Вопросы и ответы AWS CloudHSM

Вопрос: Что такое AWS CloudHSM?

Сервис AWS CloudHSM позволяет обеспечить соответствие корпоративным, договорным и нормативным требованиям по безопасности данных с помощью выделенных инстансов аппаратных модулей безопасности (HSM) в облаке AWS. AWS и партнеры Торговой площадки AWS предлагают множество разнообразных решений для защиты конфиденциальной информации в рамках платформы AWS. Однако для некоторых приложений и данных, на которые распространяются требования договоров или нормативных актов по управлению криптографическими ключами, иногда требуется дополнительная защита. Сервис AWS CloudHSM дополняет существующие решения, обеспечивающие безопасность данных, и позволяет защитить ключи шифрования с помощью модулей HSM, которые были разработаны и проверены в соответствии с государственными стандартами управления ключами безопасности. Сервис AWS CloudHSM позволяет надежно генерировать и хранить криптографические ключи, используемые для шифрования данных, а также управлять ими таким образом, чтобы эти ключи были доступны только вам.

Вопрос. Что такое аппаратный модуль безопасности (HSM)?

Аппаратный модуль безопасности (HSM) обеспечивает безопасное хранение ключей и выполнение криптографических операций с помощью устойчивого к взлому аппаратного средства. Модули HSM разработаны для надежного хранения данных криптографических ключей и их использования без раскрытия ключей за пределами криптографического аппаратного модуля.

Вопрос. Какие задачи позволяет решить AWS CloudHSM?

Сервис AWS CloudHSM применяется в различных сферах, таких как шифрование баз данных, управление цифровыми правами (DRM), инфраструктура открытых ключей (PKI), аутентификация и авторизация, подпись документов и обработка транзакций. Дополнительную информацию см. в разделе с описанием примеров использования AWS CloudHSM.  

Вопрос. Как работает CloudHSM?

При использовании сервиса AWS CloudHSM прежде всего создается кластер CloudHSM. Кластеры могут содержать множество модулей HSM из разных зон доступности в регионе. Для модулей HSM в кластере автоматически выполняется синхронизация и балансировка нагрузки. Вы получаете выделенный однопользовательский доступ к каждому модулю HSM в кластере, и каждый модуль HSM отображается как сетевой ресурс в вашем виртуальном частном облаке (VPC) Amazon. Добавление модулей HSM в кластер и их удаление выполняется одним вызовом API AWS CloudHSM (или одной командой в интерфейсе командной строки AWS). После создания и инициализации кластера CloudHSM можно настроить в своем инстансе EC2 клиент, позволяющий приложениям использовать кластер через безопасное аутентифицированное сетевое соединение. Сервис AWS CloudHSM обеспечивает автоматический мониторинг работоспособности модулей HSM, при этом сотрудники AWS не имеют доступа к вашим ключам или данным. Для отправки криптографических запросов модулю HSM приложения используют стандартные криптографические API в сочетании с клиентским программным обеспечением HSM, установленным на инстансе приложения. Клиентское ПО обеспечивает защищенный канал связи со всеми модулями HSM в кластере и отправляет запросы по этому каналу, а модули HSM выполняют операции и возвращают результаты по тому же защищенному каналу. После этого клиентское ПО возвращает результат в приложение посредством криптографического API.

Вопрос: В настоящее время у меня нет VPC. Можно ли при этом использовать AWS CloudHSM?

Нет. Для защиты и изоляции кластера от других пользователей Amazon необходимо выделять модули AWS CloudHSM в рамках VPC Amazon. Создать VPC очень просто. Подробнее см. в Руководстве по началу работы с VPC.

Вопрос: Обязательно ли приложение должно находиться в том же облаке VPC, что и кластер CloudHSM?

Нет, но сервер или инстанс, на котором запущены приложение и клиент HSM, должен иметь сетевой (IP) доступ ко всем модулям HSM в кластере. Сетевое подключение между приложением и модулями HSM можно установить различными способами, включая запуск приложения в том же облаке VPC, использование пирингового подключения VPC, VPN‑подключения или сервиса Direct Connect. Подробности см. в руководстве по пиринговому подключению VPC и руководстве пользователя VPC.

Вопрос. Работает ли AWS CloudHSM с локальными HSM‑модулями?

Да. Хотя AWS CloudHSM не взаимодействует напрямую с локальными HSM-модулями, вы можете безопасно передавать экспортируемые ключи между AWS CloudHSM и большинством коммерческих HSM-модулей, используя один из нескольких поддерживаемых методов переноса ключей RSA.  

