Allgemeines
F: Was ist AWS CloudHSM?
Der AWS CloudHSM-Service unterstützt Sie mithilfe dedizierter Hardware-Sicherheitsmodul-Instances (HSM-Instances) beim Einhalten unternehmerischer, vertraglicher und regulatorischer Vorschriften für die Datensicherheit in der AWS Cloud. AWS und AWS-Marketplace-Partner bieten eine Vielzahl von Lösungen zum Schutz sensibler Daten auf der AWS-Plattform. Doch für Anwendungen und Daten, die strengen vertraglichen oder regulatorischen Vorschriften für die Verwaltung kryptografischer Schlüssel unterliegen, kann zusätzlicher Schutz erforderlich sein. AWS CloudHSM ergänzt vorhandene Datenschutzlösungen und ermöglicht Ihnen das Schützen Ihrer Verschlüsselungsschlüssel in HSMs, die gemäß gesetzlichen Standards zur sicheren Schlüsselverwaltung entwickelt und bestätigt wurden. Mit AWS CloudHSM können Sie die zur Datenverschlüsselung verwendeten kryptografischen Schlüssel sicher so erstellen, speichern und verwalten, dass nur Sie Zugriff darauf haben.
F: Was ist ein Hardware-Sicherheitsmodul (HSM)?
Ein Hardware-Sicherheitsmodul (HSM) ermöglicht eine sichere Schlüsselspeicherung und kryptografische Vorgänge in einem manipulationssicheren Hardwaregerät. HSMs dienen zum sicheren Speichern kryptografischer Schlüsselinformationen und Verwenden der Schlüsselinformationen, ohne diese außerhalb der kryptografischen Begrenzung der Hardware preiszugeben.
F: Wozu kann ich AWS CloudHSM verwenden?
AWS CloudHSM unterstützt eine Vielzahl von Anwendungsfällen und Anwendungen, z. B. Datenbankverschlüsselung, Verwaltung digitaler Rechte (DRM), Public Key Infrastructure (PKI), Authentifizierung und Autorisierung, Dokumentsignierung und Transaktionsverarbeitung. Weitere Informationen finden Sie unter Anwendungsfälle für AWS CloudHSM.
F: Wie funktioniert CloudHSM?
Um den AWS-CloudHSM-Service zu nutzen, erstellen Sie zunächst einen CloudHSM-Cluster. Cluster können mehrere HSMs enthalten, die über mehrere Availability Zones (AZs) in einer Region verteilt sind. HSMs in einem Cluster werden automatisch synchronisiert und auch ein automatischer Lastenausgleich findet statt. Sie erhalten dedizierten Single-Tenant-Zugriff auf jedes HSM in Ihrem Cluster, und jedes HSM erscheint als Netzwerkressource in Ihrer Amazon Virtual Private Cloud (VPC). Das Hinzufügen und Entfernen von HSMs in Ihrem Cluster erfolgt mit einem einzigen Aufruf an die AWS-CloudHSM-API (oder über die Befehlszeile mithilfe der AWS CLI). Nachdem Sie einen CloudHSM-Cluster erstellt und initialisiert haben, können Sie auf der EC2-Instance einen Client konfigurieren, mit dessen Hilfe Ihre Anwendungen den Cluster über eine sichere, authentifizierte Netzwerkverbindung nutzen. AWS CloudHSM überwacht automatisch den Zustand Ihrer HSMs. AWS-Mitarbeiter haben jedoch keinen Zugriff auf Ihre Schlüssel oder Daten. Ihre Anwendungen verwenden standardmäßige kryptografische APIs im Zusammenspiel mit der in der Anwendungs-Instance installierten HSM-Clientsoftware, um kryptografische Anforderungen an das HSM zu senden. Die Clientsoftware erhält einen sicheren Kanal zu allen HSMs in Ihrem Cluster aufrecht und sendet Anforderungen an den Kanal. Diese werden von den HSMs ausgeführt und die Ergebnisse über den sicheren Kanal zurückgegeben. Der Client gibt anschließend das Ergebnis über die kryptografische API an die Anwendung zurück.
