Questions d'ordre général
Q : Qu'est-ce qu'AWS CloudHSM ?
Le service AWS CloudHSM vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données en mettant à votre disposition des modules de sécurité matériels (HSM, Hardware Security Module) dédiés dans le Cloud AWS. AWS et les partenaires AWS Marketplace proposent différentes solutions de protection des données sensibles sur la plate-forme AWS, mais dans le cas d'applications et de données soumises à des exigences contractuelles ou réglementaires en termes de gestion des clés cryptographiques, une protection supplémentaire peut s'avérer nécessaire. AWS CloudHSM vient compléter les solutions de protection des données existantes en vous permettant de protéger vos clés de chiffrement dans des HSM conformes aux normes gouvernementales relatives à la gestion sécurisée des clés. Avec AWS CloudHSM, vous pouvez générer, stocker et gérer de manière sécurisée les clés cryptographiques utilisées pour le chiffrement des données, afin d'être le seul à pouvoir y accéder.
Q : Qu'est-ce qu'un module de sécurité matériel (HSM) ?
Un module de sécurité matériel (HSM, Hardware Security Module) permet de mettre en œuvre des opérations de chiffrement et de stockage des clés au sein d'un dispositif matériel protégé contre tout accès non autorisé. Les HSM sont conçus pour garantir un stockage sécurisé des clés cryptographiques et les utilisent uniquement au sein de la limite cryptographique du matériel.
Q : Que puis-je faire avec AWS CloudHSM ?
Vous pouvez utiliser AWS CloudHSM pour prendre en charge différents cas d'utilisation et applications, notamment le chiffrement de bases de données, la gestion des droits numériques (DRM, Digital Rights Management), les infrastructures à clé publique (PKI, Public Key Infrastructure), les définitions d'authentifications et d'autorisations, la signature de documents et le traitement des transactions. Pour en savoir plus, consultez la page Cas d'utilisation d'AWS CloudHSM.
Q : Comment le service CloudHSM fonctionne-t-il ?
Pour utiliser le service AWS CloudHSM, vous devez d'abord créer un cluster CloudHSM. Les clusters peuvent contenir plusieurs HSM répartis sur plusieurs zones de disponibilité (AZ) d'une région. Les HSM d'un cluster sont automatiquement synchronisés et leurs charges sont équilibrées. Vous bénéficiez d'un accès dédié et unique à chaque HSM de votre cluster et chaque HSM apparaît en tant que ressource réseau dans votre cloud privé virtuel (VPC) Amazon. Ajouter et retirer des HSM de votre cluster se fait par un simple appel vers l'API AWS CloudHSM (ou sur la ligne de commande à l'aide d'AWS CLI). Après avoir créé et initialisé un Cluster CloudHSM, vous pouvez configurer un client sur votre instance EC2, ce qui permet à vos applications d'utiliser le cluster sur une connexion réseau sécurisée et authentifiée. AWS CloudHSM surveille automatiquement la santé de vos HSM, mais aucun membre du personnel d'AWS n'a accès à vos clés ni à vos données. Vos applications utilisent des API de chiffrement standard, conjointement avec le logiciel client du HSM installé sur l'instance d'application, afin d'envoyer des demandes de chiffrement au HSM. Le logiciel client maintient un canal sécurisé pour l'ensemble des HSM de votre cluster et envoie des requêtes sur ce canal. Votre HSM réalise ensuite les opérations et renvoie les résultats sur le canal sécurisé. Le client renvoie ensuite le résultat à l'application via l'API de chiffrement.
Q : Je ne dispose pas d'un VPC pour le moment. Puis-je tout de même utiliser AWS CloudHSM ?
Non. Afin de protéger et d'isoler votre cluster des autres clients Amazon, AWS CloudHSM doit être mis en service au sein d'un VPC Amazon. Vous pouvez facilement créer un VPC. Pour en savoir plus, consultez le Manuel de mise en route d'Amazon Virtual Private Cloud.
Q : Mon application doit-elle se trouver dans le même VPC que le cluster CloudHSM ?