Вопрос. Как приложение может использовать AWS CloudHSM?

Мы интегрировали и протестировали AWS CloudHSM с рядом сторонних программных решений, таких как Oracle Database 19c, а также с веб‑серверами, включая Apache и Nginx, для выполнения задач по разгрузке SSL и настройки Windows Server в качестве центра сертификации. Дополнительную информацию см. в руководстве пользователя AWS CloudHSM.

Если вы разрабатываете собственное пользовательское приложение, в нем можно использовать стандартные API, поддерживаемые AWS CloudHSM, включая PKCS#11, Java JCE (криптографические расширения Java), OpenSSL Dynamic Engine или Microsoft KSP/CNG. Примеры кода и инструкции по началу работы см. в руководстве пользователя AWS CloudHSM. Вопрос. Можно ли использовать AWS CloudHSM для хранения ключей или шифрования данных, используемых другими сервисами AWS?

Да. Можно выполнять шифрование в собственном приложении, интегрированном с AWS CloudHSM. В этом случае сервисам AWS, такие как Amazon S3 и Магазин эластичных блоков (EBS) Amazon, будут отображаться только зашифрованные данные.

Вопрос. Могут ли другие сервисы AWS использовать AWS CloudHSM для хранения ключей и управления ими?

Сервисы AWS интегрированы с Сервисом управления ключами AWS (AWS KMS), который, в свою очередь, интегрирован с AWS CloudHSM через возможность собственного хранилища ключей KMS. Чтобы использовать шифрование на стороне сервера, предлагаемое многими сервисами AWS (такими как EBS, S3 или Amazon RDS), можно настроить собственное хранилище ключей в AWS KMS.

Вопрос. Можно ли использовать AWS CloudHSM для трансляции PIN‑блока или выполнения других криптографических операций при дебетовых платежных транзакциях?

В настоящее время AWS CloudHSM предоставляет модули HSM общего назначения. AWS Payment Cryptography (APC) обеспечивает криптографические операции в облачных платежных приложениях. Со временем мы можем добавить платежные функции. Сообщите нам, если вас интересует такая возможность.

Вопрос. Как начать работу с AWS CloudHSM?

Кластер CloudHSM можно выделить в консоли AWS CloudHSM или с помощью нескольких вызовов API через SDK или API AWS. Дополнительную информацию о том, как начать, см. в руководстве пользователя AWS CloudHSM. Информацию об API AWS CloudHSM см. на странице документации AWS CloudHSM.

Вопрос. Как прекратить использование сервиса AWS CloudHSM?

Вы можете воспользоваться API, консолью или SDK сервиса AWS CloudHSM для удаления модулей HSM и прекращения использования сервиса. Подробности см. в руководстве пользователя AWS CloudHSM.

Вопрос. Каков принцип оплаты сервиса AWS CloudHSM?

За использование сервиса взимается почасовая плата за каждый полный или неполный час, в течение которых модуль HSM был выделен кластеру AWS CloudHSM. За кластеры, в которых нет модулей HSM, плата не начисляется. Автоматическое хранение зашифрованных резервных копий выполняется бесплатно. Дополнительную информацию см. на странице цен AWS CloudHSM. Обратите внимание на то, что передача данных по сети на модули HSM и в обратном направлении оплачивается отдельно. Подробнее см. в разделе цен на передачу данных сервиса EC2.

Вопрос. Доступен ли для сервиса CloudHSM уровень бесплатного пользования?

Нет, уровень бесплатного пользования для AWS CloudHSM не предусмотрен.

Вопрос. Различаются ли цены в зависимости от количества пользователей или ключей, созданных на модуле HSM?

Нет, почасовая оплата различается по регионам. Она не зависит от объема использования модуля HSM.

Вопрос. Можно ли приобрести зарезервированные инстансы для AWS CloudHSM?

Нет. Мы не реализуем зарезервированные инстансы для AWS CloudHSM.

Вопрос. Применяются ли обязательные условия для использования AWS CloudHSM?

Да. Чтобы начать использовать сервис CloudHSM, необходимо выполнить несколько предварительных требований, включая создание виртуального частного облака (VPC) в том регионе, где предполагается использовать сервис AWS CloudHSM. Подробности см. в руководстве пользователя AWS CloudHSM.

Вопрос. Требуется ли управлять встроенным ПО на модуле HSM?

