【AWS】什么是AWS CloudHSM
AWS CloudHSM 是一项 AWS 托管服务,它允许您在 AWS 云中轻松地生成和使用自己的加密密钥,并将其存储在硬件安全模块 (HSM) 中。
您可以将 AWS CloudHSM 想象成一个**“云中的专用加密硬件设备”**。
它将传统硬件安全模块的功能与云计算的灵活性和可扩展性相结合,特别适用于需要满足严格合规性要求(如 FIPS 140-2 Level 3 验证)或对密钥控制有高度需求的场景。
主要功能和特点:
专用 HSM 实例: 您拥有并完全控制您的 HSM 实例,它们是单租户的,这意味着没有其他 AWS 客户可以访问您的 HSM。
高安全性: 密钥存储在经过 FIPS 140-2 Level 3 验证的 HSM 中,这些 HSM 旨在提供物理和逻辑上的安全保护,确保您的密钥永远不会以未加密的形式离开 HSM。
完全控制密钥: 您可以完全控制密钥的生命周期,包括生成、存储、使用、轮换和删除。AWS 无法访问您的密钥。
符合标准 API: 支持行业标准 API,如 PKCS#11、Java Cryptography Extensions (JCE) 和 Microsoft CryptoNG (CNG) 库,方便与现有应用程序集成。
高可用性和弹性: 您可以创建 HSM 集群,将 HSM 实例部署在多个可用区中,以实现高可用性、负载均衡和自动密钥复制。
审计和合规性: 提供详细的审计日志,帮助您满足各种法规和合规性要求(如 PCI DSS、HIPAA)。
按小时付费: 您只需为实际使用的 HSM 实例按小时付费。
简而言之,AWS CloudHSM 为您提供了在 AWS 云中管理加密密钥的最高级别安全性和控制,特别适合那些对数据加密和合规性有严格要求的企业和应用程序。
过去考试题
規制およびコンプライアンス上の理由から、組織はクラウド内でのデータ暗号化操作にハードウェアデバイスを使用することが求められています。このコンプライアンス要件を満たすために使用できるAWSサービスは何ですか?
- AWS Secrets Manager
- AWS CloudHSM
- AWS Trusted Advisor
- AWS Key Management Service (AWS KMS)
AWS CloudHSMは、ハードウェアデバイスを使用してクラウド内でのデータ暗号化操作を行うためのサービスです。
これは、規制やコンプライアンス上の要件を満たすために使用できます。
他の選択肢であるAWS Secrets Manager、AWS Trusted Advisor、AWS Key Management Service (AWS KMS)は、ハードウェアデバイスを使用した暗号化操作を提供していません。