKCS \$111)
+ Provedor JCE
+ Mecanismo dinâmico do OpenSSL
+ Provedor de armazenamento de chaves (KSP) para Microsoft Windows
Você pode usar qualquer um ou todos esses SDKS em seu AWS CloudHSM cluster. Escreva o código do seu aplicativo para usá-lo SDKs para realizar operações criptográficas em seu HSMs. Para conferir quais plataformas e tipos de HSM são compatíveis com cada SDK, consulte [AWS CloudHSM Plataformas compatíveis com o Client SDK 5](client-supported-platforms.md)
Ferramentas utilitárias e de linha de comando são necessárias não apenas para usar, SDKs mas também para configurar as credenciais, políticas e configurações do seu aplicativo. Para obter mais informações, consulte [AWS CloudHSM ferramentas de linha de comando](command-line-tools.md).
Para obter mais informações sobre como instalar e usar o Client SDK ou a segurança da conexão do cliente, consulte [Cliente SDKs](use-hsm.md) e. [End-to-end criptografia](client-end-to-end-encryption.md)
# AWS CloudHSM backups de cluster
AWS CloudHSM faz backups periódicos dos usuários, chaves e políticas no cluster. Os backups são seguros, duráveis e atualizados em um cronograma previsível. A ilustração a seguir mostra o relacionamento entre seus backups e o cluster.
![\[AWS CloudHSM backups de cluster criptografados em um bucket Amazon S3 controlado por serviços.\]](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/images/cluster-backup.png)
Para obter mais informações sobre Trabalhar com backups, consulte [Backups do cluster](manage-backups.md).
**Segurança**
Quando AWS CloudHSM faz um backup do HSM, o HSM criptografa todos os seus dados antes de enviá-los para. AWS CloudHSM Os dados nunca saem do HSM em formato de texto simples. Além disso, os backups não podem ser descriptografados AWS porque AWS não tem acesso à chave usada para descriptografar os backups. Para obter mais informações, consulte [Segurança dos backups do cluster](data-protection-backup-security.md).
**Durabilidade**
AWS CloudHSM armazena backups em um bucket do Amazon Simple Storage Service (Amazon S3) controlado pelo serviço na mesma região do seu cluster. Os backups têm um nível de durabilidade de 99,999999999%, o mesmo de qualquer objeto armazenado no Amazon S3.
# Regiões suportadas para AWS CloudHSM
Para obter informações sobre as regiões suportadas AWS CloudHSM, consulte [AWS CloudHSM Regiões e endpoints](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) no *Referência geral da AWS*, ou na [tabela de regiões](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
AWS CloudHSM pode não estar disponível em todas as zonas de disponibilidade em uma determinada região. No entanto, isso não deve afetar o desempenho, pois equilibra AWS CloudHSM automaticamente a carga em tudo HSMs em um cluster.
Como a maioria dos AWS recursos, HSMs agrupam e são recursos regionais. Não é possível reutilizar ou estender um cluster entre regiões. É obrigatório executar todas as etapas necessárias listadas em [Começando com AWS CloudHSM](getting-started.md) para criar um cluster em uma nova região.
Para fins de recuperação de desastres, AWS CloudHSM permite que você copie backups do seu AWS CloudHSM cluster de uma região para outra. Para obter mais informações, consulte [AWS CloudHSM backups de cluster](backups.md).