Нет. AWS управляет встроенным ПО на аппаратных ресурсах. Такое ПО поддерживается сторонним производителем, и каждая версия должна быть оценена NIST на соответствие требованиям стандарта FIPS 140‑2 Level 3. К установке допускаются только версии встроенного ПО, криптографически подписанные ключом FIPS, к которому AWS не имеет доступа.

Вопрос: Сколько модулей HSM должно быть в кластере CloudHSM?

AWS настоятельно рекомендует для любой рабочей нагрузки использовать как минимум два модуля HSM в двух разных зонах доступности. Для критически важных рабочих нагрузок мы рекомендуем использовать как минимум три модуля HSM по меньшей мере в двух отдельных зонах доступности. Клиент CloudHSM автоматически обрабатывает любые сбои модулей HSM и незаметно для приложения балансирует нагрузку между двумя или более модулями HSM.

Вопрос. Кто отвечает за надежность ключей?

AWS ежедневно создает автоматические зашифрованные резервные копии кластера CloudHSM. Дополнительные резервные копии создаются при наступлении событий жизненного цикла кластера (таких как добавление или удаление модулей HSM). В течение 24‑часового интервала между резервными копиями клиент несет единоличную ответственность за сохранность данных ключей, созданных в его кластере или импортированных в него. Для обеспечения сохранности ключей настоятельно рекомендуется синхронизировать все созданные ключи по меньшей мере на двух модулях HSM в двух разных зонах доступности. Дополнительную информацию о проверке синхронизации ключей см. в руководстве пользователя AWS CloudHSM.

Вопрос. Как настроить конфигурацию высокой доступности?

Высокая доступность предоставляется автоматически при наличии как минимум двух модулей HSM в двух зонах доступности в кластере CloudHSM. Никакой дополнительной настройки не требуется. В случае сбоя модуля HSM в кластере он заменяется автоматически, а все клиенты обновляются для отражения новой конфигурации без прерывания обработки данных. Дополнительные модули HSM необходимо добавить в кластер с помощью API или SDK AWS. Это позволяет повысить доступность без прерывания работы приложения.

Вопрос. Сколько модулей HSM может быть в кластере CloudHSM?

Согласно лимитам сервисов кластер CloudHSM может содержать до 28 модулей HSM. Дополнительную информацию о лимитах сервисов и запросе их увеличения см. в онлайн-документации.

Вопрос. Можно ли создавать резервные копии содержимого кластера CloudHSM?

Резервные копии кластеров CloudHSM создаются AWS ежедневно. Ключи также можно экспортировать из кластера и сохранить локально, если только они не были сгенерированы без возможности экспортирования.

Вопрос. Применяется ли к AWS CloudHSM Соглашение об уровне обслуживания (SLA)?

Да. Чтобы ознакомиться с Соглашением об уровне обслуживания (SLA) для AWS CloudHSM, перейдите по ссылке.

Вопрос. Предоставляю ли я доступ к своим ресурсам AWS CloudHSM другим клиентам AWS?

Нет. В рамках сервиса клиенту предоставляется однопользовательский доступ к модулям HSM. Базовое аппаратное обеспечение может использоваться совместно с другими клиентами, но модуль HSM доступен только вам.

Вопрос. Каким образом AWS управляет модулями HSM без доступа к ключам шифрования пользователей?

В архитектуре сервиса AWS CloudHSM предусмотрены разделение обязанностей и контроль доступа на основе ролей. AWS имеет ограниченный доступ к модулям HSM. Это позволяет контролировать и поддерживать работоспособность и доступность модулей, делать зашифрованные резервные копии, а также извлекать и публиковать журналы аудита в CloudWatch Logs. Сотрудники AWS не имеют доступа к вашим ключам или данным в кластере CloudHSM и не могут выполнить неразрешенные пользователем HSM операции.

Дополнительную информацию о разделении обязанностей и о возможностях модулей HSM, предоставляемых каждой категории пользователей, см. в руководстве пользователя AWS CloudHSM.

Вопрос. Можно ли выполнять мониторинг собственных модулей HSM?

Да. Сервис AWS CloudHSM публикует множество метрик Amazon CloudWatch для кластеров CloudHSM и для отдельных модулей HSM. Можно использовать консоль, API или SDK сервиса Amazon CloudWatch для получения этих метрик и генерации предупреждений на их основе.

Вопрос. Какой «источник энтропии» (генератор случайных чисел) используется в AWS CloudHSM?

