AWS CloudHSM. Guía del usuario

(1)

AWS CloudHSM

Guía del usuario

(2)

AWS CloudHSM: Guía del usuario

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.

(3)

¿Qué es AWS CloudHSM?

AWS CloudHSM proporciona módulos de seguridad de hardware en la nube de AWS. Un módulo de seguridad de hardware (HSM) es un dispositivo informático que procesa las operaciones criptográficas y proporciona almacenamiento seguro de las claves criptográficas.

Al utilizar un HSM desde AWS CloudHSM, puede realizar diversas tareas criptográficas:

• Generar, almacenar, importar, exportar y administrar claves criptográficas, incluidas las claves simétricas y los pares de claves asimétricos.

• Utilice los algoritmos simétricos y asimétricos para cifrar y descifrar datos.

• Utilice las funciones de hash criptográficas para computar los resúmenes y los códigos de autenticación de mensajes basados en hash (HMAC).

• Firmar criptográficamente los datos (incluida la firma de código) y verificar firmas.

• Generar datos aleatorios seguros criptográficamente.

Si desea un servicio administrado para la creación y el control de las claves de cifrado, pero no desea o no necesita operar su propio HSM, considere la posibilidad de usar AWS Key Management Service.

Para obtener más información sobre lo que puede hacer con AWS CloudHSM, consulte los temas siguientes. Cuando esté listo para comenzar a usar AWS CloudHSM, consulte Introducción (p. 15).

Temas

• Casos de uso de AWS CloudHSM (p. 1)

• Clústeres de AWS CloudHSM (p. 2)

• Backups de clúster de AWS CloudHSM (p. 6)

• Herramientas y bibliotecas de software del cliente de AWS CloudHSM (p. 9)

• Usuarios de HSM (p. 10)

• Conformidad (p. 13)

• Precios (p. 13)

• Regiones (p. 13)

• Límites de AWS CloudHSM (p. 13)

Casos de uso de AWS CloudHSM

Un módulo de seguridad de hardware (HSM) en AWS CloudHSM puede ayudarle a lograr diferentes objetivos.

Temas

• Descargar el procesamiento de SSL/TLS en los servidores web (p. 2)

• Proteger las claves privadas de una entidad de certificación (CA) de emisión (p. 2)

• Activar el cifrado de datos transparente (TDE) para bases de datos de Oracle (p. 2)

(7)

Descargar el procesamiento de SSL/TLS en los servidores web

Los servidores web y sus clientes (navegadores web) pueden usar la capa de conexión segura (SSL) o Transport Layer Security (TLS). Estos protocolos confirman la identidad del servidor web y establecen una conexión segura para enviar y recibir páginas web u otros datos a través de Internet. Esto se denomina comúnmente HTTPS. El servidor web utiliza un par de claves pública–privada y un certificado de clave pública para establecer una sesión HTTPS con cada cliente. Este proceso conlleva un gran volumen de cómputo para el servidor web, pero puede descargar parte de este cómputo en los HSM del clúster de AWS CloudHSM. Esto a veces recibe el nombre de aceleración SSL. Esta descarga reduce la carga informática del servidor web y proporciona seguridad adicional al almacenar la clave privada del servidor en los HSM.

Para obtener información sobre la configuración de la descarga de SSL/TLS con AWS CloudHSM, consulte Descarga de SSL/TLS (p. 207).

Proteger las claves privadas de una entidad de certificación (CA) de emisión

En una infraestructura de clave pública (PKI), una entidad de certificación (CA) es una entidad de confianza que emite certificados digitales. Estos certificados digitales vinculan una clave pública a una identidad (una persona u organización) mediante criptografía de clave pública y firmas digitales. Para operar una CA, debe mantener la confianza con la protección de las claves privadas que firman los certificados emitidos por la CA. Puede almacenar estas claves privadas en un HSM y usarlo para realizar las operaciones de firma criptográfica.

Activar el cifrado de datos transparente (TDE) para bases de datos de Oracle

Some versions of Oracle's database software offer a feature called Transparent Data Encryption (TDE).

With TDE, the database software encrypts data before storing it on disk. The data in the database's table columns or tablespaces is encrypted with a table key or tablespace key. These keys are encrypted with the TDE master encryption key. You can store the TDE master encryption key in the HSMs in your AWS CloudHSM cluster, which provides additional security.

Para obtener información sobre la configuración de TDE de Oracle con AWS CloudHSM, consulte Cifrado de Oracle Database (p. 222).

Clústeres de AWS CloudHSM

AWS CloudHSM proporciona módulos de seguridad de hardware (HSM) en un clúster. Un clúster es una colección de HSM individuales que AWS CloudHSM mantiene sincronizados. Un clúster se puede considerar un HSM lógico. Al realizar una tarea o una operación en un HSM en un clúster, el resto de los HSM de ese clúster se actualizan automáticamente.

Puede crear un clúster que tenga de 1 a 28 HSM (el límite predeterminado (p. 13) es de 6 HSM por cada cuenta de AWS y cada región de AWS). Puede colocar los HSM en diferentes zonas de disponibilidad en una región de AWS. Agregar más HSM a un clúster ofrece más desempeño. Distribuir clústeres en varias zonas de disponibilidad proporciona redundancia y alta disponibilidad.

Conseguir que los distintos HSM funcionen juntos en un clúster sincronizado, redundante y de alta disponibilidad puede ser difícil, pero AWS CloudHSM se ocupa de algunas de las tareas pesadas.

(8)

Arquitectura de clúster

Puede añadir y eliminar HSM de un clúster, y AWS CloudHSM se ocupará de mantenerlos conectados y sincronizados automáticamente.

Para crear un clúster, consulte Introducción (p. 15).

Para obtener más información sobre los clústeres, consulte los siguientes temas.

Temas

• Arquitectura de clúster (p. 3)

• Sincronización de clúster (p. 4)

• Alta disponibilidad y balanceo de carga de clúster (p. 5)

Arquitectura de clúster

Al crear un clúster, especifique una Amazon Virtual Private Cloud (VPC) en la cuenta de AWS y una o varias subredes en dicha VPC. Le recomendamos que cree una subred en cada zona de disponibilidad (AZ) de la región de AWS elegida. Para saber cómo hacerlo, consulte Crear una subred privada (p. 20).

Cada vez que crea un HSM, debe especificar el clúster y la zona de disponibilidad del HSM. Al colocar los HSM en diferentes zonas de disponibilidad, obtiene redundancia y alta disponibilidad en el caso de que una zona de disponibilidad no esté disponible.

