本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS CloudHSM 用戶端end-to-end加密 會將用戶端執行個體與您叢集中 HSM 之間的通訊進行端對端加密。只有您的用戶端和 HSM 可以解密通訊。 以下程序說明用戶端如何與 HSM 建立端對端加密的通訊。 1. 您的用戶端會與託管 HSM 硬體的伺服器建立 Transport Layer Security (TLS) 連線。您叢集的安全群組僅會允許來自安全群組中用戶端執行個體對伺服器的傳入流量。用戶端也會檢查伺服器的憑證,以確保它是受信任的伺服器。 ![\[用戶端與伺服器之間的 TLS 連線。\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/end-to-end-encryption-part-1.png) 1. 下一步,用戶端會與 HSM 硬體建立加密連接。HSM 擁有您使用自己的憑證授權單位 (CA) 簽署的叢集憑證,而用戶端會有 CA 的根憑證。在建立用戶端 HSM 的加密連線之前,用戶端會對其根憑證驗證 HSM 的叢集憑證。只有在用戶端成功驗證 HSM 受信任時,才會建立連接。 ![\[用戶端和 HSM 之間的安全、端對端加密連線。\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/end-to-end-encryption-part-2.png)