Non, mais le serveur ou l'instance sur laquelle votre application et le HSM client s'exécutent doit bénéficier d'un accès réseau (IP) pour l'ensemble des HSM du cluster. Vous pouvez établir la connectivité réseau de votre application au HSM à bien des égards, notamment pour exécuter votre application dans le même VPC, via des VPC pairs, une connexion VPN, ou bien Direct Connect. Pour en savoir plus, veuillez consulter les manuels « VPC Peering Guide » et « VPC User Guide ».
Q : AWS CloudHSM est-il compatible avec des HSM sur site ?
Oui. Bien que AWS CloudHSM n'interagisse pas directement avec des HSM sur site, vous pouvez transférer des clés exportables en toute sécurité entre AWS CloudHSM et la plupart des HSM commerciaux à l'aide de l'une des différentes méthodes de chiffrement de clé RSA.
Q : Comment mon application peut-elle utiliser AWS CloudHSM ?
Nous avons intégré et testé AWS CloudHSM avec plusieurs solutions logicielles tierces telles que Oracle Database 19c et des serveurs Web dont Apache et Nginx pour le déchargement de SSL et la configuration d'un serveur Windows en tant que CA. Consultez le guide de l'utilisateur AWS CloudHSM pour en savoir plus.
Si vous développez votre propre application personnalisée, celle-ci peut utiliser les API standard prises en charge par AWS CloudHSM, notamment PKCS#11, Java JCE (Java Cryptography Extensions), OpenSSL Dynamic Engine ou encore Microsoft KSP/CNG. Consultez le guide de l'utilisateur d'AWS CloudHSM pour obtenir des exemples de code et de l'aide pour démarrer. Q : Puis-je utiliser AWS CloudHSM pour stocker des clés ou chiffrer des données utilisées par d'autres services AWS ?
Oui. Vous pouvez effectuer tout le chiffrement dans votre application intégrée AWS CloudHSM. Dans ce cas, les services AWS comme Amazon S3 et Amazon Elastic Block Store (EBS) ne verront que les données chiffrées.
Q : Les autres services AWS peuvent-ils utiliser AWS CloudHSM pour stocker et gérer des clés ?
Les services AWS s'intègrent à AWS Key Management Service, qui à son tour s'intègre à AWS CloudHSM via la fonctionnalité de dépôt de clés KMS personnalisé. Si vous voulez utiliser le chiffrement côté serveur proposé par de nombreux services AWS(comme EBS, S3 ou Amazon RDS), vous pouvez le faire en configurant un dépôt de clé personnalisé dans AWS KMS.
Q : AWS CloudHSM peut-il être utilisé pour réaliser la traduction par bloc d'un numéro d'identification personnel (PIN) ou d'autres opérations cryptographiques utilisées lors de transactions de paiement par carte de débit ?
Actuellement, AWS CloudHSM fournit des HSM à usage général. AWS Payment Cryptography fournit des opérations de cryptographie dans des applications de paiement hébergées dans le cloud. Avec le temps, nous proposerons peut-être des fonctionnalités de paiement. Si ce point vous intéresse, n'hésitez pas à nous contacter.
Q : Comment puis-je commencer à utiliser AWS CloudHSM ?
Vous pouvez mettre en service un cluster AWS CloudHSM dans la console CloudHSM ou grâce à quelques appels d'API dans le SDK ou l'API AWS. Pour en savoir plus et savoir comment démarrer, consultez le guide de l'utilisateur AWS CloudHSM. Pour plus d'informations sur les API AWS CloudHSM, consultez la page de documentation AWS CloudHSM.
Q : Comment mettre fin au service AWS CloudHSM ?
Vous pouvez utiliser l'API, le SDK ou la console AWS CloudHSM pour supprimer vos HSM et arrêter d'utiliser ce service. Pour obtenir des instructions supplémentaires, veuillez vous référer au guide de l'utilisateur AWS CloudHSM.
Facturation
Q : Comment mon utilisation du service AWS CloudHSM me sera-t-elle facturée ?