F: Ich habe derzeit keine VPC. Kann ich AWS CloudHSM dennoch nutzen?
Nein. Um Ihren Cluster vor anderen Amazon-Kunden zu schützen und zu isolieren, muss AWS CloudHSM innerhalb einer Amazon VPC bereitgestellt werden. Das Erstellen einer VPC ist einfach. Weitere Informationen finden Sie im Handbuch "Erste Schritte" zu VPC.
F: Muss sich meine Anwendung in derselben VPC wie der CloudHSM-Cluster befinden?
Nein, aber der Server bzw. die Instance, auf dem/in der Ihre Anwendung und der HSM-Client ausgeführt werden, müssen über das Netzwerk (IP) auf alle im Cluster enthaltenen HSMs zugreifen können. Sie haben mehrere Möglichkeiten zum Einrichten einer Netzwerkanbindung aus Ihrer Anwendung mit dem HSM. Dazu zählen das Ausführen Ihrer Anwendung in derselben VPC, ein VPC-Peering, eine VPN-Verbindung oder Direct Connect. Weitere Einzelheiten finden Sie in der VPC-Peering-Anleitung und der VPC-Benutzeranleitung.
F: Arbeitet AWS CloudHSM mit On-Premises-HSMs zusammen?
Ja. Obwohl AWS CloudHSM nicht direkt mit On-Premises-HSMs interagiert, können Sie exportierbare Schlüssel unter Verwendung einer von mehreren unterstützten RSA-Schlüsselpackmethoden sicher zwischen AWS CloudHSM und den meisten gewerblichen HSMs übertragen.
F: Wie kann meine Anwendung AWS CloudHSM verwenden?
Wir haben AWS CloudHSM mit einer Reihe von Softwarelösungen von Drittanbietern wie Oracle Database 19c und Webservern wie Apache und Nginx zum Zweck der SSL-Auslagerung, sowie die Konfiguration eines Windows-Servers als Zertifizierungsstelle integriert und getestet. Weitere Informationen finden Sie im Benutzerhandbuch für AWS CloudHSM.
Wenn Sie eine eigene Anwendung entwickeln, kann diese die von AWS CloudHSM unterstützten Standard-APIs verwenden. Hierzu zählen unter anderem PKCS#11 und Java JCE (Java Cryptography Extensions), OpenSSL Dynamic Engine oder Microsoft KSP/CNG. Codebeispiele und Hilfe bei den ersten Schritten finden Sie im Benutzerhandbuch für AWS CloudHSM. F: Kann ich AWS CloudHSM verwenden, um Schlüssel zu speichern oder Daten zu verschlüsseln, die von anderen AWS-Services verwendet werden?
Ja. Die gesamte Verschlüsselung können Sie in der AWS-CloudHSM-integrierten Anwendung durchführen. In diesem Fall sehen AWS-Services wie Amazon S3 und Amazon Elastic Block Store (EBS) Ihre Daten nur verschlüsselt.
F: Kann AWS CloudHSM von anderen AWS-Services zum Speichern und Verwalten von Schlüsseln verwendet werden?
AWS-Services integrieren sich mit AWS Key Management Service, welcher wiederum AWS CloudHSM durch das benutzerdefinierte KMS-Schlüsselspeicher-Feature eingegliedert hat. Wenn Sie die serverseitige Verschlüsselung nutzen möchten, die bei vielen AWS-Services (wie EBS, S3 oder Amazon RDS) angeboten wird, können Sie dies als benutzerdefinierten Schlüsselspeicher in AWS KMS konfigurieren.
F: Kann AWS CloudHSM zur Durchführung von Blockübersetzung der persönlichen Identifikationsnummer (PIN) oder anderen Verschlüsselungsvorgängen genutzt werden, die bei Lastschriftzahlungen gebräuchlich sind?
Derzeit bietet AWS CloudHSM universelle HSMs. AWS Payment Cryptography bietet Kryptografieoperationen in Cloud-gehosteten Zahlungsanwendungen. Im Laufe der Zeit stellen wir möglicherweise Zahlungs-Features bereit. Wenn dies für Sie interessant sein sollte, lassen Sie es uns bitte wissen.
