本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
客戶操作
AWS 根據 PCI 標準,付款密碼編譯對 HSM 實體合規負完全責任。此服務也提供安全的金鑰存放區,並確保金鑰只能用於 PCI 標準所允許的目的,並在建立或匯入期間由您指定。您有責任設定關鍵屬性和存取權,以利用 服務的安全性和合規功能。
產生金鑰
建立金鑰時,您可以設定服務用來強制執行金鑰合規使用的屬性:
演算法和金鑰長度
用量
可用性和過期
用於屬性型存取控制 (ABAC) 的標籤也應該在建立期間設定用於特定合作夥伴或應用程式的金鑰限制。請務必包含政策,以限制允許刪除或變更標籤的角色。
您應該確保在建立金鑰之前,先設定決定可使用和管理金鑰之角色的政策。
注意
CreateKey 命令上的 IAM 政策可用於強制執行和示範金鑰產生時的雙重控制。
匯入金鑰
匯入金鑰時,服務會使用金鑰區塊中的密碼編譯繫結資訊來設定屬性,以強制執行金鑰的合規使用。設定基本金鑰內容的機制是使用以來源 HSM 建立的金鑰區塊,並由共用或非對稱 KEK 保護。這符合 PCI PIN 要求,並保留來源應用程式的用量、演算法和金鑰強度。
除了金鑰區塊中的資訊之外,匯入時還必須建立重要的金鑰屬性、標籤和存取控制政策。
使用密碼編譯匯入金鑰不會從來源應用程式傳輸金鑰屬性。您必須使用此機制,適當地設定屬性。
金鑰通常會使用純文字元件交換,由金鑰保管者傳輸,然後載入在安全房間實作雙重控制的儀式。 AWS 付款密碼編譯不支援此項目。API 將匯出具有憑證的公有金鑰,該憑證可由您自己的 HSM 匯入,以匯出可由服務匯入的金鑰區塊。可讓您使用自己的 HSM 載入純文字元件。
您應該使用金鑰檢查值 (KCV) 來驗證匯入的金鑰是否符合來源金鑰。
ImportKey API 上的 IAM 政策可用於強制執行和示範金鑰匯入的雙重控制。
匯出金鑰
與合作夥伴或內部部署應用程式共用金鑰可能需要匯出金鑰。使用 金鑰區塊進行匯出,可維護加密金鑰材料的基本金鑰內容。
索引鍵標籤可用來限制將索引鍵匯出至共用相同標籤和值的 KEK。
AWS 付款密碼編譯不提供或顯示純文字金鑰元件。這需要金鑰保管人直接存取 PCI PTS HSM 或 ISO 13491 測試的安全密碼編譯裝置 (SCD) 以進行顯示或列印。您可以使用 SCD 建立非對稱 KEK 或對稱 KEK,以在雙控下執行純文字金鑰元件建立儀式。
金鑰檢查值 (KCV) 應該用來驗證目的地 HSM 比對來源金鑰匯入。
刪除金鑰
您可以使用刪除金鑰 API,在設定一段時間後排定要刪除的金鑰。在那之前,金鑰是可復原的。刪除金鑰後,就會從服務中永久移除。
DeleteKey API 上的 IAM 政策可用於強制執行和示範刪除金鑰的雙重控制。
輪換 金鑰
可以使用金鑰別名來實作金鑰輪換的效果,方法是建立或匯入新的金鑰,然後修改金鑰別名以參考新的金鑰。根據您的管理實務,舊金鑰將會刪除或停用。