Des frais horaires vous seront facturés pour chaque heure (ou heure partielle) où un HSM est alloué à un cluster AWS CloudHSM. Un cluster qui ne contient pas de HSM ne sera pas facturé tout comme vous ne serez pas facturé pour le stockage automatique que nous faisons des sauvegardes chiffrées. Pour plus d'informations, veuillez consulter la page Tarification d'AWS CloudHSM. Notez que les transferts de données réseau vers et depuis vos HSM sont facturés séparément. Pour plus d'informations, consultez les informations relatives à la tarification du transfert de données pour EC2.
Q : Existe-t-il une offre gratuite pour le service CloudHSM ?
Non, il n'existe pas d'offre gratuite disponible pour AWS CloudHSM.
Q : Les frais varient-ils en fonction du nombre d'utilisateurs ou de clés crées sur mon HSM ?
Non. Le tarif horaire, qui varie selon la région, ne dépend pas du volume d'utilisation de votre HSM.
Q : Proposez-vous une tarification d'instance réservée pour AWS CloudHSM
Non, nous ne proposons pas une tarification d'instance réservée pour AWS CloudHSM.
Mise en service et opérations
Q : Est-il nécessaire de remplir certaines conditions préalables pour utiliser AWS CloudHSM ?
Oui. Pour commencer à utiliser AWS CloudHSM, vous devez disposer de plusieurs éléments, dont notamment un Cloud privé virtuel (VPC) dans la région où vous souhaitez bénéficier du service AWS CloudHSM. Pour en savoir plus, consultez le Guide de l'utilisateur AWS CloudHSM.
Q : Ai-je besoin de gérer les versions du microprogramme sur mon HSM ?
Non. AWS gère le microprogramme du matériel. La maintenance du microprogramme est effectuée par un tiers et la conformité à la norme FIPS 140-2 niveau 3 de chaque microprogramme doit être évaluée par le NIST (National Institute of Standards and Technology, l'institut américain des normes et de la technologie). Seuls les microprogrammes qui ont été signés de manière chiffrée à l'aide d'une clé FIPS (à laquelle AWS n'a pas accès) peuvent être installés.
Q : Combien d'HSM dois-je avoir dans mon cluster CloudHSM ?
AWS vous recommande fortement d'utiliser au moins deux HSM dans deux zones de disponibilité différentes pour toute charge de travail de production. Pour les charges de travail stratégiques, nous vous recommandons au moins trois HSM dans au moins deux zones de disponibilité différentes. Le client CloudHSM gérera automatiquement toute défaillance d'un HSM et équilibrera les charges vers deux ou plusieurs HSM de manière transparente dans votre application.
Q : Qui est responsable de la durabilité des clés ?
AWS effectue quotidiennement des sauvegardes chiffrées automatiques de votre cluster CloudHSM. AWS effectue des sauvegardes supplémentaires lorsque des événements du cycle de vie d'un cluster se produisent (comme l'ajout ou la suppression d'un HSM). Pour la période de 24 heures entre chaque sauvegarde, vous êtes uniquement responsable de la durabilité des éléments de clé créés ou importés vers votre cluster. Nous vous recommandons fortement de vous assurer que chacune des clés créées est synchronisée vers au moins deux HSM dans deux zones de disponibilité différentes pour assurer la durabilité de vos clés. Consultez le Guide de l'utilisateur AWS CloudHSM pour plus d'informations sur la vérification de la synchronisation des clés.
Q : Comment définir une configuration à haute disponibilité (HA) ?
La haute disponibilité est fournie automatiquement lorsque vous possédez au moins deux HSM répartis sur deux zones de disponibilité dans votre cluster CloudHSM. Aucune configuration supplémentaire n'est requise. Dans le cas d'une défaillance d'un HSM dans votre cluster, celui-ci sera remplacé automatiquement et tous les clients seront mis à jour pour refléter la nouvelle configuration sans interrompre toute opération en cours. Des HSM supplémentaires peuvent être ajoutés au cluster par le biais de l'API ou du SDK AWS afin d'augmenter la disponibilité sans interrompre votre application.
Q : Combien d'HSM peut contenir un cluster CloudHSM ?
Un cluster CloudHSM peut contenir jusqu'à 28 HSM, selon les limites de service du compte. Découvrez-en davantage sur les limites de service et sur la façon de demander une augmentation de la limite, consultez notre documentation en ligne.