F: Was sind die ersten Schritte mit AWS CloudHSM?
Sie können einen CloudHSM-Cluster in der AWS-CloudHSM-Konsole oder mittels weniger API-Aufrufe über das AWS SDK oder die AWS API bereitstellen. Weitere Informationen zu den ersten Schritten finden Sie im Benutzerhandbuch für AWS CloudHSM. Informationen zu AWS-CloudHSM-APIs finden Sie auf der Dokumentationsseite von AWS CloudHSM.
F: Wie kündige ich den AWS-CloudHSM-Service?
Sie können über die AWS-CloudHSM-Konsole, die API oder das SDK Ihre HSMs löschen und die Nutzung des Service stoppen. Weitere Anweisungen finden Sie im Benutzerhandbuch für AWS CloudHSM.
Fakturierung
F: Wie wird mir der AWS-CloudHSM-Service in Rechnung gestellt?
Die Bereitstellung eines HSM in einem AWS-CloudHSM-Cluster wird pro Stunde (bzw. angefangene Stunde) berechnet. Für einen Cluster, der keine HSMs enthält, fallen keine Gebühren an. Auch die automatische Speicherung von verschlüsselten Backups ist in diesem Fall kostenlos. Weitere Informationen finden Sie auf der Preisseite zu AWS CloudHSM. Beachten Sie, dass Netzwerkdatenübertragungen zu und aus Ihren HSMs separat berechnet werden. Weitere Informationen finden Sie unter Datenübertragungspreise für EC2.
F: Gibt es ein kostenloses Kontingent für den CloudHSM-Service?
Nein, für AWS CloudHSM gibt es kein kostenloses Kontingent.
F: Hängen die Gebühren davon ab, wie viele Benutzer oder Schlüssel ich auf meinem HSM erstelle?
Nein, die stündliche Gebühr, die je nach Region variiert, hängt nicht davon ab, in welchem Umfang Sie Ihr HSM verwenden.
F: Bieten Sie für AWS CloudHSM ein Reserved-Instance-Preismodell an?
Nein, wir bieten für AWS CloudHSM kein Reserved-Instance-Preismodell an.
Bereitstellung und Betrieb
F: Gibt es Voraussetzungen für den Einsatz von AWS CloudHSM?
Ja. Für die Inbetriebnahme von AWS CloudHSM gelten verschiedene Voraussetzungen, einschließlich einer Virtual Private Cloud (VPC) in der Region, in der Sie den AWS-CloudHSM-Service wünschen. Weitere Informationen hierzu finden Sie im Benutzerhandbuch für AWS CloudHSM.
F: Muss ich die Firmware auf meinem HSM verwalten?
Nein. Die Firmware wird von AWS auf der Hardware verwaltet. Die Firmware-Verwaltung erfolgt durch einen Drittanbieter, wobei jegliche Firmware von NIST hinsichtlich ihrer Konformität mit FIPS 140-2 Level 3 bewertet werden muss. Es kann nur durch den FIPS-Schlüssel kryptografisch signierte Firmware installiert werden. (AWS hat keinen Zugriff auf den Schlüssel.)
F: Wie viele HSMs sollte mein CloudHSM-Cluster enthalten?
AWS empfiehlt für Produktionsarbeitslasten dringend die Verwendung von mindestens zwei HSMs in zwei verschiedenen Availability. Für geschäftskritische Arbeitslasten sollten Sie mindestens drei HSMs in mindestens zwei separaten AZs verwenden. Der CloudHSM-Client verarbeitet automatisch jegliche HSM-Ausfälle und sorgt für den transparenten Lastenausgleich zwischen zwei oder mehr HSMs.
F: Wer ist für die Beständigkeit von Schlüsseln zuständig?
