CloudHSM主要针对专用的VPC中,为单租户提供HSM服务,支持对称和非对称加密
- 使用 AWS CloudHSM 服务时,您需要创建 CloudHSM 集群。
- 集群可以包含多个 HSM 实例,这些实例分布在一个区域的多个可用区中。
- 集群中的 HSM 实例会自动同步并进行负载均衡。
- 您可获得对集群中每个 HSM 实例的专用单租户访问权限。
- 每个 HSM 实例在 Amazon Virtual Private Cloud (VPC) 中都显示为网络资源。向集群中添加 HSM 或将其从中删除只需调用 AWS CloudHSM API(或在命令行上使用 AWS CLI)即可完成。
- 创建和初始化 CloudHSM 集群后,您可以在 EC2 实例上配置一个客户端,以允许您的应用程序通过经过身份验证的安全网络连接使用该集群。
- Amazon 管理员可监控 HSM 的运行状况,但无权配置、管理和使用它们。
- 您的应用程序将标准的加密 API 与应用程序实例上安装的 HSM 客户端软件配合使用,以向 HSM 发送加密请求。客户端软件可维护通向集群中所有 HSM 的安全通道,并在此通道上发送请求,而 HSM 执行相关操作并通过该安全通道返回结果。然后,客户端通过加密 API 将结果返回到应用程序。