问题描述
我正在尝试了解 AWS (Amazon Web Services) 中的密钥管理服务,我可以看到 Amazon 推荐更多 AWS 密钥管理服务 (KMS) 而不是云硬件安全模块 (Cloud HSM)。但是我很难找到 KMS 与 Cloud-HSM 两者之间的主要区别。
有人可以列出一些主要区别或两种技术的比较吗?
解决方法
| 功能 | AWS Cloud HSM | AWS KMS |
|---|---|---|
| 租赁 | 单租户 | 多租户 |
| 高可用:如何实现? | 在不同的可用区上(手动)创建多个 HSM | 由 AWS(自动)管理 |
| 扩展/性能责任 | 您的责任 | AWS |
| 关键访问:谁控制? | 你 | 你+AWS |
| 按键:如何使用? | 客户代码 + Safenet API | AWS 管理控制台 |
| 键:在哪里使用? | AWS 和您的网络 (VPN) | AWS |
| AWS 服务集成 | 一小组服务 (Redshift、Oracle RDS 等) |
大多数服务完全集成 |
| 访问和身份验证策略 | 基于群体的 K of N | AWS IAM 政策 |
| 价格 | $$ | $ |
| FIPS 140-2 合规性 | Level 3 | 总体2级 (部分地区3级) |
来源:AWS 官方文档 + 我为 AWS 考试参加的多门课程 + 实践经验。
,开发人员将 AWS CloudHSM 描述为“AWS 云中的专用硬件安全模块 (HSM) 设备”。 AWS CloudHSM 服务允许您在按照政府安全密钥管理标准设计和验证的 HSM 中保护您的加密密钥。您可以安全地生成、存储和管理用于数据加密的加密密钥,使其只能由您访问。 AWS CloudHSM 可帮助您在不牺牲应用程序性能的情况下遵守严格的密钥管理要求。
另一方面,AWS Key Management Service 被详细描述为“轻松创建和控制用于加密数据的加密密钥”。 AWS Key Management Service (KMS) 是一项托管服务,可让您轻松创建和控制用于加密数据的加密密钥,并使用硬件安全模块 (HSM) 来保护您的密钥的安全。 AWS Key Management Service 与其他 AWS 服务集成,包括 Amazon EBS、Amazon S3 和 Amazon Redshift。 AWS Key Management Service 还与 AWS CloudTrail 集成,为您提供所有密钥使用的日志,以帮助满足您的法规和合规性需求。
AWS CloudHSM 和 AWS Key Management Service 可归类为“数据安全服务”工具。
AWS CloudHSM 提供的一些功能是:
1]使用行业标准的防篡改 HSM 设备保护和存储您的加密密钥。除了您之外,没有人可以访问您的密钥(包括管理和维护设备的亚马逊管理员)。
2]在 Amazon EC2 上使用您最敏感和最受监管的数据,而无需让应用程序直接访问您数据的加密密钥。
3]从需要高度可用且持久的密钥存储和加密操作的应用程序中可靠地存储和访问数据。
另一方面,AWS Key Management Service 提供以下主要功能:
1]集中式密钥管理
2]与 AWS 服务集成
3]为您的所有应用程序加密
,AWS KMS 自定义密钥存储功能将 AWS CloudHSM 提供的控件与 AWS KMS 的集成和易用性相结合
问:为什么我需要使用自定义密钥存储? 由于您控制 AWS CloudHSM 集群,因此您可以选择独立于 AWS KMS 管理 CMK 的生命周期
从官方文档看,KMS似乎是一个基础特性,通过CloudHSM扩展可以获得高级特性。