AWS erstellt täglich automatische verschlüsselte Backups Ihres CloudHSM-Clusters. AWS erstellt zusätzliche Backups, wenn Lebenszyklusereignisse im Cluster auftreten (wie z. B. das Hinzufügen oder Entfernen eines HSM). Während der 24 Stunden zwischen den Backups sind ausschließlich Sie selbst für die Beständigkeit der in Ihrem Cluster erstellten oder darin importierten Schlüsselinformationen zuständig. Wir empfehlen dringend die Synchronisierung aller erstellten Schlüssel auf mindestens zwei HSMs in zwei verschiedenen Availability Zones, um die Beständigkeit Ihrer Schlüssel zu gewährleisten. Weitere Details zum Überprüfen der Schlüsselsynchronisierung finden Sie im Benutzerhandbuch für AWS CloudHSM.
F: Wie richte ich eine Hochverfügbarkeitskonfiguration (HA) ein?
Die Hochverfügbarkeit wird automatisch sichergestellt, wenn Sie in Ihrem CloudHSM-Cluster mindestens zwei HSMs zwischen zwei Availability Zones verteilt haben. Es ist keine zusätzliche Konfiguration erforderlich. Bei einem Ausfall eines HSM in Ihrem Cluster wird das Modul automatisch ersetzt. Sämtliche Clients werden daraufhin aktualisiert, um die neue Konfiguration widerzuspiegeln, während die Verarbeitung weiter läuft. Zusätzliche HSMs können Sie dem Cluster über die AWS API oder das AWS SDK hinzufügen, um die Verfügbarkeit zu erhöhen, ohne die Anwendung zu unterbrechen.
F: Wie viele HSMs kann ein CloudHSM-Cluster umfassen?
Ein CloudHSM-Cluster kann bis zu 28 HSMs enthalten (vorbehaltlich Service-Limits des Kontos). Weitere Informationen zu Service-Limits und zum Beantragen einer Limit-Erhöhung finden Sie in der Online-Dokumentation.
F: Kann ich den Inhalt meines CloudHSM-Clusters sichern?
Ihr CloudHSM-Cluster wird täglich von AWS gesichert. Sie können die Schlüssel auch aus dem Cluster exportieren („wrapped“) und On-Premises speichern, es sei denn, die Schlüssel wurden als „nicht exportierbar“ generiert.
F: Gibt es für AWS CloudHSM ein SLA?
Ja, Sie finden das Service Level Agreement (SLA) für AWS CloudHSM hier.
Sicherheit und Compliance
F: Werden meine AWS-CloudHSM-Ressourcen mit anderen AWS-Kunden geteilt?
Nein. Sie erhalten im Rahmen des Services Single-Tenant-Zugriff auf das HSM. Die zugrundeliegende Hardware kann mit anderen Kunden gemeinsam genutzt werden, aber der Zugriff auf das HSM ist Ihnen vorbehalten.
F: Wie verwaltet AWS das HSM, ohne Zugriff auf meine Verschlüsselungsschlüssel zu haben?
Die Trennung von Aufgaben und eine rollenbasierte Zugriffssteuerung sind wesentliche Merkmale von AWS CloudHSM. AWS hat begrenzten Zugriff auf das HSM, mit dem wir den Zustand und die Verfügbarkeit des HSM überwachen und gewährleisten, verschlüsselte Backups erstellen und Protokolle von Prüfungen extrahieren sowie in CloudWatch Logs veröffentlichen können. AWS kann nicht auf Schlüssel oder Daten in Ihrem CloudHSM-Cluster zugreifen und lediglich die Schritte ausführen, die HSM-Appliance-Benutzern gestattet sind.
Weitere Informationen zur Aufgabentrennung und den Funktionen, die jeder Benutzerklasse für das HSM zur Verfügung stehen, finden Sie im Benutzerhandbuch für AWS CloudHSM.
F: Kann ich mein HSM überwachen?
Ja. AWS CloudHSM veröffentlicht mehrere Amazon-CloudWatch-Kennzahlen für CloudHSM-Cluster und individuelle HSMs. Um die Kennzahlen abzurufen oder diesbezügliche Benachrichtigungen zu übermitteln, können Sie die Amazon-CloudWatch-Konsole, die API oder das SDK verwenden.
F: Was ist die „Entropie-Quelle“ (Quelle des Zufallsprinzips) für AWS CloudHSM?
