AWS CloudHSM 中的密钥
AWS CloudHSM 用于在 AWS CloudHSM 集群的单租户 HSM 中安全生成、恢复和管理加密密钥。密钥可以是对称或非对称的,可以是单个会话的会话密钥(临时密钥)、长期使用的令牌密钥(永久密钥),也可以导出和导入至 AWS CloudHSM。密钥也可以用于完成常见的加密任务和功能:
-
使用对称和非对称加密算法执行加密数据签名与签名验证。
-
配合使用加密哈希函数来计算消息摘要和基于哈希的消息身份验证代码 (HMAC)。
-
包装并保护其他密钥。
-
以加密方式访问安全随机数据。
集群可以拥有的最大密钥数量取决于集群中的 HSM 类型。例如,hsm2m.medium 比 hsm1,medium 存储更多的密钥。有关比较,请参阅AWS CloudHSM 限额。
此外,AWS CloudHSM 遵循一些基本的密钥使用和管理原则。
- 许多密钥类型和算法可供您选择
-
为了允许您自定义解决方案,AWS CloudHSM 提供了许多密钥类型和算法供您选择,算法支持一系列密钥大小。有关更多信息,请参阅每个 使用 AWS CloudHSM Client SDK 分流操作 的属性和机制页面。
- 如何管理密钥
-
AWS CloudHSM 密钥通过软件开发工具包和命令行工具进行管理。有关如何通过这些工具管理密钥的信息,请参阅 AWS CloudHSM 中的密钥 和 AWS CloudHSM 的最佳做法。
- 密钥所有者
-
在 AWS CloudHSM 中,创建密钥的加密用户(CU)将拥有密钥。所有者可以使用 key share 和 key unshare 命令,与其他 CU 共享和取消共享密钥。有关更多信息,请参阅 使用 CloudHSM CLI 共享和取消共享密钥。
- 访问和使用可通过属性加密进行控制
-
AWS CloudHSM 可用于使用属性加密,您可通过这种加密加密形式,根据策略控制数据解密者。
