Claves personalizadas en Amazon AWS
Se ha presentado recientemente una nueva funcionalidad de almacenamiento de claves personalizadas de AWS Key Management Service (KMS).
AWS Key Management Service (KMS) se ha integrado con AWS CloudHSM, de modo que ahora tendrás la opción de crear tu propio almacenamiento de claves personalizadas de KMS.
Cada almacenamiento de claves personalizadas es respaldado por un clúster de AWS CloudHSM y te permite generar, almacenar y utilizar tus claves de KMS en módulos de seguridad de hardware (HSM) que puede controlar. El almacenamiento de claves personalizadas de KMS ayuda a satisfacer las obligaciones de cumplimiento que, de otro modo, requerirían el uso de HSM locales y admite servicios de AWS y conjuntos de herramientas de cifrado que están integrados con KMS.
Con esta nueva función, puedes generar las claves principales de clientes (CMKs) del KMS de AWS y almacenarlas en un almacenamiento de claves personalizadas en lugar de hacerlo en el almacenamiento de claves del KMS predeterminado.
Cada almacenamiento de claves personalizadas del KMS se crea utilizando instancias de HSM en un clúster de AWS CloudHSM que puedes comprar y administrar independientemente del KMS.
Cuando utilizas una CMK del KMS en un almacenamiento de claves personalizadas, las operaciones criptográficas bajo esa clave se realizan exclusivamente en su clúster de CloudHSM. Las claves principales que se almacenan en un almacenamiento de claves personalizadas se administran de la misma manera que cualquier otra clave principal en el KMS y las puede utilizar cualquier servicio de AWS que cifre datos y admita CMK administradas por el cliente del KMS.
La utilización de un almacenamiento de claves personalizadas no afecta los cargos de KMS por almacenar y usar una CMK. Sin embargo, un almacenamiento de claves personalizadas sí implica el costo adicional que supone mantener un clúster de CloudHSM con al menos dos HSM.
Source: amazon.com