Q : Est-il possible de sauvegarder le contenu de mon cluster CloudHSM ?
AWS effectue quotidiennement une sauvegarde de votre cluster CloudHSM. Les clés peuvent également être exportées (« emballées ») hors de votre cluster et stockées sur site tant qu'elles n'ont pas été générées en tant que « non exportables ».
Question : Existe-t-il un accord de niveau de service (SLA) pour AWS CloudHSM ?
Oui. Vous trouverez l'accord de niveau de service (SLA) pour AWS CloudHSM ici.
Sécurité et conformité
Q : Dois-je partager mes ressources AWS CloudHSM avec d'autres clients AWS ?
Non. Dans le cadre du service, vous obtenez un accès unique à votre HSM. Le matériel sous-jacent peut être partagé avec d'autres utilisateurs, mais le HSM n'est accessible que par vous.
Q : Comment le HSM est-il géré par AWS sans avoir accès à mes clés de chiffrement ?
La séparation des responsabilités et le contrôle d'accès basé sur des rôles sont deux concepts qui ont guidé la conception d'AWS CloudHSM. AWS dispose d'informations d'identification limitées au HSM qui nous permettent de surveiller et de maintenir la santé et la disponibilité du HSM, d'effectuer des sauvegardes chiffrées et d'extraire et de publier des journaux d'audit dans vos CloudWatch Logs. AWS n'a accès à aucune clé ou donnée de votre cluster CloudHSM et ne peut exécuter aucune autre opération que celles autorisées pour un utilisateur d'appliance HSM.
Consultez le guide de l'utilisateur AWS CloudHSM pour de plus amples informations sur la séparation des responsabilités ainsi que sur les possibilités que chaque classe d'utilisateur possède sur le HSM.
Q : Puis-je suivre mon HSM ?
Oui. AWS CloudHSM publie différentes mesures Amazon CloudWatch pour les clusters CloudHSM et les HSM individuels. Vous pouvez utiliser la console, l'API ou le SDK Amazon CloudWatch pour consulter ou être alerté de ces mesures.
Q : Quelle est la « source entropique » (source aléatoire) du AWS CloudHSM ?
Chaque HSM dispose d'un générateur déterministe de bits aléatoires (DRBG) alimenté par un générateur de nombres réellement aléatoires (TRNG) au sein du module matériel HSM conforme à la norme SP800-90B.
Q : Que se passe-t-il en cas de tentative d'accès non autorisé à l'appliance HSM ?
AWS CloudHSM possède des systèmes de détection des atteintes physiques et logiques et des mécanismes de réponse qui déclenchent la suppression des clés (abrogation) de l'appliance. Le matériel est conçu pour détecter une atteinte si sa barrière physique est rompue. Les HSM sont également protégés contre les tentatives de connexion par force brute. Après un certain nombre d'échecs de tentatives d'accès à un HSM avec des informations d'identification d'administrateur ou de responsable de chiffrement (CO), l'HSM verrouille le CO. De la même manière, après un nombre déterminé de tentatives infructueuses d'accéder à un HSM à l'aide des informations d'identification d'utilisateur de chiffrement (CU), l'utilisateur sera bloqué et devra être débloqué par un CO ou administrateur.
Q : Que se passe-t-il en cas de défaillance ?
Amazon assure la surveillance et la maintenance de la disponibilité et des conditions d'erreur du HSM et du réseau. Si un HSM rencontre une défaillance ou perd la connectivité au réseau, le HSM sera remplacé automatiquement. Vous pouvez vérifier l'état d'un HSM spécifique par le biais de l'API AWS CloudHSM, des kits SDK ou des outils d'interface de ligne de commande, ainsi que l'état général du service, à tout moment, par le biais d'AWS Service Health Dashboard.
Q : Est-il possible que je perde mes clés en cas de défaillance d'un HSM ?
Si votre cluster AWS CloudHSM ne dispose que d'un seul HSM, oui, il est possible de perdre les clés créées depuis la dernière sauvegarde quotidienne. Les clusters AWS CloudHSM comprenant deux ou plusieurs HSM, idéalement dans des zones de disponibilité distinctes, ne perdront pas de clés en cas de défaillance d'un seul HSM. Consultez nos bonnes pratiques pour plus d'informations.