Jedes HSM verfügt über einen gemäß FIPS validierten deterministischen Bit-Zufallsgenerator (Deterministic Random Bit Generator, DRBG), der von einem echten Zufallszahlengenerator (True Random Number Generator, TRNG) innerhalb des HSM-Hardwaremoduls verbreitet wird, der SP800-90B entspricht.
F: Was passiert, wenn jemand versucht, die HSM-Hardware zu manipulieren?
AWS CloudHSM verfügt über physische und logische Mechanismen, um Manipulationsversuche zu erkennen und darauf zu reagieren, indem die Schlüssel der Hardware gelöscht (genullt) werden. Die Hardware ist darauf ausgelegt, Manipulationen zu erkennen, falls eine physische Barriere durchbrochen wird. HSMs sind zudem vor Brute-Force-Anmeldeangriffen geschützt. Nachdem eine festgelegte Anzahl gescheiterter Zugriffsversuche auf ein HSM mit Anmeldeinformationen eines Crypto Officers (CO, Verschlüsselungsverantwortlicher) oder Administrators erreicht ist, sperrt das HSM den CO/Administrator aus. Gleichermaßen gilt: Nachdem eine festgelegte Anzahl gescheiterter Zugriffsversuche auf ein HSM mit Crypto-Benutzer (CU)-Anmeldeinformationen erreicht ist, wird der Benutzer gesperrt und muss von einem CO oder Administrator entsperrt werden.
F: Was passiert bei einem Ausfall?
Amazon überwacht und verwaltet das HSM und das Netzwerk hinsichtlich der Verfügbarkeit und Fehlerbedingungen. Ein ausgefallenes oder vom Netzwerk getrenntes HSM wird automatisch ersetzt. Sie können den Status eines einzelnen HSM mithilfe der APIs, der SDKs oder der CLI-Tools von AWS CloudHSM überprüfen. Außerdem können Sie jederzeit in AWS – Übersicht zum Servicestatus den allgemeinen Status des Service einsehen.
F: Könnte ich meine Schlüssel verlieren, wenn ein einzelnes HSM ausfällt?
Falls das AWS-CloudHSM-Cluster nur ein einziges HSM umfasst, ist es tatsächlich möglich, dass seit dem letzten täglichen Backup erstellte Schlüssel verloren gehen. Bei AWS-CloudHSM-Clustern mit zwei oder mehr HSMs (idealerweise in unterschiedlichen Availability Zones) gehen die Schlüssel nicht verloren, wenn bei einem einzelnen HSM Fehler auftreten. Weitere Informationen hierzu finden Sie unter Bewährte Methoden.
F: Kann Amazon meine Schlüssel wiederherstellen, wenn ich die Anmeldeinformationen für mein HSM verliere?
Nein. Amazon hat keinen Zugriff auf Ihre Schlüssel oder Anmeldeinformationen und deshalb keine Möglichkeit, Ihre Schlüssel wiederherstellen, sollten Sie Ihre Anmeldeinformationen verlieren.
F: Woher weiß ich, ob ich AWS CloudHSM vertrauen kann?
AWS CloudHSM basiert auf Hardware mit einer Validierung nach Federal Information Processing Standard (FIPS) 140-2 Level 3. Informationen über das FIPS 140-2 Sicherheitsprofil für die von CloudHSM verwendete Hardware und die ausgeführte Firmware finden Sie auf unserer Compliance-Seite.
F: Wird FIPS 140-2 Level 3 vom AWS-CloudHSM-Service unterstützt?
Ja. CloudHSM stellt HSMs mit einer FIPS 140-2 Level 3-Validierung zur Verfügung. Folgen Sie im Benutzerhandbuch für CloudHSM dem Verfahren im Abschnitt zur Überprüfung der HSM-Authentizität, um sicherzustellen, dass Ihr HSM auf der Modellhardware authentisch ist, die in der NIST-Sicherheitsrichtlinie aus der vorherigen Frage angegeben ist.
F: Wie betreibe ich ein AWS CloudHSM im FIPS 140-2-Modus?