Каждый модуль HSM имеет сертифицированный FIPS детерминированный генератор случайных чисел (DRBG), начальные числа для которого выдает истинный генератор случайных чисел (TRNG), соответствующий требованиям SP800‑90B и размещенный в аппаратном модуле HSM.

Вопрос. Что произойдет при взломе аппаратного модуля HSM?

Сервис AWS CloudHSM имеет как физические, так и логические механизмы обнаружения вторжения и реагирования на него, которые инициируют удаление ключа (обнуление) аппаратного устройства. Аппаратное устройство способно обнаруживать вторжение в случае нарушения его физической защиты. Модули HSM также защищены от атак путем перебора паролей. После определенного количества неудачных попыток доступа к модулю HSM с использованием данных мандатов администратора или специалиста по шифрованию модуль HSM автоматически выполняет блокировку этого сотрудника. После определенного количества неудачных попыток доступа к модулю HSM с мандатами криптопользователя (CU) этот пользователь будет заблокирован, и разблокировать его сможет только специалист по шифрованию или администратор.

Вопрос. Что произойдет в случае сбоя?

Amazon выполняет мониторинг модулей HSM и сети на доступность и наличие условий возникновения ошибок, а также проводит их техническое обслуживание. Если модуль HSM выходит из строя или отключается от сети, он автоматически заменяется. Проверить состояние отдельного модуля HSM можно с помощью API сервиса AWS CloudHSM, SDK или инструментов интерфейса командной строки. Кроме того, с помощью панели состояния сервисов AWS можно в любое время проверить общее состояние сервиса.

Вопрос. Возможна ли потеря ключей пользователя при выходе из строя одного модуля HSM?

Если в вашем кластере AWS CloudHSM подключен только один модуль, вы можете потерять ключи, созданные во время последнего ежедневного резервного копирования. Рекомендуем использовать кластеры AWS CloudHSM не менее чем с двумя модулями HSM в разных зонах доступности. Так вы не потеряете ключи при сбое одного из модулей HSM. Дополнительную информацию см. в разделе рекомендаций.

Вопрос: Может ли Amazon восстановить ключи пользователя в случае потери данных для доступа к HSM‑модулю?

Нет. У Amazon нет доступа к ключам и мандатам пользователей, поэтому в случае потери данных для доступа восстановить ключи невозможно.

Вопрос. Как убедиться в надежности AWS CloudHSM?

Для AWS CloudHSM используется оборудование, проверенное на соответствие Федеральному стандарту обработки информации (FIPS) 140‑2 Level 3. Информацию о профиле безопасности FIPS 140‑2 для оборудования, используемого сервисом CloudHSM, и соответствующего встроенного ПО можно найти на странице соответствия требованиям.

Вопрос. Поддерживает ли AWS CloudHSM стандарт FIPS 140‑2 Level 3?

Да. Сервис CloudHSM предоставляет модули HSM, проверенные на соответствие FIPS 140‑2 Level 3. Можно выполнить процедуру, приведенную в руководстве пользователя CloudHSM в разделе с информацией о проверке подлинности HSM, чтобы подтвердить, что модуль HSM является подлинным и в нем используется аппаратное оборудование, указанное в политике безопасности NIST (как описано в ответе на предыдущий вопрос).

Вопрос. Как использовать AWS CloudHSM в режиме FIPS 140‑2?

Сервис AWS CloudHSM всегда находится в режиме FIPS 140‑2. Это можно проверить с помощью инструментов интерфейса командной строки, как описано в руководстве пользователя CloudHSM, и выполнив команду getHsmInfo, которая показывает состояние режима FIPS.

Вопрос. Можно ли просмотреть историю всех вызовов API сервиса AWS CloudHSM, выполненных из аккаунта?

Да. AWS CloudTrail записывает вызовы API AWS для аккаунта. История вызовов API AWS в AWS CloudTrail позволяет отслеживать изменения ресурсов, проводить анализ безопасности и аудит соответствия требованиям. Дополнительную информацию о сервисе AWS CloudTrail см. на главной странице CloudTrail. Включить его можно в разделе CloudTrail Консоли управления AWS.

Вопрос. Какие события не записываются в AWS CloudTrail?

Сервис AWS CloudTrail не содержит журналов доступа и сведений об устройствах HSM. Они предоставляются непосредственно вашему аккаунту AWS через журналы AWS CloudWatch. Подробности см. в руководстве пользователя AWS CloudHSM.