Al crear un HSM, AWS CloudHSM incluye una interfaz de red elástica (ENI) en la subred especificada de la cuenta de AWS. La interfaz de red elástica es la que se usa para interactuar con el HSM. El HSM se encuentra en una VPC independiente en una cuenta de AWS que es propiedad de AWS CloudHSM. El HSM y su interfaz de red correspondiente se encuentran en la misma zona de disponibilidad.

Para interactuar con los HSM de un clúster, necesita el software de cliente de AWS CloudHSM.

Normalmente, el cliente se instala en instancias de Amazon EC2, que se denominan instancias de cliente y que se encuentran en la misma VPC que los ENI de los HSM, como se muestra en la siguiente ilustración. Esto no es necesario desde el punto de vista técnico; puede instalar el cliente en cualquier equipo compatible, siempre que pueda conectarse a las ENI de los HSM. El cliente se comunica con cada uno de los HSM del clúster a través de sus ENI.

La siguiente figura representa el clúster de AWS CloudHSM con tres HSM, cada uno en una zona de disponibilidad diferente en la VPC.

(9)

Sincronización de clúster

En un clúster de AWS CloudHSM, AWS CloudHSM mantiene sincronizadas las claves de los HSM individuales. No tiene que hacer nada para sincronizar las claves en los HSM. Para mantener

sincronizados los usuarios y las políticas de cada HSM, actualice el archivo de configuración del cliente

(10)

Alta disponibilidad y balanceo de carga de clúster

de AWS CloudHSM antes de administrar los usuarios de HSM (p. 144). Para obtener más información, consulte Mantener actualizados los usuarios de HSM (p. 235).

Al agregar un HSM nuevo a un clúster, AWS CloudHSM hace un backup de todas las claves, los usuarios y las políticas de un HSM existente. A continuación, restaura ese backup en el nuevo HSM. De este modo, los dos HSM permanecen sincronizados.

Si los HSM de un clúster no están sincronizados, AWS CloudHSM los vuelve a sincronizar automáticamente. Para habilitarlo, AWS CloudHSM utiliza las credenciales del usuario de

dispositivo (p. 10). Este usuario existe en todos los HSM proporcionados por AWS CloudHSM y tiene permisos limitados. También puede obtener un hash de los objetos del HSM y extraer e insertar objetos enmascarados (cifrados). AWS no puede ver ni modificar los usuarios o las claves, y no puede realizar operaciones criptográficas con esas claves.

Alta disponibilidad y balanceo de carga de clúster

Al crear un clúster de AWS CloudHSM con varios HSM, obtiene automáticamente el balanceo de carga.

El balanceo de carga significa que el cliente de AWS CloudHSM (p. 9) distribuye las operaciones criptográficas entre todos los HSM del clúster en función de la capacidad de procesamiento adicional de cada uno de ellos.

Al crear los HSM en diferentes zonas de disponibilidad de AWS, obtiene automáticamente alta

disponibilidad. Alta disponibilidad significa que obtiene mayor fiabilidad porque ningún HSM es un punto único de error. Recomendamos que tenga un mínimo de dos HSM en cada clúster, cada uno de ellos en una zona de disponibilidad distinta de una región de AWS.

Por ejemplo, en la figura siguiente se muestra una aplicación de base de datos Oracle que está distribuida en dos zonas de disponibilidad. Las instancias de base de datos almacenan sus claves maestras en un clúster que contiene un HSM en cada zona de disponibilidad. AWS CloudHSM sincroniza automáticamente las claves en ambos HSM para que sea posible obtener acceso inmediatamente a ellos y sean redundantes.

(11)

Backups

Backups de clúster de AWS CloudHSM

AWS CloudHSM hace backups periódicos del clúster. No puede ordenar a AWS CloudHSM que haga backups siempre que usted quiera, pero sí puede ejecutar determinadas acciones que hacen que AWS CloudHSM realice un backup. Para obtener más información, consulte los siguientes temas.

Cuando añade un HSM a un clúster que anteriormente contenía uno o varios HSM activos, AWS CloudHSM restaura el backup más reciente en el nuevo HSM. Esto significa que puede utilizar AWS CloudHSM para administrar un HSM que utilice con poca frecuencia. Cuando no necesite utilizar el HSM, puede eliminarlo, lo que activa un backup. Más tarde, cuando necesite utilizar el HSM de nuevo, puede crear un HSM nuevo en el mismo clúster, lo que restaura de forma efectiva el HSM anterior.

También puede crear un clúster nuevo a partir de un backup ya existente de otro clúster. Debe crear el nuevo clúster en la misma región de AWS que contiene el backup ya existente.

Temas

• Información general de los backups (p. 7)

• Seguridad de los backups (p. 7)

• Durabilidad de los backups (p. 8)

• Frecuencia de los backups (p. 8)

(12)

Información general de los backups

Cada backup contiene copias cifradas de los siguientes datos:

• Todos los usuarios (CO, CU y AU) (p. 10) del HSM.

• Todo el material de claves y certificados del HSM.

• La configuración y las políticas del HSM.

AWS CloudHSM almacena los backups en un bucket de Amazon Simple Storage Service (Amazon S3) controlado por servicios en la misma región de AWS que su clúster.

Seguridad de los backups

Cuando AWS CloudHSM hace un backup del HSM, el HSM cifra todos sus datos antes de enviarlos a AWS CloudHSM. Los datos nunca salen del HSM en formato de texto no cifrado.

Para cifrar los datos, el HSM utiliza una clave de cifrado única y efímera, conocida como la clave de backup efímera (EBK). La EBK es una clave de cifrado AES de 256 bits generada en el HSM cuando AWS CloudHSM hace un backup. El HSM genera la EBK y, a continuación, la utiliza para cifrar sus datos con un método de encapsulación de clave AES aprobado por FIPS que cumple la Publicación especial de NIST 800-38F. A continuación, el HSM ofrece los datos cifrados a AWS CloudHSM. Los datos cifrados contienen una copia cifrada de la EBK.

Para cifrar la EBK, el HSM utiliza otra clave de cifrado conocida como la clave de backup persistente (PBK). La PBK también es una clave de cifrado AES de 256 bits. Para generar la PBK, el HSM utiliza una

(13)

Durabilidad de los backups

función de derivación de clave (KDF) aprobada por FIPS en modo contador que cumple la Publicación especial de NIST 800-108. Los datos de entrada de esta KDF incluyen lo siguiente:

• Una clave de backup de clave de fabricante (MKBK), integrada permanentemente en el hardware del HSM por parte del fabricante.