Q : Amazon peut-il récupérer mes clés si je perds les informations d'identification me permettant d'accéder au HSM ?
Non. Amazon n'a pas accès à vos clés ni à vos informations d'identification, et ne peut donc pas récupérer vos clés en cas de perte de vos informations d'identification.
Q : Comment savoir si je peux faire confiance aux AWS CloudHSM ?
AWS CloudHSM repose sur un matériel validé par la norme FIPS (Federal Information Processing Standard) 140-2 de niveau 3. Vous trouverez des informations sur le profil de sécurité FIPS 140-2 pour le matériel utilisé par CloudHSM et le micrologiciel qu'il exécute, sur notre page relative à la conformité.
Q : Le service AWS CloudHSM prend-il en charge FIPS 140-2 niveau 3 ?
Oui, CloudHSM fournit des HSM validés par la norme FIPS 140-2 de niveau 3. Vous pouvez suivre la procédure décrite dans le manuel CloudHSM User Guide, à la sectionVerify the Authenticity of Your HSM afin de confirmer que vous disposez d'un HSM authentique sur le même modèle de matériel précisé dans le lien vers la politique de sécurité du NIST figurant ci-dessus.
Q : Comment exploiter un module AWS CloudHSM en mode FIPS 140-2 ?
AWS CloudHSM se trouve toujours en mode FIPS 140-2. Vous pouvez vérifier cette option en utilisant les outils d'interface de ligne de commande (CLI) comme cela est décrit dans le manuel CloudHSM User Guide en exécutant la commande getHsmInfo, qui vous indiquera le statut du mode FIPS.
Q : Puis-je obtenir un historique de tous les appels d'API AWS CloudHSM effectués depuis mon compte ?
Oui. AWS CloudTrail enregistre les appels d'API AWS sur votre compte. L'historique des appels d'API AWS généré par AWS CloudTrail vous permet de réaliser une analyse de sécurité, un suivi des modifications au niveau des ressources, ainsi que des audits de conformité. Pour en savoir plus sur AWS CloudTrail, consultez la page de présentation d'AWS CloudTrail et, pour l'activer, utilisez la Console de gestion AWS de CloudTrail.
Q : Quels événements ne sont pas enregistrés dans AWS CloudTrail ?
AWS CloudTrail n'inclut ni les appareils HSM ni les journaux d'accès. Ceux-ci apparaissent directement dans votre compte AWS via les AWS CloudWatch Logs. Pour en savoir plus, consultez Guides de l'utilisateur AWS CloudHSM.
Q : Quelles initiatives de mise en conformité AWS incluent AWS CloudHSM ?
Reportez-vous au site Conformité AWS pour en savoir plus sur les programmes de conformité couvrant CloudHSM. Contrairement aux autres services AWS, les exigences de conformité concernant AWS CloudHSM sont souvent remplies directement par la validation FIPS 140-2 niveau 3 du matériel lui-même plutôt qu'en tant que programme d'audit séparé.
Q : Pourquoi la certification FIPS 140-2 niveau 3 est-elle importante ?
La certification FIPS 140-2 niveau 3 est exigée dans certains cas d'utilisation, notamment la signature de documents, le paiement ou lorsque vous utilisez HSM comme autorité de certification publique pour des certificats SSL.
Q : Comment puis-je obtenir des rapports de conformité couvrant le service AWS CloudHSM ?
Pour voir quels rapports de conformité couvrent le service AWS CloudHSM, consultez les données sur la page Services AWS concernés par le programme de conformité. Pour créer des rapports de conformité à la demande, en libre-service et gratuits, utilisez AWS Artifact.
Si vous êtes simplement intéressé par la validation FIPS pour les HSM fournis par AWS CloudHSM, consultez Validation FIPS.
Performances et capacités
Q : Combien d'opérations cryptographiques CloudHSM peut-il réaliser par seconde ?