AWS CloudHSM wird immer im FIPS 140-2-Modus ausgeführt. Sie können dies mithilfe der CLI-Tools gemäß der Erläuterung im Benutzerhandbuch für CloudHSM verifizieren. Durch Ausführen des Befehls „getHsmInfo“ wird als Status der FIPS-Modus angegeben.
F: Kann ich einen Verlauf aller AWS-CloudHSM-API-Aufrufe abrufen, die für mein Konto erfolgt sind?
Ja. AWS CloudTrail zeichnet Aufrufe von AWS-APIs für Ihr Konto auf. Der AWS-API-Aufrufverlauf, der von AWS CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Compliance von Vorschriften. Weitere Informationen zu AWS CloudTrail finden Sie auf der Startseite von CloudTrail. In der AWS-Managementkonsole von CloudTrail können Sie CloudTrail aktivieren.
F: Welche Ereignisse werden nicht in AWS CloudTrail protokolliert?
AWS CloudTrail beinhaltet keine der HSM-Geräte- oder Zugriffsprotokolle. Diese werden Ihrem AWS-Konto direkt über AWS CloudWatch Logs bereitgestellt. Weitere Informationen hierzu finden Sie im Benutzerhandbuch für AWS CloudHSM.
F: Welche AWS-Compliance-Initiativen schließen AWS CloudHSM ein?
Weitere Informationen zu den Compliance-Programmen, die CloudHSM abdecken, erhalten Sie auf der Website zur AWS-Compliance. Im Gegensatz zu anderen AWS-Services, werden die Compliance-Anforderungen bezüglich AWS CloudHSM häufig direkt durch die FIPS 140-2 Level 3-Validierung der Hardware an sich erfüllt, anstatt im Rahmen eines separaten Prüfprogramms.
F: Warum ist FIPS 140-2 Level 3 wichtig?
FIPS 140-2 Level 3 ist für bestimmte Anwendungsfälle wie etwa das Ausstellen von SSL-Zertifikaten als öffentliche Zertifizierungsstelle, Dokumentsignierungen oder Zahlungen erforderlich.
F: Wie kann ich Compliance-Berichte anfordern, die AWS CloudHSM berücksichtigen?
Sehen Sie sich die Daten in AWS-Services unter Berücksichtigung des Compliance-Programms an, um zu erfahren, in welchen Compliance-Berichten AWS CloudHSM berücksichtigt wird. Verwenden Sie AWS Artifact, um selbst kostenlose On-Demand-Compliance-Berichte zu erstellen.
Interessieren Sie sich ausschließlich für die FIPS-Validierung für HSMs von AWS CloudHSM, finden Sie unter FIPS-Validierung weitere Informationen.
Leistung und Kapazität
F: Wie viele kryptografische Vorgänge pro Sekunde kann CloudHSM durchführen?
Die Leistung kann je nach Konfiguration, Datengröße und zusätzlicher Anwendungslast auf Ihren EC2-Instances variieren. Um die Leistung zu erhöhen, können Sie Ihren Clustern zusätzliche HSM-Instances hinzufügen. Wir empfehlen Ihnen, Ihre Anwendung unter Last zu testen, um die Skalierungsanforderungen zu ermitteln.
Weitere Informationen finden Sie auf der Leistungsseite im Benutzerhandbuch für AWS CloudHSM.
F: Wie viele Schlüssel können in einem CloudHSM-Cluster gespeichert werden?
Einzelheiten zu wichtigen Speicher- und Clusterkapazitäten finden Sie unter AWS-CloudHSM-Kontingente.
Integrationen von Drittanbietern
F: Wird Amazon RDS Oracle TDE von AWS CloudHSM unterstützt?
Nicht direkt. Sie sollten AWS Key Management Service mit benutzerdefiniertem Schlüsselspeicher verwenden, um Amazon-RDS-Daten mithilfe von Schlüsseln zu sichern, die in Ihrem AWS-CloudHSM-Cluster generiert und gespeichert werden.
F: Kann ich AWS CloudHSM als Vertrauensquelle für andere Software verwenden?