• Una clave de backup de clave de AWS (AKBK), instalada de forma segura en el HSM cuando AWS CloudHSM lo configura inicialmente.

Los procesos de cifrado se resumen en la siguiente figura. La clave de cifrado de backup representa la clave de backup persistente (PBK) y la clave de backup efímera (EBK).

AWS CloudHSM solo puede restaurar los backups en los de HSM propiedad de AWS que haya realizado el mismo fabricante. Dado que cada backup contiene todos los usuarios, claves y la configuración del HSM original, el HSM restaurado contiene las mismas protecciones y controles de acceso que el original.

Los datos restaurados sobrescriben todos los demás datos que pudiera haber en el HSM antes de la restauración.

Un backup solo contiene datos cifrados. Antes de que cada backup se almacene en Amazon S3, se cifra de nuevo con una clave maestra de cliente (CMK) de AWS Key Management Service (AWS KMS).

Durabilidad de los backups

AWS CloudHSM almacena los backups del clúster en un bucket de Amazon S3 de una cuenta de AWS controlada por AWS CloudHSM. La durabilidad de los backups es la misma que la de cualquier objeto almacenado en Amazon S3. Amazon S3 está diseñado para ofrecer una durabilidad del 99,999999999%.

Frecuencia de los backups

AWS CloudHSM hace un backup del clúster al menos una vez cada 24 horas. Además de los backups diarios recurrentes, AWS CloudHSM hace un backup cuando se realiza cualquiera de las siguientes acciones:

• Inicializar el clúster (p. 29).

• Añadir un HSM a un clúster inicializado (p. 36).

• Eliminar un HSM de un clúster (p. 38).

(14)

Herramientas y bibliotecas del cliente

Herramientas y bibliotecas de software del cliente de AWS CloudHSM

Para administrar y utilizar los HSM en su clúster, utilice el software de cliente de AWS CloudHSM. El software de cliente incluye varios componentes, tal y como se describe en los siguientes temas.

Temas

• Cliente de AWS CloudHSM (p. 9)

• Herramientas de línea de comandos de AWS CloudHSM (p. 10)

• Bibliotecas de software de AWS CloudHSM (p. 10)

Cliente de AWS CloudHSM

El cliente de AWS CloudHSM es un daemon que se instala y se ejecuta en sus hosts de aplicaciones. El cliente establece y mantiene una conexión cifrada integral con los HSM en su clúster de AWS CloudHSM.

El cliente proporciona la conexión fundamental entre sus hosts de aplicaciones y los HSM. La mayoría de los demás componentes de software de cliente de AWS CloudHSM confían en el cliente para comunicarse con sus HSM. Para comenzar a utilizar el cliente de AWS CloudHSM, consulte Instalación del cliente de CloudHSM (p. 33).

Cifrado integral del cliente de AWS CloudHSM

La comunicación entre el cliente de AWS CloudHSM y los HSM del clúster se realiza con cifrado integral.

Solo pueden descifrarla el cliente y los HSM.

En el siguiente proceso se explica cómo establece el cliente una comunicación cifrada integral con un HSM.

1. El cliente establece una conexión Transport Layer Security (TLS) con el servidor que aloja el hardware del HSM. El grupo de seguridad del clúster únicamente permite el tráfico entrante al servidor desde las instancias de cliente del grupo de seguridad. El cliente también comprueba el certificado del servidor para asegurarse de que es un servidor de confianza.

(15)

Herramientas de línea de comandos de AWS CloudHSM

2. A continuación, el cliente establece una conexión cifrada con el hardware del HSM. El HSM tiene el certificado de clúster firmado por usted con su propia entidad de certificación (CA), y el cliente tiene el certificado raíz de la CA. Antes de que se establezca la conexión cifrada entre el cliente y el HSM, el cliente verifica el certificado de clúster del HSM con el certificado raíz. La conexión únicamente se establece cuando el cliente verifica correctamente que el HSM es de confianza. La conexión cifrada entre el cliente y el HSM se realiza a través de la conexión cliente–servidor establecida anteriormente.

Herramientas de línea de comandos de AWS CloudHSM

El software de cliente de AWS CloudHSM incluye dos herramientas de línea de comandos. Puede utilizar las herramientas de línea de comandos para administrar los usuarios y las claves en los HSM.

Por ejemplo, puede crear usuarios de HSM, cambiar las contraseñas de los usuarios, crear claves y mucho más. Para obtener más información sobre estas herramientas, consulte Herramientas de línea de comandos (p. 45).

Bibliotecas de software de AWS CloudHSM

Puede usar las bibliotecas de software de AWS CloudHSM para integrar sus aplicaciones con los HSM de un clúster y utilizarlas para el procesamiento criptográfico. Para obtener más información acerca de la instalación y el uso de las distintas bibliotecas, consulte Uso de las bibliotecas de software (p. 166).

Usuarios de HSM

La mayoría de las operaciones que realiza en el HSM requieren las credenciales de un usuario de HSM. El HSM autentica a cada usuario del HSM mediante un nombre de usuario y una contraseña.

Cada usuario del HSM tiene un tipo que determina las operaciones que puede realizar en el HSM. En los siguientes temas se explican los tipos de usuarios de HSM.

Temas

(16)

Responsable de criptografía previa (PRECO)

• Responsable de criptografía previa (PRECO) (p. 11)

• Responsable de criptografía (CO, PCO) (p. 11)

• Usuario de criptografía (CU) (p. 11)

• Usuario de dispositivo (AU) (p. 11)

• Tabla de permisos de usuario de HSM (p. 11)

Responsable de criptografía previa (PRECO)

El responsable de criptografía previa (PRECO) es un usuario temporal que solo existe en el primer HSM de un clúster de AWS CloudHSM. El primer HSM de un nuevo clúster contiene un usuario PRECO predeterminado con un nombre de usuario y contraseña predeterminados. Para activar un clúster (p. 34), inicie sesión en el HSM y cambie la contraseña del usuario PRECO. Al cambiar la contraseña, el usuario PRECO se convierte en un responsable de criptografía (PCO). El usuario PRECO solo puede cambiar su contraseña y realizar operaciones de solo lectura en el HSM.

Responsable de criptografía (CO, PCO)

Un responsable de criptografía (CO) puede realizar operaciones de administración de usuarios. Por ejemplo, un CO puede crear y eliminar usuarios, así como cambiar las contraseñas de los usuarios. Para obtener más información, consulte Tabla de permisos de usuario de HSM (p. 11).