Les performances peuvent varier en fonction de la configuration, de la taille des données et de la charge applicative supplémentaire sur vos instances EC2. Pour améliorer les performances, vous pouvez ajouter des instances HSM supplémentaires à vos clusters. Nous vous encourageons à tester la charge de votre application afin de déterminer les besoins de mise à l'échelle.
Pour plus de détails, consultez la page sur les performances du guide de l'utilisateur d'AWS CloudHSM.
Q : Combien de clés peut-on stocker dans un cluster CloudHSM ?
Pour plus d'informations sur le stockage des clés et la capacité du cluster, consultez la section Quotas AWS CloudHSM.
Intégrations tierces
Q : AWS CloudHSM prend-il en charge Amazon RDS Oracle TDE ?
Pas directement. Vous devez utiliser AWS Key Management Service avec le stockage de clés personnalisé pour sécuriser les données Amazon RDS à l'aide des clés générées et stockées dans votre cluster CloudHSM.
Q : Puis-je utiliser AWS CloudHSM en tant que racine de confiance pour d'autres logiciels?
Plusieurs fournisseurs tiers prennent en charge AWS CloudHSM en tant que racine de confiance. Vous pouvez donc utiliser une solution logicielle de votre choix tout en créant et en stockant les clés sous-jacentes dans votre cluster CloudHSM.
AWS CloudHSM, bibliothèque du client, API et kits de développement logiciel
Q : Qu'est-ce que la bibliothèque du client AWS CloudHSM ?
Le client AWS CloudHSM est un package logiciel fourni par AWS qui permet à vous et à vos applications d'interagir avec les clusters CloudHSM.
Q : La bibliothèque du client CloudHSM donne-t-elle accès à AWS à mon cluster CloudHSM ?
Non. Toutes les communications entre le client et votre HSM sont chiffrées de bout en bout. AWS ne peut pas voir ni intercepter ces communications, et n'a pas non plus de visibilité sur vos identifiants d'accès au cluster.
Q : Quels sont les outils d'interface de ligne de commande (CLI) CloudHSM ?
La bibliothèque du client CloudHSM est fournie avec un ensemble d'outils CLI qui vous permettent d'administrer et d'utiliser le HSM depuis la ligne de commande HSM. Linux et Microsoft Windows sont pris en charge aujourd'hui. La prise en charge d'Apple macOS devrait suivre sous peu. Ces outils sont disponibles dans le même package que la bibliothèque du client AWS CloudHSM.
Q : Comment puis-je télécharger et commencer à utiliser les outils d'interface de ligne de commande AWS CloudHSM ?
Pour le découvrir, consultez le Guide de l'utilisateur CloudHSM.
Q : Les outils d'interface de ligne de commande CloudHSM permettent-ils à AWS d'accéder au contenu du HSM ?
Non. Les outils CloudHSM communiquent directement avec votre cluster CloudHSM par l'intermédiaire de la bibliothèque du client CloudHSM sur un canal sécurisé à authentification mutuelle. AWS ne peut observer aucune communication entre le client, les outils et le HSM. Il est chiffré de bout en bout.
Q : Sous quels systèmes d'exploitation puis-je utiliser les outils d'interface de ligne de commande et de la bibliothèque du client CloudHSM ?
Vous trouverez une liste complète des systèmes d'exploitation pris en charge dans notre documentation en ligne.
Q : Quels sont les prérequis en matière de connectivité réseau pour utiliser des outils d'interface de ligne de commande CloudHSM ?
L'hébergeur sur lequel vous exécutez la bibliothèque du client CloudHSM et/ou utilisez les outils CLI doit disposer de l'accessibilité au réseau pour l'ensemble des HSM de votre cluster CloudHSM.
Q : Que puis-je faire avec l'API et le kit SDK AWS CloudHSM ?
Vous pouvez créer, modifier, supprimer et obtenir le statut des clusters CloudHSM et des HSM. Les tâches que vous pouvez effectuer avec l'API AWS CloudHSM sont limitées par les opérations qu'AWS peut réaliser avec son accès restreint. L'API ne peut pas accéder aux contenus du HSM ou modifier tout utilisateur, stratégie ou tout autre réglage. Pour plus d'informations sur l'API, consultez la documentation CloudHSM. Pour plus d'informations sur le kit SDK, consultez la page Outils pour Amazon Web Services.
