本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS CloudHSM 用例 AWS CloudHSM 可以用来实现各种目标。本主题中的内容概述了你可以做什么 AWS CloudHSM。 **实现监管合规** 需要符合企业安全标准的企业可以使用 AWS CloudHSM 来管理保护高度机密数据的私钥。 HSMs 提供的 AWS CloudHSM 已通过 FIPS 140-2 3 级认证,符合 PCI DSS。此外, AWS CloudHSM 它符合 PCI PIN 标准并符合 PCI-3DS 标准。有关更多信息,请参阅 [合规性验证 AWS CloudHSM](fips-validation.md)。 **加密和解密数据** AWS CloudHSM 用于管理保护高度机密的数据、传输中的加密和静态加密的私钥。此外,还 AWS CloudHSM 提供符合标准的多密码学集成。 SDKs **使用私钥和公钥对文档进行签名与验证** 加密过程中,使用私钥对文档**签名**,使收件人可通过公钥**验证**您(而不是其他人)是否确实发送了文档。用于 AWS CloudHSM 创建专为此目的设计的非对称公钥和私钥对。 **使用 HMACs 和对消息进行身份验证 CMACs** 在密码学中,密码消息身份验证码 (CMACs) 和基于哈希的消息身份验证码 (HMACs) 用于对通过不安全网络发送的消息进行身份验证并确保其完整性。使用 AWS CloudHSM,您可以安全地创建和管理支持 HMACs 和 CMACs的对称密钥。 **利用 AWS CloudHSM 和的好处 AWS Key Management Service** 客户可以在单租户环境中组合 AWS CloudHSM 和[AWS KMS](https://aws.amazon.com/kms/)存储密钥材料,同时还可以获得密钥管理、扩展和云集成的 AWS KMS优势。有关如何执行此操作的详细信息,*AWS Key Management Service 开发者指南*中的 [AWS CloudHSM 密钥存储](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html)。 **卸载 Web SSL/TLS 服务器的处理负载** 为了通过互联网安全地发送数据,Web 服务器使用公私密钥对和 SSL/TLS 公钥证书来建立 HTTPS 会话。此过程涉及大量的 Web 服务器计算,但是您可以通过将部分计算负担转移到集群来减轻计算负担,同时提供额外的安全性。 AWS CloudHSM 有关使用设置 SSL/TLS 卸载的信息 AWS CloudHSM,请参阅[SSL/TLS 分载](ssl-offload.md)。 **启用透明数据加密 (TDE)** 透明数据加密(TDE)用于数据库文件加密。使用 TDE,数据库软件可以先对数据进行加密,然后再将其存储在磁盘上。通过将 TDE 主加密密钥存储在 HSMs 中,可以提高安全性 AWS CloudHSM。有关使用设置 Oracle TDE 的信息 AWS CloudHSM,请参阅[Oracle Database 加密](oracle-tde.md)。 **管理证书颁发机构 (CA) 的私有密钥** 证书颁发机构 (CA) 是受信任的实体,它颁发将公钥绑定至身份(个人或组织)的数字证书。要操作 CA,您必须通过保护签署由 CA 颁发的证书的私有密钥来维持信任。您可以将此类私钥存储在 AWS CloudHSM 集群中,然后使用您的 HSMs 来执行加密签名操作。 **生成随机数** 生成随机数来创建加密密钥是在线安全的核心。 AWS CloudHSM 可用于在 HSMs 您的控制中安全地生成随机数,并且只有您自己可见。