Вопрос. Какие инициативы AWS по обеспечению соответствия требованиям распространяются на сервис AWS CloudHSM?

Дополнительную информацию о том, какие программы обеспечения соответствия требованиям распространяются на CloudHSM, см. на странице соответствия AWS требованиям. В отличие от других сервисов AWS, соответствие AWS CloudHSM требованиям часто контролируется непосредственно в рамках проверки соответствия самого оборудования стандарту FIPS 140‑2 Level 3, а не в рамках отдельной программы аудита.

Вопрос. Почему важно соблюдение требований стандарта FIPS 140‑2 Level 3?

Соблюдение требований FIPS 140‑2 Level 3 необходимо в определенных примерах использования, включая подпись документов, проведение платежей или работу в качестве публичного центра сертификации, выдающего сертификаты SSL.

Вопрос. Как запросить отчеты по соответствию требованиям, содержащие сведения об AWS CloudHSM?

Чтобы увидеть отчеты по соответствию требованиям, содержащие сведения об AWS CloudHSM, проверьте данные относительно сервисов AWS, включенных в программу соответствия требованиям. Для создания бесплатных отчетов по соответствию требованиям по требованию с функцией самообслуживания используйте AWS Artifact.

Если вы заинтересованы в подтверждении FIPS для HSM, предоставляемых AWS CloudHSM, см. раздел с информацией о подтверждении соответствия FIPS.

Вопрос. Сколько криптографических операций в секунду может выполнять CloudHSM?

Производительность может варьироваться в зависимости от конфигурации, размера данных и дополнительной нагрузки приложений на инстансах EC2. Для повышения эффективности работы можно добавить в кластеры дополнительные инстансы HSM. Мы рекомендуем провести нагрузочное тестирование приложения для определения потребностей в масштабировании.

Подробности см. на странице производительности в руководстве пользователя AWS CloudHSM.

Вопрос. Сколько ключей может храниться в кластере CloudHSM?

Подробности о хранилищах ключей и емкости кластера см. в разделе квот на AWS CloudHSM.

Вопрос. Поддерживает ли AWS CloudHSM RDS Oracle TDE?

Прямая поддержка не предусмотрена. Можно использовать Сервис управления ключами AWS (AWS KMS) и собственное хранилище ключей для защиты данных в Amazon RDS с помощью ключей, созданных и сохраняемых в кластере AWS CloudHSM.

Вопрос. Можно ли использовать кластер AWS CloudHSM в качестве корня доверия для другого ПО?

ПО некоторых сторонних поставщиков использует AWS CloudHSM как корень доверия. Это позволяет использовать программное решение при создании и хранении базовых ключей в кластере CloudHSM, исходя из своих предпочтений.

Вопрос. Что такое клиентская библиотека AWS CloudHSM?

Клиентская библиотека AWS CloudHSM представляет собой программный пакет, поставляемый AWS, который позволяет вам и вашим приложениям взаимодействовать с кластерами CloudHSM.

Вопрос. Получает ли AWS доступ к кластеру CloudHSM при использовании клиентской библиотеки CloudHSM?

Нет. Все соединения между клиентом и HSM защищены с помощью сквозного шифрования. AWS не может просматривать и перехватывать данные, которые передаются по этим соединениям, а также мандаты для доступа к кластеру.

Вопрос. Что представляют собой инструменты интерфейса командной строки (CLI) AWS CloudHSM?

Клиентская библиотека CloudHSM поставляется с набором инструментов для интерфейса командной строки (CLI), которые позволяют администрировать и использовать HSM из командной строки. В настоящее время поддерживаются Linux и Microsoft Windows. Планируется поддержка Apple macOS. Инструменты CLI доступны в том же пакете, что и клиент AWS CloudHSM.

Вопрос. Как загрузить инструменты CLI сервиса AWS CloudHSM и начать работать с ними?

См. инструкции в руководстве пользователя CloudHSM.

Вопрос. Получает ли AWS доступ к содержимому HSM при использовании инструментов CLI сервиса CloudHSM?

Нет. Инструменты CloudHSM напрямую связывают кластер CloudHSM с клиентской библиотекой CloudHSM через защищенный канал с двусторонней аутентификацией. AWS не может прослеживать обмен данными между клиентом, инструментами и модулем HSM, так как используется сквозное шифрование.

Вопрос. В каких операционных системах можно использовать инструменты CLI и клиентскую библиотеку CloudHSM?

Полный список поддерживаемых операционных систем см. в онлайн-документации.

