什么是 AWS CloudHSM?
AWS CloudHSM 将 AWS 云的优势与硬件安全模块 (HSM) 的安全性相结合。硬件安全模块 (HSM) 是一种计算设备,可处理加密操作并提供加密密钥的安全存储。您可通过 AWS CloudHSM 全面控制 Amazon Web Services Cloud 中的高可用性 HSM,以获得低延迟访问,以及可自动执行 HSM 管理(包括备份、预配、配置和维护)的安全信任根。
AWS CloudHSM 为客户提供多种好处:
- 访问 FIPS 与非 FIPS 集群
AWS CloudHSM 提供两种模式的集群:FIPS 和非 FIPS。在 FIPS 模式下,只能使用经过美国联邦信息处理标准(FIPS)验证的密钥和算法。非 FIPS 模式提供 AWS CloudHSM 支持的所有密钥和算法,与 FIPS 是否批准无关。有关更多信息,请参阅 AWS CloudHSM 集群模式。
- HSM 是通用、单租户,并且针对 FIPS 模式下的集群通过了 FIPS 140-2 3 级或 FIPS 140-3 3 级验证
AWS CloudHSM 使用通用 HSM,与为您的应用程序提供预定算法和密钥长度的完全托管 AWS 服务相比,它提供了更大的灵活性。我们提供符合标准、单租户的 HSM,并且针对处于 FIPS 模式的集群通过了 FIPS 140-2 3 级或 FIPS 140-3 3 级验证。对于使用场景超出 FIPS 140-2 或 FIPS 140-3 3 级验证限制的客户,AWS CloudHSM 还提供处于非 FIPS 模式的集群。请参阅AWS CloudHSM 集群了解更多信息。
- AWS 无法洞察 E2E 加密
由于您的数据面板采用端到端 (E2E) 加密,且 AWS 无法洞察,您可控制自己的用户管理 (IAM 角色外)。获得这种控制权,也需要一定的代价,即与使用托管 Amazon Web Service 相比,您需要承担更多责任。
- 完全控制您的密钥、算法以及应用程序开发
您可通过 AWS CloudHSM 完全控制所使用的算法和密钥。您可以生成、存储、导入、导出、管理和使用加密密钥(包括会话密匙、令牌密匙、对称密钥对和非对称密钥对)。此外,AWS CloudHSMSDK 可用于全面控制应用程序开发、应用程序语言、线程以及应用程序的实际存在位置。
- 将您的加密工作负载迁移至云端
对于使用公有密钥加密标准 #11(PKCS #11)、Java 加密扩展(JCE)、加密 API:下一代(CNG)或密钥存储提供程序(KSP)迁移公有密钥基础设施的客户,只需对其应用程序进行少量更改,即可迁移到 AWS CloudHSM。
要了解有关使用 AWS CloudHSM 可以完成的任务的更多信息,请参阅以下主题。当您准备好开始使用 AWS CloudHSM 后,请参阅 入门。
注意
如果您需要用于创建和控制加密密钥的托管服务,但不希望或不需要操作您自己的 HSM,请考虑使用 AWS Key Management Service
如果您想要一种管理支付 HSM 和云端支付处理的密钥,建议您使用AWS 支付加密