Die Nutzung von AWS CloudHSM als Vertrauensquelle wird von mehreren Drittanbietern unterstützt. Das bedeutet, dass Sie beim Erstellen und Speichern der zugrunde liegenden Schlüssel in Ihrem CloudHSM-Cluster eine Software-Lösung Ihrer Wahl einsetzen können.
AWS CloudHSM, Client Library, APIs und SDKs
F: Was ist die AWS CloudHSM Client Library?
Die AWS CloudHSM Client Library ist ein von AWS bereitgestelltes Softwarepaket, mit dem Sie und Ihre Anwendungen mit CloudHSM-Clustern interagieren können.
F: Erhält AWS über die CloudHSM Client Library Zugriff auf meinen CloudHSM-Cluster?
Nein. Die gesamte Kommunikation zwischen dem Client und Ihrem HSM ist durchgängig verschlüsselt. AWS kann diese Kommunikation weder sehen noch abfangen. Auch Ihre Cluster-Anmeldeinformationen sind für AWS unzugänglich.
F: Was sind die Befehlszeilenschnittstelle (CLI)-Tools von CloudHSM?
Die CloudHSM Client Library umfasst eine Reihe von CLI-Tools, mit denen Sie HSMs über die Befehlszeile verwalten und nutzen können. Für Linux und Microsoft Windows gibt es bereits Unterstützung. Für Apple macOS ist sie geplant. Diese Tools sind im selben Paket wie die AWS CloudHSM Client Library verfügbar.
F: Wie kann ich die CLI-Tools von AWS CloudHSM herunterladen und mit ihrer Nutzung beginnen?
Anweisungen finden Sie im Benutzerhandbuch für CloudHSM.
F: Bieten die CLI-Tools von CloudHSM AWS einen Zugriff auf den Inhalt des HSM?
Nein. Die CloudHSM-Tools kommunizieren direkt mit Ihrem CloudHSM-Cluster über die CloudHSM Client Library. Der verwendete Kanal ist sicher und nutzt die gegenseitige Authentifizierung. AWS kann keine Kommunikation zwischen dem Client, den Tools und dem HSM beobachten. Sie ist duchgängig verschlüsselt.
F: Unter welchen Betriebssystemen kann ich die CloudHSM Client Library und die CLI-Tools verwenden?
Eine vollständige Liste der unterstützten Betriebssysteme finden Sie in unserer Online-Dokumentation.
F: Welche Anforderungen an die Netzwerkanbindung müssen für die Nutzung der Befehlschnittstellen-Tools von CloudHSM erfüllt sein?
Der Host, auf dem Sie die CloudHSM Client Library und/oder die CLI-Tools ausführen, muss zu allen HSMs in Ihrem CloudHSM-Cluster über ein Netzwerk verbunden sein.
F: Welche Aufgaben kann ich mithilfe der API und des SDK von AWS CloudHSM ausführen?
Sie können CloudHSM-Cluster und HSMs erstellen, ändern und löschen und ihren Status abrufen. Die Verwendungsmöglichkeiten der AWS-CloudHSM-API beschränken sich auf Vorgänge, die AWS mit seinen begrenzten Zugriffsrechten ausführen kann. Die API kann nicht auf die Inhalte des HSM zugreifen oder zur Änderung von Benutzern, Richtlinien oder anderen Einstellungen genutzt werden. Weitere Informationen zur API finden Sie in der CloudHSM-Dokumentation, weitere Informationen zum SDK auf der Seite mit den Tools für Amazon Web Services.
Migrieren von anderen Drittanbieter-HSMs auf CloudHSM
F: Wie plane ich die Migration zu AWS CloudHSM?
Stellen Sie zunächst sicher, dass die von Ihnen benötigten Algorithmen und Modi von AWS CloudHSM unterstützt werden. Ihr Konto-Verwalter kann uns bei Bedarf gerne Feature-Anfragen stellen. Bestimmen Sie als nächstes Ihre primäre Rotationsstrategie. Wir haben auch einen detaillierten Migrationsleitfaden für AWS CloudHSM bereitgestellt. Jetzt sind Sie bereit für die ersten Schritte mit AWS CloudHSM.
F: Wie kann ich meine Schlüssel rotieren?