Вопрос. Каковы требования к сетевому подключению для использования инструментов CLI сервиса CloudHSM?

Хост, на котором запускается клиентская библиотека CloudHSM и (или) используются инструменты командной строки, должен иметь сетевой доступ ко всем модулям HSM в кластере CloudHSM.

Вопрос. Как можно использовать API и SDK сервиса AWS CloudHSM?

Можно создавать, изменять, удалять класт��ры CloudHSM и модули HSM и определять их состояние. Возможности использования API сервиса AWS CloudHSM ограничены операциями, которые позволяет выполнять ограниченный доступ AWS. API не может получать доступ к содержимому HSM или изменять пользователей, политики или другие настройки. Подробнее об API см. в документации по CloudHSM. Подробнее об SDK см. на странице Инструменты для работы с Amazon Web Services.

Вопрос. Как лучше организовать переход на AWS CloudHSM?

Для начала убедитесь в том, что в AWS CloudHSM поддерживаются все нужные алгоритмы и режимы. При необходимости можно отправить AWS запрос на новые возможности через персонального менеджера. Затем следует определить стратегию ротации ключей. Мы также опубликовали подробное Руководство по миграции в AWS CloudHSM. После этого можно начинать работу с AWS CloudHSM.

Вопрос. Как выполнять ротацию ключей?

Стратегия ротации ключей определяется в соответствии с типом приложения. Ниже приведены типовые примеры.

• Закрытые ключи для подписи. Обычно закрытый ключ на модуле HSM соответствует промежуточному сертификату, который, в свою очередь, подписан автономным корневым корпоративным центром сертификации. Ротация ключей выполняется посредством выпуска нового промежуточного сертификата. Создайте новый закрытый ключ и сгенерируйте соответствующий запрос CSR, используя OpenSSL в AWS CloudHSM. Затем подпишите CSR тем же автономным корневым корпоративным центром сертификации. Возможно, придется зарегистрировать этот новый сертификат у партнеров, которые не проверяют всю цепочку сертификатов автоматически. После этого все новые запросы (например, на документы, коды или другие сертификаты) следует подписывать новым закрытым ключом, соответствующим новому сертификату. Проверку подписей, сделанных исходным закрытым ключом, можно продолжать с помощью соответствующего открытого ключа. Отзывать ключ не требуется. Аналогичная процедура рекомендуется для удаления из использования или архивирования ключа подписи.
• Прозрачное шифрование данных Oracle. Для переноса электронного кошелька необходимо сначала переключиться с аппаратного хранилища ключей (исходного модуля HSM) на программное хранилище ключей, а затем обратно на аппаратное хранилище ключей (AWS CloudHSM). Примечание. Если вы используете Amazon RDS, ознакомьтесь с ответом на вопрос «Поддерживает ли AWS CloudHSM Amazon RDS Oracle TDE?» в разделе вопросов и ответов выше.
  
• Симметричный ключ для шифрования конвертов. Шифрование конвертов обозначает такую архитектуру ключей, где один ключ на HSM шифрует и дешифрует множество ключей данных на хосте приложения. В таких случаях процесс ротации ключей, вероятно, уже реализован. В его рамках можно дешифровать ключи данных с помощью старого упаковочного ключа и повторно зашифровать их с помощью нового упаковочного ключа. Единственное различие во время миграции будет заключаться в том, что новый упаковочный ключ будет создан и использован в AWS CloudHSM, а не на исходном модуле HSM. Если у вас еще нет инструмента и процедуры для ротации ключей, требуется создать их.

Вопрос: Что делать, если не удается выполнить ротацию ключей?

Вопрос. Есть ли в AWS CloudHSM перерывы на плановое обслуживание?

Нет. AWS может потребоваться провести техническое обслуживание при необходимых обновлениях или обнаружении неисправности аппаратного оборудования. Мы заранее уведомим вас о возможных изменениях в работе с помощью персональной панели состояния.

Обратите внимание на то, что вы несете ответственность за создание архитектуры кластера, обеспечивающей высокую доступность. AWS настоятельно рекомендует использовать кластеры CloudHSM с не менее чем двумя модулями HSM в разных зонах доступности. Рекомендации по использованию кластеров см. в онлайн-документации.

Вопрос. У меня возникли проблемы с AWS CloudHSM. Что делать?

Решения часто встречающихся проблем см. в руководстве по устранению неполадок. Если проблемы решить не удается, свяжитесь со службой поддержки AWS Support.