本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudHSM 運作方式
<a name="whatis-concepts"></a>

本主題概述您用來安全地加密資料並在 HSMs中執行密碼編譯操作的基本概念和架構。在您自己的 Amazon Virtual Private Cloud (VPC) 中 AWS CloudHSM 操作 。您必須先 AWS CloudHSM建立叢集、新增 HSMs、建立使用者和金鑰，然後使用用戶端 SDKs 將 HSMs 與您的應用程式整合，才能使用 。完成後，您可以使用用戶端 SDK 日誌 AWS CloudTrail、稽核日誌和 Amazon CloudWatch 進行[監控 AWS CloudHSM](get-logs.md)。

了解 AWS CloudHSM基本概念及其如何協同運作，以協助保護您的資料。

**Topics**
+ [AWS CloudHSM 叢集](clusters.md)
+ [中的使用者 AWS CloudHSM](hsm-users.md)
+ [中的金鑰 AWS CloudHSM](whatis-hsm-keys.md)
+ [適用於 SDKs AWS CloudHSM](client-tools-and-libraries.md)
+ [AWS CloudHSM 叢集備份](backups.md)
+ [支援的 區域 AWS CloudHSM](regions.md)

# AWS CloudHSM 叢集
<a name="clusters"></a>

讓個別 HSMs 以同步、備援和高可用性的方式一起運作可能很困難，但透過在*叢集*中提供硬體安全模組 (HSMs) 來 AWS CloudHSM 為您處理繁重的工作。叢集是 AWS CloudHSM 保持同步的個別 HSMs 集合。當您在叢集的一個 HSM 上執行任務或操作時，該叢集的其他 HSM 會自動保持在最新狀態。

AWS CloudHSM 以兩種模式提供叢集：*FIPS* *和非 FIPS*。在 FIPS 模式中，只能使用經聯邦資訊處理標準 (FIPS) 驗證的金鑰和演算法。非 FIPS 模式提供 支援的所有金鑰和演算法 AWS CloudHSM，無論 FIPS 核准為何。 AWS CloudHSM 也提供兩種 HSMs 類型：*hsm1.medium* 和 *hsm2m.medium*。如需每個 HSM 類型與叢集模式間差異的詳細資訊，請參閱 [AWS CloudHSM 叢集模式](cluster-hsm-types.md)。*hsm1.medium* HSM 類型即將終止支援，因此無法使用此類型建立新叢集。如需詳細資訊，請參閱[棄用通知](compliance-dep-notif.md#hsm-dep-1)以取得詳細資訊。

為了滿足可用性、耐久性和可擴展性目標，您可以在多個可用區域中設定叢集中的 HSM 數量。您可以建立具有 1 到 28 個 HSMs叢集 ([預設限制](limits.md)為每個[AWS 區域](https://docs.aws.amazon.com/cloudhsm/latest/userguide/regions.html)每個 AWS 帳戶 6 個 HSMs)。您可以在 AWS 區域中的不同[可用區域中](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.az.en.html)放置 HSMs。將更多 HSM 新增到叢集可提高效能。將叢集分散於可用區域可提供備援和高可用性。

如需叢集的詳細資訊，請參閱 [中的叢集 AWS CloudHSM](manage-clusters.md)。

若要建立叢集，請參閱[開始使用](getting-started.md)。

# 中的使用者 AWS CloudHSM
<a name="hsm-users"></a>

與大多數 AWS 服務和資源不同，您不會使用 AWS Identity and Access Management (IAM) 使用者或 IAM 政策來存取 AWS CloudHSM 叢集中的資源。反之，您可以直接在 AWS CloudHSM 叢集的 *HSM 上使用 HSM 使用者*。 HSMs 

HSM 使用者與 IAM 使用者不同。擁有正確憑證的 IAM 使用者可利用 AWS API 與資源進行互動來建立 HSM。由於 AWS 看不到 E2E 加密，因此您必須使用 HSM 使用者憑證來驗證 HSM 上的操作，因為憑證會直接在 HSM 上進行。HSM 會透過您定義和管理的憑證來驗證每個 HSM 使用者。每個 HSM 使用者都有*類型*，可決定使用者在 HSM 上執行的操作。每個 HSM 都會透過您使用 [CloudHSM CLI](cloudhsm_cli.md) 定義的憑證來驗證每個 HSM 使用者。

如果您使用的是[舊版 SDK 系列](choose-client-sdk.md)，則將使用 [CloudHSM 管理公用程式 (CMU)](cloudhsm_mgmt_util.md)。

# 中的金鑰 AWS CloudHSM
<a name="whatis-hsm-keys"></a>

AWS CloudHSM 可讓您在 AWS CloudHSM 叢集中的單一租用戶 HSMs中安全地產生、存放和管理加密金鑰。金鑰可以是對稱或非對稱、可以是單一工作階段的工作階段金鑰 （暫時性金鑰）、長期使用的權杖金鑰 （持久性金鑰），而且可以從 AWS CloudHSM 金鑰匯出並匯入金鑰，也可以用來完成常見的密碼編譯任務和函數：
+ 使用對稱和非對稱加密演算法執行加密資料簽署和簽章驗證。
+ 使用雜湊函數來計算訊息摘要和雜湊訊息驗證碼 (HMAC)。
+ 包裝並保護其他金鑰。
+ 訪問以密碼編譯方式保護的隨機資料。