Ihre Rotationsstrategie hängt vom Typ Ihrer Anwendung ab. Nachfolgend einige gängige Beispiele.
- Private Schlüssel für die Signatur: Der private Schlüssel im HSM entspricht in der Regel einem Zwischenzertifikat, das seinerseits von einem Offline-Unternehmens-Root signiert wird. Sie rotieren Schlüssel durch Ausgabe eines neuen Zwischenzertifikats. Erstellen Sie einen neuen privaten Schlüssel und generieren Sie den entsprechenden CSR mit OpenSSL auf AWS CloudHSM. Signieren Sie den CSR danach mit dem gleichen Offline-Unternehmens-Root. Eventuell muss dieses neue Zertifikat bei allen Partnern registriert werden, die nicht automatisch die gesamte Zertifikatskette verifizieren. Danach signieren Sie alle neuen Anforderungen (z. B. für Dokumente, Code oder andere Zertifikate) mit dem privaten Schlüssel, der dem neuen Zertifikat folgt. Mit dem entsprechenden öffentlichen Schlüssel können Sie die Signaturen des ursprünglichen privaten Schlüssels aber nach wie vor verifizieren. Es ist kein Widerruf erforderlich. Der Prozess entspricht der Außerbetriebnahme oder Archivierung eines Signaturschlüssels.
- Oracle Transparent Data Encryption: Ihre elektronische Börse können Sie transferieren, indem Sie zunächst von einem Hardware-Keystore (Ihrem bisherigen HSM) zu einem Software-Keystore und danach zurück zu einem Hardware-Keystore (AWS CloudHSM) wechseln. Hinweis: Wenn Sie Amazon RDS verwenden, lesen Sie die obigen häufig gestellten Fragen „Wird Amazon RDS Oracle TDE von AWS CloudHSM unterstützt?“
- Symmetrischer Schlüssel für die Umschlagverschlüsselung: Umschlagverschlüsselung bezieht sich auf die Hauptarchitektur, in der ein Schlüssel im HSM viele Datenschlüssel auf dem Anwendungshost ver- bzw. entschlüsselt. Vermutlich verwenden Sie bereits einen Rotationsprozess, der die Datenschlüssel mit dem alten Wrapping-Schlüssel entschlüsselt und sie mit dem neuen Wrapping-Schlüssel verschlüsselt. Der einzige Unterschied bei der Migration besteht darin, dass der neue Wrapping-Schlüssel auf AWS CloudHSM erstellt und verwendet wird und nicht mehr auf Ihrem bisherigen HSM. Falls Sie noch keinen Prozess (bzw. kein Tool) für die Schlüsselrotation eingerichtet haben, müssen Sie einen erstellen.
F: Was mache ich, wenn ich meine Schlüssel nicht rotieren kann?
Support und Wartung
F: Gibt es bei AWS CloudHSM geplante Wartungsfenster?
Nein. Es kann jedoch vorkommen, dass AWS aufgrund von erforderlichen Upgrades oder Hardware-Fehlern Wartungsarbeiten durchführen muss. Wir bemühen uns, Sie vorab über das persönliche Zustands-Dashboard von solchen Wartungsarbeiten in Kenntnis zu setzen, falls wir davon ausgehen, dass sie sich auf Sie auswirken.
Bitte beachten Sie, dass es in Ihrer Verantwortung liegt, Ihren Cluster für eine hohe Verfügbarkeit zu entwickeln. AWS empfiehlt dringend, CloudHSM-Cluster mit zwei oder mehr HSMs in separaten Availability Zones zu verwenden. Weitere Informationen zu den empfohlenen bewährten Methoden finden Sie in unserer Online-Dokumentation.
F: Ich habe ein Problem mit AWS CloudHSM. Was soll ich tun?
Lösungen für häufig auftretende Probleme finden Sie in unserem Leitfaden zur Fehlerbehebung. Sollten die Probleme weiterhin auftreten, wenden Sie sich an den AWS Support.
Sehen Sie sich die Preisbeispiele an und berechnen Sie Ihre Kosten.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit dem Aufbau von AWS CloudHSM in der AWS-Konsole.