AWS 云 HSM 和 KMS 之间有什么区别?
What are the differences between AWS Cloud HSM and KMS?
我正在尝试了解 AWS(亚马逊网络服务)中的密钥管理服务,我可以看到亚马逊推荐更多 AWS 密钥管理服务(KMS)而不是云硬件安全模块(云 HSM)。但我很难找到两者之间的主要区别,KMS 与 Cloud-HSM。
有人可以列出这两种技术的一些主要区别或比较吗?
开发人员将 AWS CloudHSM 描述为“AWS 云中的专用硬件安全模块 (HSM) 设备”。 AWS CloudHSM 服务允许您在按照政府安全密钥管理标准设计和验证的 HSM 中保护您的加密密钥。您可以安全地生成、存储和管理用于数据加密的加密密钥,以便它们只能由您访问。 AWS CloudHSM 可帮助您在不牺牲应用程序性能的情况下遵守严格的密钥管理要求。
另一方面,AWS Key Management Service 被详细描述为“轻松创建和控制用于加密数据的加密密钥”。
AWS Key Management Service (KMS) 是一项托管服务,可让您轻松创建和控制用于加密数据的加密密钥,并使用硬件安全模块 (HSM) 来保护密钥的安全。 AWS Key Management Service 与其他 AWS 服务集成,包括 Amazon EBS、Amazon S3 和 Amazon Redshift。 AWS Key Management Service 还与 AWS CloudTrail 集成,为您提供所有密钥使用的日志,以帮助满足您的监管和合规性需求。
AWS CloudHSM 和 AWS Key Management Service 可以归类为“数据安全服务”工具。
AWS CloudHSM 提供的一些功能是:
1]使用行业标准的防篡改 HSM 设备保护和存储您的加密密钥。除了您之外,没有人可以访问您的密钥(包括管理和维护设备的亚马逊管理员)。
2]在 Amazon EC2 上使用您最敏感和受监管的数据,而不让应用程序直接访问您的数据的加密密钥。
3]从需要高度可用且持久的密钥存储和加密操作的应用程序可靠地存储和访问数据。
另一方面,AWS Key Management Service 提供以下主要功能:
1]集中式密钥管理
2]与 AWS 服务集成
3]为您的所有应用程序加密
Feature
AWS Cloud HSM
AWS KMS
Tenancy
Single-Tenant
Multi-Tenant
High Availability: How to achieve?
Create multiple HSMs (manually) over different AZs
Managed (automatically) by AWS
Scaling/Performance Responsibility
Your responsibility
AWS
Key access: Who controls it?
You
You+AWS
Keys: How to use?
Customer code + Safenet APIs
AWS Management Console
Keys: Where to use?
AWS & Your Network (VPN)
AWS
AWS Services Integration
A small set of services
(Redshift, Oracle RDS etc.)
Most services fully integrated
Access & Authentication Policy
Quorom based K of N
AWS IAM Policy
Price
$$
$
FIPS 140-2 Compliance
Level 3
Level 2 overall
(Level 3 in some areas)
来源:AWS官方文档+我参加AWS考试的多门课程+实战经验。
The AWS KMS custom key store feature combines the controls provided by AWS CloudHSM with the integration and ease of use of AWS KMS
Q: Why would I need to use a custom key store?
Since you control your AWS CloudHSM cluster, you have the option to manage the lifecycle of your CMKs independently of AWS KMS
从官方文档看,KMS好像是基础特性,用CloudHSM扩展可以得到高级特性。
我正在尝试了解 AWS(亚马逊网络服务)中的密钥管理服务,我可以看到亚马逊推荐更多 AWS 密钥管理服务(KMS)而不是云硬件安全模块(云 HSM)。但我很难找到两者之间的主要区别,KMS 与 Cloud-HSM。
有人可以列出这两种技术的一些主要区别或比较吗?
开发人员将 AWS CloudHSM 描述为“AWS 云中的专用硬件安全模块 (HSM) 设备”。 AWS CloudHSM 服务允许您在按照政府安全密钥管理标准设计和验证的 HSM 中保护您的加密密钥。您可以安全地生成、存储和管理用于数据加密的加密密钥,以便它们只能由您访问。 AWS CloudHSM 可帮助您在不牺牲应用程序性能的情况下遵守严格的密钥管理要求。
另一方面,AWS Key Management Service 被详细描述为“轻松创建和控制用于加密数据的加密密钥”。 AWS Key Management Service (KMS) 是一项托管服务,可让您轻松创建和控制用于加密数据的加密密钥,并使用硬件安全模块 (HSM) 来保护密钥的安全。 AWS Key Management Service 与其他 AWS 服务集成,包括 Amazon EBS、Amazon S3 和 Amazon Redshift。 AWS Key Management Service 还与 AWS CloudTrail 集成,为您提供所有密钥使用的日志,以帮助满足您的监管和合规性需求。
AWS CloudHSM 和 AWS Key Management Service 可以归类为“数据安全服务”工具。
AWS CloudHSM 提供的一些功能是:
1]使用行业标准的防篡改 HSM 设备保护和存储您的加密密钥。除了您之外,没有人可以访问您的密钥(包括管理和维护设备的亚马逊管理员)。
2]在 Amazon EC2 上使用您最敏感和受监管的数据,而不让应用程序直接访问您的数据的加密密钥。
3]从需要高度可用且持久的密钥存储和加密操作的应用程序可靠地存储和访问数据。
另一方面,AWS Key Management Service 提供以下主要功能:
1]集中式密钥管理
2]与 AWS 服务集成
3]为您的所有应用程序加密
| Feature | AWS Cloud HSM | AWS KMS |
|---|---|---|
| Tenancy | Single-Tenant | Multi-Tenant |
| High Availability: How to achieve? | Create multiple HSMs (manually) over different AZs | Managed (automatically) by AWS |
| Scaling/Performance Responsibility | Your responsibility | AWS |
| Key access: Who controls it? | You | You+AWS |
| Keys: How to use? | Customer code + Safenet APIs | AWS Management Console |
| Keys: Where to use? | AWS & Your Network (VPN) | AWS |
| AWS Services Integration | A small set of services (Redshift, Oracle RDS etc.) |
Most services fully integrated |
| Access & Authentication Policy | Quorom based K of N | AWS IAM Policy |
| Price | $$ | $ |
| FIPS 140-2 Compliance | Level 3 | Level 2 overall (Level 3 in some areas) |
来源:AWS官方文档+我参加AWS考试的多门课程+实战经验。
The AWS KMS custom key store feature combines the controls provided by AWS CloudHSM with the integration and ease of use of AWS KMS
Q: Why would I need to use a custom key store? Since you control your AWS CloudHSM cluster, you have the option to manage the lifecycle of your CMKs independently of AWS KMS
从官方文档看,KMS好像是基础特性,用CloudHSM扩展可以得到高级特性。