Cuando activa un nuevo clúster (p. 34), el primer usuario en un HSM cambia de responsable de criptografía previa (p. 11) (PRECO) a responsable de criptografía principal (PCO). El PCO es el primer CO creado en el HSM. No obstante, el PCO Tiene los mismos permisos en el HSM que cualquier otro CO.

Usuario de criptografía (CU)

Un usuario de criptografía (CU) puede realizar las siguientes operaciones de administración de claves y criptografía.

• Administración de claves: crear, eliminar, compartir, importar y exportar claves criptográficas.

• Operaciones criptográficas: utilizar las claves criptográficas para cifrado, descifrado, firma, verificación y mucho más.

Para obtener más información, consulte Tabla de permisos de usuario de HSM (p. 11).

Usuario de dispositivo (AU)

El usuario de dispositivo (AU) puede realizar las operaciones de clonación y sincronización. AWS

CloudHSM utiliza el AU para sincronizar los HSM de un clúster de AWS CloudHSM. El AU existe en todos los HSM proporcionados por AWS CloudHSM y tiene permisos limitados. Para obtener más información, consulte Tabla de permisos de usuario de HSM (p. 11).

AWS utiliza el AU para realizar operaciones de clonación y sincronización en los HSM del clúster. AWS no puede realizar ninguna operación en los HSM, excepto las permitidas para los usuarios AU y sin autenticar.

AWS no puede ver ni modificar los usuarios o las claves, y no puede realizar operaciones criptográficas con esas claves.

Tabla de permisos de usuario de HSM

En la siguiente tabla se enumeran las operaciones de HSM y si cada tipo de usuario de HSM puede realizarlas.

(17)

Tabla de permisos de usuario de HSM

Responsable de

criptografía (CO) Usuario de

criptografía (CU) Usuario de

dispositivo (AU) Usuario sin autenticar Obtener

información básica del clúster¹

Sí Sí Sí Sí

Poner a cero un

HSM² Sí Sí Sí Sí

Cambiar su propia

contraseña Sí Sí Sí No aplicable

Cambiar la contraseña de cualquier usuario

Sí No No No

Agregar o eliminar

usuarios Sí No No No

Obtener el estado

de sincronización³ Sí Sí Sí No

Extraer o insertar objetos enmascarados⁴

Sí Sí Sí No

Crear, compartir o

eliminar claves No Sí No No

Cifrar o descifrar No Sí No No

Firmar o verificar No Sí No No

Generar resúmenes y HMAC

No Sí No No

¹La información básica sobre el clúster incluye el número de HSM que hay en del clúster y la dirección IP, el modelo, el número de serie, el ID de dispositivo, el ID de firmware, etc., de cada HSM.

²Cuando un HSM se pone a cero, se destruyen todas las claves, certificados y demás datos del HSM.

Puede utilizar el grupo de seguridad de su clúster para evitar que un usuario sin autenticar ponga a cero el HSM. Para obtener más información, consulte Crear un clúster (p. 21).

³El usuario puede obtener un conjunto resúmenes (hashes) correspondientes a las claves del HSM. Una aplicación puede comparar estos conjuntos de resúmenes para conocer el estado de la sincronización de los HSM de un clúster.

⁴Los objetos enmascarados son claves que se cifran antes de salir del HSM. No se pueden descifrar fuera del HSM. Solo se descifran después de insertarlos en un HSM que se encuentra en el mismo clúster que el HSM del que se extrajeron. Una aplicación puede extraer e insertar objetos enmascarados para sincronizar los HSM de un clúster.

(18)

Conformidad

Los socios de AWS y AWS Marketplace ofrecen muchas soluciones para proteger los datos en AWS. Sin embargo, algunas aplicaciones y datos están sujetos a estrictos requisitos contractuales o normativos para administrar y utilizar claves criptográficas. Utilizar un HSM de AWS CloudHSM puede ayudarle a cumplir los requisitos de conformidad corporativa, contractual y normativa para la seguridad de los datos en la nube de AWS.

FIPS 140-2

La Publicación 140-2 del Federal Information Processing Standard (Estándar Federal de

Procesamiento de Información, FIPS) es un estándar de seguridad del Gobierno de EE. UU. que especifica los requisitos de seguridad para los módulos criptográficos que protegen información confidencial. Los HSM proporcionados por AWS CloudHSM cumplen con FIPS 140-2 nivel 3. Para obtener más información, consulte Conformidad de FIPS en el sitio web de AWS.

PCI DSS

PCI DSS (siglas en inglés de estándar de seguridad de los datos del sector de tarjetas de pago) es un estándar de seguridad de la información propio administrado por el Consejo de estándares de seguridad del sector de tarjetas de pago. Los HSM proporcionados por AWS CloudHSM cumplen con PCI DSS. Para obtener más información, consulte Conformidad de PCI DSS en el sitio web de AWS.

Precios

Con AWS CloudHSM paga por horas, sin compromisos a largo plazo ni pagos iniciales. Para obtener más información, consulte Precios de AWS CloudHSM en el sitio web de AWS.

Regiones

Visite Regiones y puntos de conexión de AWS en la AWS General Reference o la Tabla de regiones de AWS para ver la disponibilidad regional de AWS CloudHSM.

Al igual que la mayoría de los recursos de AWS, los clústeres y HSM se utilizan a nivel regional. Para crear un HSM en más de una región, primero debe crear un clúster en esa región. No es posible reutilizar o ampliar un clúster entre regiones. Debe realizar todos los pasos necesarios que se muestran en Introducción a AWS CloudHSM (p. 15) para crear un nuevo clúster en una nueva región.

Límites de AWS CloudHSM

Los siguientes límites se aplican a sus recursos de AWS CloudHSM por región de AWS y cuenta de AWS.

Límites de los servicios

Elemento Límite predeterminado Límite invariable

Clústeres 4 N/D

HSM 6 N/D

HSM por clúster N/D 28

(19)

Límites

Límites del sistema

Elemento Límite invariable

Claves por clúster 3500

Número de usuarios por clúster 1024

Longitud máxima de un nombre de usuario 31 caracteres Longitud de contraseña obligatoria De 7 a 32 caracteres Número máximo de clientes simultáneos 1024

Para solicitar un aumento del número de clústeres o HSM, use el formulario de aumento de límite de servicio en el Centro de soporte de AWS.

