AWS CloudHSM 是以雲端為基礎的硬體安全模組 (HSM),可讓您輕鬆地在 AWS 雲端產生和使用您自己的加密金鑰。透過 CloudHSM,您可以使用經過 FIPS 140-2 第 3 級驗證的 HSM 管理自己的加密金鑰。CloudHSM 讓您使用產業標準 API (如 PKCS#11、Java Cryptography Extension (JCE) 和 Microsoft CryptoNG (CNG) 程式庫) 彈性地與應用程式整合。CloudHSM 同時也符合多項規範,可讓您將所有金鑰匯出到大多數其他商用 HSM。它是全受管服務,能夠為您自動化耗時的管理任務,例如硬體佈建、軟體修補、高可用性及備份。CloudHSM 也能讓您隨需要新增和移除 HSM 容量以快速調整,無須預付費用。
在高度安全的 HSM 產生和使用加密金鑰
AWS CloudHSM 讓您能夠在符合 FIPS 140-2 第 3 級規範的 HSM 上產生和使用加密金鑰。CloudHSM 透過您自己 Amazon Virtual Private Cloud (VPC) 中對防竄改 HSM 的單一租用戶專屬存取權保護您的金鑰。
按使用量付費,無須預付費用
使用 AWS CloudHSM,您可依需要隨時隨地啟動或停止 HSM 以佈建 HSM 容量,無須預付費用。
使用依產業標準建置的開放原始碼 HSM
您可以使用產業標準 API (如 PKCS#11、Java Cryptography Extension (JCE) 和 Microsoft CryptoNG (CNG) 程式庫),將 AWS CloudHSM 與自訂應用程式整合。此外,您還可以將金鑰傳輸到其他商用 HSM 解決方案,方便您將金鑰遷入或遷出 AWS。
控制加密金鑰
AWS CloudHSM 讓您透過安全通道存取 HSM,以建立使用者和設定 HSM 政策。您透過 CloudHSM 所產生和使用的加密金鑰只能由您指定的 HSM 使用者存取。AWS 看不到也無法存取您的加密金鑰。
利用強式身份驗證保護金鑰
AWS CloudHSM 也支援重要管理及金鑰管理功能的 Quorum 身份驗證,以及使用您提供字符的多重驗證 (MFA)。
易於管理
AWS CloudHSM 是一項受管服務,可為您自動化耗時的管理任務,例如硬體佈建、軟體修補、高可用性及備份。您可以隨需在叢集新增或移除 HSM,以便快速地調整 HSM 容量。
Secure Sockets Layer (SSL) 和 Transport Layer Security (TLS) 用於確認 Web 伺服器的身分,以及透過網際網路建立安全的 HTTPS 連線。您可以使用 AWS CloudHSM 卸載 Web 伺服器的 SSL/TLS 處理。針對這類處理使用 CloudHSM 可減輕 Web 伺服器的負擔,而且將 Web 伺服器的私有金鑰存放在 CloudHSM 可提供額外的安全性。
在公開金鑰基礎設施 (PKI) 中,憑證授權機構 (CA) 是發行數位憑證的受信任實體。這些數位憑證用來識別個人或組織。您可以使用 AWS CloudHSM 存放私有金鑰,並做為發行 CA 來發行您組織的憑證。
您可以使用 AWS CloudHSM,為支援 TDE 的 Oracle 資料庫存放透明資料加密 (TDE) 主加密金鑰。透過 TDE,支援的 Oracle 資料庫伺服器可先加密資料,然後再存放到磁碟。請注意,Amazon RDS for Oracle 不支援 TDE 搭配 CloudHSM。