叢集可以擁有的最大金鑰取決於叢集中的 HSMs 類型。例如，hsm2m.medium 會儲存比 hsm1，medium 更多的金鑰。如需比較，請參閱 [AWS CloudHSM 配額](limits.md)。

此外， AWS CloudHSM 遵循幾個關鍵用量和管理的基本原則：

**許多金鑰類型和演算法可供選擇**  
為了讓您自訂自己的解決方案， AWS CloudHSM 提供許多金鑰類型和演算法，從演算法中選擇支援各種金鑰大小。如需詳細資訊，請參閱每個 [使用 AWS CloudHSM 用戶端 SDKs卸載操作](use-hsm.md) 的屬性和機制頁面。

**如何管理金鑰**  
AWS CloudHSM 金鑰是透過 SDKs和命令列工具進行管理。如需如何使用這些工具管理金鑰的詳細資訊，請參閱 [中的金鑰 AWS CloudHSM](manage-keys.md) 和 [的最佳實務 AWS CloudHSM](best-practices.md)。

**誰擁有金鑰**  
在 中 AWS CloudHSM，建立金鑰的加密使用者 (CU) 擁有金鑰。擁有者可以使用 **key share** 和 **key unshare** 命令來與其他 CU 共用和取消共用金鑰。如需詳細資訊，請參閱[使用 CloudHSM CLI 共用和取消共用金鑰](manage-keys-cloudhsm-cli-share.md)。

**存取和使用可以通過基於屬性的加密來控制**  
AWS CloudHSM 可讓您使用屬性型加密，這是一種加密形式，可讓您使用金鑰屬性來控制誰可以根據政策解密資料。

# 適用於 SDKs AWS CloudHSM
<a name="client-tools-and-libraries"></a>

使用 時 AWS CloudHSM，您可以使用[AWS CloudHSM 用戶端軟體開發套件 (SDKs](use-hsm.md)執行密碼編譯操作。 AWS CloudHSM 用戶端 SDKs包括：
+ 公有金鑰密碼編譯標準 \$111 (PKCS \$111)
+ JCE 提供者
+ OpenSSL 動態引擎
+ Microsoft Windows 的金鑰儲存提供者 (KSP)

您可以在 AWS CloudHSM 叢集中使用這些 SDKS 的任何或所有。撰寫您的應用程式碼，以使用這些 SDK 在 HSM 中執行密碼編譯作業。若要查看哪些平台和 HSM 類型支援每個 SDK，請參閱 [AWS CloudHSM 用戶端 SDK 5 支援的平台](client-supported-platforms.md)

公用程式和命令列工具不僅需要使用 SDK，還需要設定應用程式的憑證、政策和設定。如需詳細資訊，請參閱 [AWS CloudHSM 命令列工具](command-line-tools.md)。

 如需關於安裝和使用客戶端 SDK 或用戶端連線安全性的詳細資訊，請參閱 [用戶端 SDK](use-hsm.md) 和 [端對端加密](client-end-to-end-encryption.md)。

# AWS CloudHSM 叢集備份
<a name="backups"></a>

AWS CloudHSM 會定期備份叢集中的使用者、金鑰和政策。備份既安全又耐用，並按可預測的排程進行更新。下圖顯示備份與叢集的關係。

![\[AWS CloudHSM 在服務控制的 Amazon S3 儲存貯體中加密的 叢集備份。\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/cluster-backup.png)


如需使用備份的詳細資訊，請參閱 [叢集備份](manage-backups.md)。

**安全性**  
當 從 HSM AWS CloudHSM 進行備份時，HSM 會先加密其所有資料，再將其傳送至 AWS CloudHSM。資料永遠不會以純文字格式離開 HSM。此外， 備份無法由 解密， AWS 因為 AWS 無法存取用來解密備份的金鑰。如需詳細資訊，請參閱[叢集備份的安全性](data-protection-backup-security.md)

**耐久性**  
AWS CloudHSM 會將備份存放在服務控制的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中，與叢集位於相同區域。備份具有 99.999999999% 的耐久性層級，與存放在 Amazon S3 中的任何物件相同。

# 支援的 區域 AWS CloudHSM
<a name="regions"></a>

如需 支援區域的資訊 AWS CloudHSM，請參閱 中的[AWS CloudHSM 區域和端點](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)*AWS 一般參考*，或[區域資料表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

AWS CloudHSM 可能無法在指定區域中的所有可用區域中使用。不過，這不應影響效能，因為 AWS CloudHSM 會自動平衡叢集中所有 HSMs負載。

與大多數 AWS 資源一樣，叢集和 HSMs是區域資源。您不能跨區域重複使用或擴展叢集。您必須執行[入門 AWS CloudHSM](getting-started.md)中列出的所有必要步驟，才能在新區域中建立叢集。

基於災難復原目的， AWS CloudHSM 可讓您將 AWS CloudHSM 叢集備份從一個區域複製到另一個區域。如需詳細資訊，請參閱[AWS CloudHSM 叢集備份](backups.md)。