(20)

Crear administradores de IAM

Introducción a AWS CloudHSM

Los siguientes temas contienen información que le ayudará a crear, inicializar y activar un clúster de AWS CloudHSM. Después de completar las instrucciones incluidas en estos temas, estará preparado para administrar usuarios, administrar clústeres y realizar operaciones criptográficas mediante las bibliotecas de software incluidas.

Para comenzar a trabajar con AWS CloudHSM

1. Siga los pasos de Crear administradores de IAM (p. 15) para configurar los usuarios y grupos de IAM.

2. Siga los pasos de Crear un clúster (p. 21).

3. Siga los pasos de Crear un HSM (p. 22).

4. (Opcional) Siga los pasos de Verificar la identidad del HSM (opcional) (p. 23) para verificar la identidad y la autenticidad del HSM del clúster.

5. Siga los pasos de Inicializar el clúster (p. 29).

6. (Solo la primera vez) Siga los pasos de Lanzar un cliente (p. 19).

7. (Solo la primera vez) Siga los pasos de Instalación del cliente de CloudHSM (p. 33).

8. Siga los pasos de Activar el clúster (p. 34).

Temas

• Crear grupos administrativos de IAM (p. 15)

• Lanzar un cliente (p. 19)

• Crear una nube virtual privada (VPC) (p. 20)

• Crear una subred privada (p. 20)

• Crear un clúster (p. 21)

• Crear un HSM (p. 22)

• Verificar la identidad y la autenticidad del HSM de un clúster (opcional) (p. 23)

• Inicializar el clúster (p. 29)

• Instalar y configurar el cliente de AWS CloudHSM (p. 33)

• Introducción a AWS CloudHSM: Activar el clúster (p. 34)

Crear grupos administrativos de IAM

Como práctica recomendada, no utilice su usuario raíz de cuenta de AWS para interactuar con AWS, incluido el AWS CloudHSM. En su lugar, utilice AWS Identity and Access Management (IAM) para crear un usuario de IAM, un rol de IAM o un usuario federado. Siga los pasos de la sección Crear un grupo de usuarios y de administradores de IAM (p. 16) para crear un grupo de administradores y adjuntarle la política AdministratorAccess. A continuación, cree un usuario administrativo y agréguelo al grupo. Puede agregar usuarios adicionales al grupo según sea necesario. Cada usuario que agregue heredará la política AdministratorAccess del grupo.

Otra práctica recomendada consiste en crear un grupo de administradores de AWS CloudHSM solo tenga los permisos necesarios para ejecutar AWS CloudHSM. Puede agregar usuarios individuales a este grupo según sea necesario. Cada usuario heredará los permisos limitados adjuntados al grupo en lugar del acceso de AWS completo. La sección Restringir los permisos de usuario a lo estrictamente necesario para AWS CloudHSM (p. 17) más adelante contiene la política que debe adjuntar a su grupo de administradores de AWS CloudHSM.

(21)

Crear un grupo de usuarios y de administradores de IAM

AWS CloudHSM define un rol vinculado al servicio de IAM para su cuenta de AWS. El rol vinculado al servicio define actualmente los permisos que permiten que su cuenta registre eventos de AWS CloudHSM.

AWS CloudHSM puede crear automáticamente el rol o puede hacerlo manualmente el usuario. No puede editar el rol, pero puede eliminarlo. Para obtener más información, consulte la siguiente sección Descripción de los roles vinculados a servicios (p. 18) más adelante.

Temas

• Crear un grupo de usuarios y de administradores de IAM (p. 16)

• Restringir los permisos de usuario a lo estrictamente necesario para AWS CloudHSM (p. 17)

• Descripción de los roles vinculados a servicios (p. 18)

Crear un grupo de usuarios y de administradores de IAM

Para crear un usuario de IAM para sí mismo y agregarlo a un grupo de administradores 1. Utilice la dirección de correo electrónico y la contraseña de su cuenta de AWS para iniciar sesión

como Usuario de la cuenta raíz de AWS en la consola de IAM en https://console.aws.amazon.com/

iam/.

Note

Le recomendamos que siga la práctica recomendada de utilizar el usuario Administrador como se indica a continuación y guardar de forma segura las credenciales de usuario raíz.

Inicie sesión como usuario raíz únicamente para realizar algunas tareas de administración de servicios y de cuentas.

2. En el panel de navegación de la consola, elija Usuarios y, a continuación, elija Añadir usuario.

3. En Nombre de usuario, escriba Administrador.

4. Active la casilla de verificación situada junto a Consola de administración de AWS access, seleccione Custom password y escriba la contraseña del nuevo usuario en el cuadro de texto. También puede seleccionar Require password reset para obligar al usuario a seleccionar una nueva contraseña la próxima vez que inicie sesión.

5. Elija Next: Permissions.

6. En la página Set permissions for user, elija Add user to group.

7. Elija Create group.

8. En el cuadro de diálogo Crear grupo, escriba Administradores.

9. En Filter, elija Job function.

10. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija Create group.

11. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es necesario para ver el grupo en la lista.

12. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario.

Cuando esté listo para continuar, elija Create user.

Puede usar este mismo proceso para crear más grupos y usuarios, y para conceder a los usuarios acceso los recursos de su cuenta de AWS. Para obtener más información sobre cómo usar las políticas para restringir los permisos de los usuarios a recursos de AWS específicos, vaya a Administración de acceso y Políticas de ejemplo.

Puede crear varios administradores en su cuenta y agregarlos al grupo Administradores. Para iniciar sesión en la Consola de administración de AWS, cada usuario necesita un ID o alias de la cuenta de AWS.

Para obtenerlos, consulte Su ID de cuenta y alias de AWS en la Guía del usuario de IAM.

(22)

Restringir los permisos de usuario a lo estrictamente necesario para AWS CloudHSM

Le recomendamos que cree un grupo de administradores de IAM para AWS CloudHSM que contenga únicamente los permisos necesarios para ejecutar AWS CloudHSM. Adjunte la política siguiente al grupo.

Puede agregar usuarios de IAM al grupo según sea necesario. Cada usuario que agregue heredará la política del grupo.