Migration depuis d'autres HSM tiers vers CloudHSM
Q : Comment planifier ma migration vers AWS CloudHSM ?
Commencez par veiller à ce que les algorithmes et modes nécessaires soient pris en charge par AWS CloudHSM. Votre responsable de compte peut nous envoyer des demandes de fonctionnalités si besoin. Ensuite, déterminez votre stratégie de rotation de clés. Nous avons également publié un guide de migration approfondi pour AWS CloudHSM. Vous êtes désormais prêt à démarrer avec AWS CloudHSM.
Q : Comment procéder à la rotation de mes clés ?
Votre stratégie de rotation dépendra du type d'application. Voici quelques exemples courants.
- Clés privées pour la signature : en général, une clé privée sur le HSM correspond à un certificat intermédiaire à son tour signé par une racine d'entreprise hors ligne. Vous procéderez à la rotation des clés en émettant un nouveau certificat intermédiaire. Créez une nouvelle clé privée et générez le CSR correspondant à l'aide d'OpenSSL sur AWS CloudHSM. Ensuite, signez le CSR avec la même racine d'entreprise hors ligne. Il se peut que vous ayez à enregistrer ce nouveau certificat avec des partenaires qui ne vérifient pas automatiquement la totalité de la chaine de certificat. En poursuivant, vous signerez toutes les nouvelles demandes (pour des documents, du code ou d'autres certificats, par exemple) avec la nouvelle clé privée qui correspondra au nouveau certificat. Vous pouvez continuer de vérifier des signatures à partir de la clé privée originale avec la clé publique correspondante. Aucune révocation n'est nécessaire. Ce processus est analogue à celui qu'il faut suivre pour retirer ou archiver une clé de signature.
- Chiffrement transparent des données Oracle : vous pouvez transférer votre portefeuille en passant d'abord d'un magasin de clés matériel (votre HSM d'origine) à un magasin de clés logiciel, puis en revenant à un magasin de clés matériel (AWS CloudHSM). Remarque : si vous utilisez Amazon RDS, consultez les FAQ ci-dessus concernant la question « AWS CloudHSM prend-il en charge Amazon RDS Oracle TDE ? »
- Clé symétrique pour le chiffrement d'enveloppes : le chiffrement d'enveloppes fait référence à l'architecture de clés dans laquelle une clé du HSM chiffre/déchiffre plusieurs clés de données sur l'hôte de l'application. Vous disposez certainement déjà d'un processus de rotation de clés pour le transfert et le déchiffrement de clés de données avec l'ancienne clé d'assemblage, ainsi que pour leur rechiffrement avec la nouvelle clé d'assemblage. La seule différence lors de la migration résidera dans la nouvelle clé d'assemblage qui sera créée et utilisée sur AWS CloudHSM et non sur le HSM d'origine. Si vous n'avez pas déjà d'outil ou de processus de rotation de clés, vous devrez en créer un.
Q : Et si je n'arrive pas à procéder à la rotation de mes clés ?
Support et maintenance
Q : AWS CloudHSM comporte-t-il des fenêtres de maintenance programmée?
Non, mais il est possible qu'AWS doive effectuer une maintenance en cas de mises à jour nécessaires ou de matériel défectueux. Nous ferons tout notre possible pour vous informer à l'avance, par le biais du Personal Health Dashboard, des éventuelles répercussions.
Notez qu'il est de votre responsabilité de concevoir votre cluster pour assurer une haute disponibilité. AWS vous recommande fortement d'utiliser des clusters CloudHSM comportant deux HSM, voire plus, dans des zones de disponibilité séparées. Reportez-vous aux bonnes pratiques recommandées de notre documentation en ligne.
Q : Je rencontre un problème avec AWS CloudHSM. Que puis-je faire ?
Vous pouvez trouver des solutions aux problèmes courants dans notre guide de dépannage. Si votre problème persiste, contactez AWS Support.
Consultez des exemples de tarification et calculez vos coûts.
Commencez à créer avec AWS CloudHSM dans la console AWS.