本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 集群备份安全性 从 HSM AWS CloudHSM 进行备份时,HSM 会先对其所有数据进行加密,然后再将其发送到。 AWS CloudHSM数据绝不会以明文形式离开 HSM。此外,无法通过解密备份, AWS 因为 AWS 无法访问用于解密备份的密钥。 为了对其数据进行加密,HSM 将使用称为“临时备份密钥 (EBK)”的唯一的临时加密密钥。EBK 是进行备份时 AWS CloudHSM 在 HSM 内部生成的 AES 256 位加密密钥。HSM 生成 EBK,然后使用它使用符合 [NIS](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38F.pdf) T 特别出版物 800-38F 的 A FIPS-approved ES 密钥包装方法加密 HSM 的数据。然后 HSM 将加密的数据提供给。 AWS CloudHSM加密的数据包括 EBK 的加密副本。 为了对 EBK 进行加密,HSM 使用另一个名为“永久备份密钥”(PBK) 的加密密钥。PBK 也是 AES 256 位加密密钥。为了生成 PBK,HSM 在计数器模式下使用符合 [N](http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-108.pdf) IST 特别出版物 800-108 的 FIPS-approved 密钥派生函数 (KDF)。此 KDF 的输入包括: + 一个制造商密钥备份密钥 (MKBK),此密钥永久嵌入在硬件制造商提供的 HSM 硬件中。 + AWS 密钥备份密钥 (AKBK),最初由配置时安全地安装在 HSM 中。 AWS CloudHSM 下图中总结了加密流程。备份加密密钥表示永久备份密钥 (PBK) 和临时备份密钥 (EBK)。 ![用于加密 AWS CloudHSM 备份的加密密钥的摘要。](http://docs.aws.amazon.com/zh_cn/cloudhsm/latest/userguide/images/backup-security.png) AWS CloudHSM 可以将备份还原到同一制造商制造的仅 AWS属于自己的 HSM 上。由于每个备份包含原始 HSM 中的所有用户、密钥和配置,因此,还原的 HSM 包含与原始 HSM 相同的保护和访问控制。还原的数据将覆盖在还原之前可能已位于 HSM 上的所有其他数据。 备份只包含加密数据。在该服务将备份存储在 Amazon S3 中之前,该服务会使用 AWS Key Management Service (AWS KMS) 再次加密备份。