Crear una política administrada por el cliente

1. Inicie sesión en la consola de IAM con las credenciales de un administrador de AWS.

2. En el panel de navegación de la consola, elija Policies (Políticas).

3. Elija Create Policy.

4. Seleccione la pestaña JSON.

5. Copie la política siguiente en el editor.

{ "Version": "2012-10-17", "Statement": {

"Effect": "Allow", "Action": [ "cloudhsm:*",

"ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces",

"ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface",

"ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup",

"ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags",

"ec2:DescribeVpcs", "ec2:DescribeSubnets",

"iam:CreateServiceLinkedRole"

],

"Resource": "*"

} }

6. Elija Review policy.

7. En Name, ingrese CloudHsmAdminPolicy.

8. Escriba una descripción opcional.

9. Elija Create Policy.

Crear un grupo de administradores de AWS CloudHSM

1. Inicie sesión en la consola de IAM con las credenciales de un administrador de AWS.

2. En el panel de navegación de la consola, elija Groups (Grupos).

3. Elija Create New Group (Crear nuevo grupo).

4. En Group Name (Nombre de grupo), escriba CloudHsmAdministrator.

5. En Filter:, elija Customer Managed.

6. Seleccione CloudHsmAdminPolicy y elija Next Step (Paso siguiente).

(23)

Descripción de los roles vinculados a servicios

7. Elija Create Group.

La política anterior incluye acceso completo a la API de AWS CloudHSM y permisos adicionales para seleccionar acciones de Amazon Elastic Compute Cloud (Amazon EC2). Cuando usa la consola o la API de AWS CloudHSM AWS CloudHSM realiza acciones adicionales en su nombre para administrar determinados recursos de Amazon EC2. Esto sucede, por ejemplo, al crear y eliminar clústeres y HSM.

La política anterior también incluye la acción iam:CreateServiceLinkedRole. Debe incluir esta acción para permitir que AWS CloudHSM cree automáticamente el rol vinculado al servicio AWSServiceRoleForCloudHSM en su cuenta. Este rol permite que AWS CloudHSM registre eventos.

Consulte la sección siguiente para obtener más información acerca del rol vinculado al servicio AWSServiceRoleForCloudHSM.

Descripción de los roles vinculados a servicios

La política de IAM que ha creado anteriormente para Restringir los permisos de usuario a lo estrictamente necesario para AWS CloudHSM (p. 17) incluye la acción iam:CreateServiceLinkedRole. AWS CloudHSM define un rol vinculado al servicio denominado AWSServiceRoleForCloudHSM. El papel está predefinido por AWS CloudHSM e incluye los permisos que necesita AWS CloudHSM para llamar a otros servicios de AWS en su nombre. El rol facilita la configuración del servicio, ya que no es necesario agregar manualmente los permisos de las políticas de rol y de confianza.

La política de rol permite que AWS CloudHSM cree grupos de registro de Amazon CloudWatch Logs y flujos de registro, además de escribir eventos de registro en su nombre. Puede verlo a continuación y en la consola de IAM.

{ "Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Action": [

"logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams"

],

"Resource": [

"arn:aws:logs:*:*:*"

] } ] }

La política de confianza del rol AWSServiceRoleForCloudHSM permite que AWS CloudHSM asuma el rol.

{

"Version": "2012-10-17", "Statement": [

{

"Effect": "Allow", "Principal": {

"Service": "cloudhsm.amazonaws.com"

},

"Action": "sts:AssumeRole"

} ]

(24)

Lanzar un cliente

}

Creación de un rol vinculado a un servicio (automático)

AWS CloudHSM crea el rol AWSServiceRoleForCloudHSM al crear un clúster si incluye la acción iam:CreateServiceLinkedRole en los permisos definidos al crear el grupo de administradores de AWS CloudHSM. Consulte Restringir los permisos de usuario a lo estrictamente necesario para AWS CloudHSM (p. 17).

Si ya tiene uno o varios clústeres y solo desea agregar el rol AWSServiceRoleForCloudHSM, puede utilizar la consola, el comando create-cluster o la API CreateCluster para crear un clúster y, a continuación, usar la consola, el comando delete-cluster o la API DeleteCluster para eliminarlo. Al crear el nuevo clúster se crea el rol vinculado al servicio y lo aplica a todos los clústeres de su cuenta. También puede crear el rol manualmente. Consulte la siguiente sección para obtener más información.

Note

No es necesario que realice todos los pasos descritos en Introducción a AWS CloudHSM (p. 15) para crear un clúster si solo va a crearlo para agregar el rol AWSServiceRoleForCloudHSM.

Creación de un rol vinculado a un servicio (manual)

Puede utilizar la consola, la CLI o la API de IAM para crear el rol vinculado al servicio

AWSServiceRoleForCloudHSM. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición del rol vinculado a un servicio

AWS CloudHSM no le permite editar el rol vinculado al servicio AWSServiceRoleForCloudHSM. Después de que se cree el rol, por ejemplo, no podrá cambiar su nombre porque varias entidades pueden hacer referencia al rol por su nombre. Además, no puede cambiar la política de rol. Sin embargo, puede usar IAM para editar la descripción del rol. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminación del rol vinculado a servicio

No puede eliminar un rol vinculado a servicio si todavía existe un clúster al que se haya aplicado. Para eliminar el rol, primero debe eliminar cada HSM de su clúster y, a continuación, eliminar el clúster. Se debe eliminar cada clúster de su cuenta. A continuación, puede utilizar la consola, la CLI o la API de IAM para eliminar el rol. Para obtener más información acerca de la eliminación de un clúster, consulte Eliminación de un clúster de AWS CloudHSM (p. 39). Para obtener más información acerca de la eliminación de un rol, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Lanzar un cliente

Para interactuar con y administrar su clúster de AWS CloudHSM e instancias de HSM, debe poder comunicarse con las interfaces de red elásticas (ENI) de los HSM. La forma más sencilla de hacer esto es utilizar una instancia Amazon EC2 en la misma Amazon VPC que su clúster (ver a continuación). También puede utilizar los siguientes recursos de AWS para conectarse a su clúster.

• Interconexión de Amazon VPC

• AWS Direct Connect

• Conexiones de VPN

(25)

Lanzar un cliente EC2

La documentación de AWS CloudHSM normalmente supone que está utilizando una instancia Amazon EC2 en la misma Amazon Virtual Private Cloud (VPC) y zona de disponibilidad (AZ) en la que se crea el clúster. Para obtener más información acerca de la creación de un cliente Linux de Amazon EC2 si aún no dispone de uno, consulte Introducción a las instancias de Amazon EC2 Linux. Para obtener información acerca de la conexión a un cliente en ejecución, consulte los siguientes temas:

• Conexión a la instancia de Linux mediante SSH

• Conexión a la instancia Linux desde Windows utilizando PuTTY

Tenga en cuenta que puede utilizar su instancia Amazon EC2 para ejecutar todos los comandos de la AWS CLI incluidos en esta guía. También puede instalar el software de cliente de AWS CloudHSM en su instancia. Para obtener más información, consulte Instalación del cliente de CloudHSM (p. 33).

