AWS CloudHSM 是基于云的硬件安全模块 (HSM),让您能够在 AWS 云上轻松生成和使用自己的加密密钥。借助 CloudHSM,您可以使用经过 FIPS 140-2 第 3 级验证的 HSM 管理自己的加密密钥。CloudHSM 让您可以灵活选择使用行业标准的 API 与应用程序集成,这些 API 包括 KCS#11、Java 加密扩展 (JCE) 和 Microsoft CryptoNG (CNG) 库等。此外,CloudHSM 还符合标准,让您可以将所有密钥导出到大多数其他商用 HSM。它是一项完全托管的服务,可为您自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。借助 CloudHSM,您还能够通过按需添加和删除 HSM 容量进行快速扩展和收缩,无任何预付费用。
在高度安全的 HSM 上生成和使用加密密钥
借助 AWS CloudHSM,您可以在符合 FIPS 140-2 第 3 级标准的 HSM 上生成和使用加密密钥。CloudHSM 可对您 Amazon Virtual Private Cloud (VPC) 中的防篡改 HSM 进行独占的、单租户模式访问,从而保护您的密钥。
按实际使用量付费,无预付费用
借助 AWS CloudHSM,您可以按需启动和停止 HSM,以便根据需要随时随地预置 HSM 容量,而无需预付费。
使用基于行业标准构建的开放式 HSM
使用 AWS CloudHSM,您可以通过行业标准的 API 与自定义应用程序集成,这些 API 包括 PKCS#11、Java 加密扩展 (JCE) 和 Microsoft CryptoNG (CNG) 库等。您还可以将密钥传输至其他商用 HSM 解决方案,从而轻松将密钥迁入或迁出 AWS。
控制加密密钥
AWS CloudHSM 让您可以通过安全渠道访问 HSM,以创建用户并设置 HSM 策略。您通过 CloudHSM 生成和使用的加密密钥只能由您指定的 HSM 用户访问。AWS 无法访问或使用您的加密密钥。
使用强身份验证保护密钥
AWS CloudHSM 还支持 Quorum 身份验证的重要管理和密钥管理功能,以及使用您提供的令牌的多重验证 (MFA) 功能。
易于管理
AWS CloudHSM 是一项托管服务,可为您自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。您可以通过按需向群集添加和从中删除 HSM 来快速扩展和缩减 HSM 容量。
安全套接字层 (SSL) 和传输层安全性 (TLS) 用于确认 Web 服务器的身份,并通过 Internet 建立安全的 HTTPS 连接。您可以使用 AWS CloudHSM 来卸载 Web 服务器的 SSL/TLS 处理。使用 CloudHSM 执行该处理操作可减轻 Web 服务器的负担,并通过将 Web 服务器的私有密钥存储在 CloudHSM 中来提供额外的安全性。
在公钥基础设施 (PKI) 中,证书颁发机构 (CA) 是颁发数字证书的可信实体。这些数字证书用于识别个人或组织。您可以使用 AWS CloudHSM 来存储您的私有密钥并充当 CA 来为您的组织颁发证书。
您可以使用 AWS CloudHSM 为支持 TDE 的 Oracle 数据库服务器存储透明数据加密 (TDE) 主加密密钥。使用 TDE,支持的 Oracle 数据库服务器可以先加密数据,然后再将其存储到磁盘。请注意,Amazon RDS for Oracle 不支持使用 CloudHSM 的 TDE。