Crear una nube virtual privada (VPC)

Si aún no tiene una Amazon Virtual Private Cloud (VPC), créela ahora.

Para crear una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En la barra de navegación, utilice el selector de regiones para elegir una de las regiones de AWS donde se admite AWS CloudHSM actualmente.

3. Elija Start VPC Wizard.

4. Elija la primera opción, VPC with a Single Public Subnet (VPC con una única subred pública). A continuación, elija Select (Seleccionar).

5. En VPC name:, escriba un nombre identificable, como CloudHSM. En Subnet name:, escriba un nombre identificable, como Subred pública de CloudHSM. Deje el resto de opciones con sus valores predeterminados. A continuación, elija Create VPC. Una vez creada la VPC, elija Aceptar.

Crear una subred privada

Cree una subred privada (una subred que no tenga asociado un puerto de enlace a Internet) para cada zona de disponibilidad donde desee crear un HSM. La creación de una subred privada en cada zona de disponibilidad ofrece la configuración de alta disponibilidad más robusta.

Para crear las subredes privadas en la VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Subnets (Subredes) y, a continuación, elija Create Subnet (Crear subred).

3. En el cuadro de diálogo Create Subnet, haga lo siguiente:

a. En Name tag, escriba un nombre identificable, como Subred privada de CloudHSM.

b. Para VPC, elija la VPC que ha creado anteriormente.

c. En Availability Zone, elija la primera zona de disponibilidad de la lista.

d. En CIDR block, escriba el bloque de CIDR que se usará para la subred. Si ha usado los valores predeterminados para la VPC en el procedimiento anterior, escriba 10.0.1.0/28.

Elija Yes, Create.

(26)

Crear un clúster

4. Repita los pasos 2 y 3 para crear subredes para cada zona de disponibilidad restante de la región. En los bloques de CIDR de la subred, puede utilizar 10.0.2.0/28, 10.0.3.0/28, etc.

Crear un clúster

Un clúster es una colección de HSM individuales. El AWS CloudHSM sincronizará los HSM en cada clúster para que funcionen como una unidad lógica.

Important

Cuando crea un clúster, el AWS CloudHSM crea un rol vinculado al servicio denominado AWSServiceRoleForCloudHSM. Si el AWS CloudHSM no puede crear el rol, o el rol no existe, es posible que no pueda crear un clúster. Para obtener más información, consulte Solución de errores de creación de clústeres (p. 236). Para obtener más información acerca de los roles vinculados a servicios, consulte Descripción de los roles vinculados a servicios (p. 18).

Cuando crea un clúster, AWS CloudHSM crea un grupo de seguridad para el clúster en su nombre. Este grupo de seguridad controla el acceso de red a los HSM del clúster. Permite las conexiones entrantes solo desde las instancias Amazon Elastic Compute Cloud (Amazon EC2) que están en el grupo de seguridad.

De forma predeterminada, el grupo de seguridad no contiene instancias. Posteriormente, puede lanzar una instancia de cliente (p. 19) y agregarla a este grupo de seguridad.

Warning

El grupo de seguridad del clúster impide el acceso no autorizado a sus HSM. Cualquier usuario que puede obtener acceso a las instancias del grupo de seguridad también puede obtener acceso a sus HSM. La mayoría de las operaciones requieren que un usuario inicie sesión en el HSM, pero es posible poner a cero los HSM sin autenticación, lo que destruye el material de claves, los certificados y otros datos. Si sucede esto, los datos creados o modificados después del backup más reciente se pierden y no se pueden recuperar. Para evitarlo, asegúrese de que solo los administradores de confianza pueden obtener acceso a las instancias del grupo de seguridad del clúster o modificar el grupo de seguridad.

Puede crear un clúster a partir de la consola de AWS CloudHSM, la AWS Command Line Interface (AWS CLI) o la API de AWS CloudHSM.

Para crear un clúster (consola)

1. Open the AWS CloudHSM console at https://console.aws.amazon.com/cloudhsm/.

2. En la barra de navegación, utilice el selector de regiones para elegir una de las regiones de AWS donde se admite AWS CloudHSM actualmente.

3. Elija Create cluster.

4. En la sección Cluster configuration, haga lo siguiente:

a. En VPC, seleccione la VPC que ha creado.

b. En AZ(s) (Zonas de disponibilidad), junto a cada zona de disponibilidad, elija la subred privada que ha creado.

5. Elija Next: Review.

6. Revise la configuración del clúster y, a continuación, elija Create cluster (Crear clúster).

Para crear un clúster (AWS CLI)

• En el símbolo del sistema, ejecute el comando create-cluster. Especifique el tipo de instancia de HSM y los ID de subred de las subredes donde piensa crear los HSM. Utilice los ID de las subredes privadas que ha creado. Especifique solo una subred por zona de disponibilidad.

(27)

Crear un HSM

$ aws cloudhsmv2 create-cluster --hsm-type hsm1.medium --subnet-ids <subnet ID 1> <subnet ID 2> <subnet ID N>

{

"Cluster": {

"BackupPolicy": "DEFAULT", "VpcId": "vpc-50ae0636", "SubnetMapping": {

"us-west-2b": "subnet-49a1bc00", "us-west-2c": "subnet-6f950334", "us-west-2a": "subnet-fd54af9b"

},

"SecurityGroup": "sg-6cb2c216", "HsmType": "hsm1.medium", "Certificates": {},

"State": "CREATE_IN_PROGRESS", "Hsms": [],

"ClusterId": "cluster-igklspoyj5v", "CreateTimestamp": 1502423370.069 }

}

Para crear un clúster (API de AWS CloudHSM)

• Envíe una solicitud CreateCluster. Especifique el tipo de instancia de HSM y los ID de subred de las subredes donde piensa crear los HSM. Utilice los ID de las subredes privadas que ha creado.

Especifique solo una subred por zona de disponibilidad.

Si sus intentos de crear un clúster fallan, podría estar relacionado con problemas con roles vinculados a servicios de AWS CloudHSM. Para ayudar a resolver el error, consulte Solución de errores de creación de clústeres (p. 236).

Crear un HSM

Después de crear un clúster, puede crear un HSM. Sin embargo, para poder crear un HSM en su clúster, este debe encontrarse en el estado sin inicializar. Para determinar el estado del clúster, consulte la página de clústeres en la consola de AWS CloudHSM, utilice la AWS CLI para ejecutar el comando describeclusters o envíe una solicitud DescribeClusters en la API de AWS CloudHSM. Puede crear un HSM a partir de la consola de AWS CloudHSM la AWS CLI o la API de AWS CloudHSM.

Para crear un HSM (consola)

1. Open the AWS CloudHSM console at https://console.aws.amazon.com/cloudhsm/.

2. Elija Initialize junto al clúster que creó anteriormente.

3. Elija una zona de disponibilidad (AZ) para el HSM que está creando. A continuación, elija Create.

Para crear un HSM (AWS CLI)

• En el símbolo del sistema, ejecute el comando create-hsm. Especifique el ID del clúster que ha creado anteriormente y una zona de disponibilidad para el HSM. Especifique la zona de disponibilidad con el formato us-west-2a, us-west-2b, etc.

$ aws cloudhsmv2 create-hsm --cluster-id <cluster ID> --availability-zone <Availability Zone>

(28)

Verificar la identidad del HSM (opcional)

{ "Hsm": {

"HsmId": "hsm-ted36yp5b2x", "EniIp": "10.0.1.12",

"AvailabilityZone": "us-west-2a", "ClusterId": "cluster-igklspoyj5v", "EniId": "eni-5d7ade72",

"SubnetId": "subnet-fd54af9b", "State": "CREATE_IN_PROGRESS"

} }

Para crear un HSM (API de AWS CloudHSM)

• Envíe una solicitud CreateHsm. Especifique el ID del clúster que ha creado anteriormente y una zona de disponibilidad para el HSM.

Después de crear un clúster y un HSM, tiene la opción de verificar la identidad del HSM (p. 23), o continuar directamente en Inicializar el clúster (p. 29).

Verificar la identidad y la autenticidad del HSM de un clúster (opcional)

Para inicializar el clúster, debe firmar una solicitud de firma de certificado (CSR) generada por el primer HSM del clúster. Antes de hacerlo, es posible que desee verificar la identidad y la autenticidad del HSM.

Note

Este proceso es opcional. Sin embargo, funciona únicamente hasta que se inicializa un clúster.

Una vez que se inicializa el clúster, no puede utilizar este proceso para obtener los certificados o verificar los HSM.

Temas

• Información general (p. 23)

• Obtener los certificados del HSM (p. 25)

• Obtener los certificados raíz (p. 26)

• Verificar las cadenas de certificados (p. 27)

• Extraer y comparar las claves públicas (p. 28)

• Certificado raíz de AWS CloudHSM (p. 28)

Información general

Para verificar la identidad del primer HSM del clúster, siga los pasos que se describen a continuación:

1. Obtener los certificados y las CSR (p. 25): en este paso, recibirá tres certificados y una CSR desde el HSM. También obtendrá dos certificados raíz, uno de AWS CloudHSM y otro del fabricante de hardware del HSM.

2. Verificar las cadenas de certificados (p. 27): en este paso, creará dos cadenas de certificados, una para el certificado raíz de AWS CloudHSM y otra para el certificado raíz del fabricante. A continuación, verificará el certificado del HSM con estas cadenas de certificados para determinar que tanto AWS CloudHSM como el fabricante de hardware certifican la identidad y la autenticidad del HSM.

(29)

Información general

3. Comparar las claves públicas (p. 28): en este paso, extraerá y comparará las claves públicas del certificado del HSM y de la CSR del clúster, para asegurarse de que sean las mismas. Esto debería darle la seguridad de que la CSR fue generada por un HSM auténtico y de confianza.

En el siguiente diagrama se muestran la CSR, los certificados, y la relación que existe entre unos y otros.

En la lista que le sigue, se definen los distintos certificados.

Certificado raíz de AWS

Este es el certificado raíz de AWS CloudHSM. Puede ver y descargar este certificado en https://

docs.aws.amazon.com/cloudhsm/latest/userguide/root-certificate.html (p. 28).

Certificado raíz del fabricante

Este es el certificado raíz del fabricante del hardware. Puede ver y descargar este certificado en https://www.cavium.com/LS/TAmanuCert/.

Certificado de hardware de AWS

AWS CloudHSM creó este certificado cuando reclamó el hardware del HSM. Este certificado confirma que AWS CloudHSM es el propietario del hardware.

AWS CloudHSM. Guía del usuario

AWS CloudHSM

Guía del usuario

AWS CloudHSM: Guía del usuario

Table of Contents

¿Qué es AWS CloudHSM?

Casos de uso de AWS CloudHSM

Descargar el procesamiento de SSL/TLS en los servidores web

Proteger las claves privadas de una entidad de certificación (CA) de emisión

Activar el cifrado de datos transparente (TDE) para bases de datos de Oracle

Clústeres de AWS CloudHSM

Arquitectura de clúster

Sincronización de clúster

Alta disponibilidad y balanceo de carga de clúster

Backups de clúster de AWS CloudHSM

Información general de los backups

Seguridad de los backups

Durabilidad de los backups

Frecuencia de los backups

Herramientas y bibliotecas de software del cliente de AWS CloudHSM

Cliente de AWS CloudHSM

Cifrado integral del cliente de AWS CloudHSM

Herramientas de línea de comandos de AWS CloudHSM

Bibliotecas de software de AWS CloudHSM

Usuarios de HSM

Responsable de criptografía previa (PRECO)

Responsable de criptografía (CO, PCO)

Usuario de criptografía (CU)

Usuario de dispositivo (AU)

Tabla de permisos de usuario de HSM

Conformidad

Precios

Regiones

Límites de AWS CloudHSM

Introducción a AWS CloudHSM

Crear grupos administrativos de IAM

Crear un grupo de usuarios y de administradores de IAM

Restringir los permisos de usuario a lo estrictamente necesario para AWS CloudHSM

Descripción de los roles vinculados a servicios

Creación de un rol vinculado a un servicio (automático)

Creación de un rol vinculado a un servicio (manual)

Edición del rol vinculado a un servicio

Eliminación del rol vinculado a servicio

Lanzar un cliente

Lanzar un cliente EC2

Crear una nube virtual privada (VPC)

Crear una subred privada

Crear un clúster

Crear un HSM

Verificar la identidad y la autenticidad del HSM de un clúster (opcional)

Información general