CloudHSM 是 云端独占的硬件安全模块(Hardware Security Module),用户在 AWS 云中租用专属的 HSM 硬件设备,完全控制密钥,AWS 无法访问。
你的 VPC
┌─────────────────────────────────────────────┐
│ │
│ ┌─────────┐ ┌─────────┐ │
│ │ App │ │ App │ │
│ │ Server │ │ Server │ │
│ └────┬────┘ └────┬────┘ │
│ │ │ │
│ └───────┬───────┘ │
│ │ │
│ ┌───────▼───────┐ │
│ │ CloudHSM │ │
│ │ Client (SDK) │ │
│ └───────┬───────┘ │
│ │ │
│ ┌────────────┼────────────┐ │
│ │ │ │ │
│ ▼ ▼ ▼ │
│ ┌─────┐ ┌─────┐ ┌─────┐ │
│ │HSM 1│ │HSM 2│ │HSM 3│ CloudHSM │
│ │AZ-a │ │AZ-b │ │AZ-c │ Cluster │
│ └─────┘ └─────┘ └─────┘ │
│ │
└─────────────────────────────────────────────┘
| 特点 | 说明 |
|---|---|
| 单租户 | HSM 硬件只属于某用户,不共享 |
| 完全控制 | 用户管理密钥,AWS 无法访问 |
| FIPS 140-2 Level 3 | 最高安全认证之一 |
| VPC 内部署 | 在用户的私有网络中 |
| 高可用集群 | 多 AZ 自动同步 |
| 维度 | CloudHSM | KMS |
|---|---|---|
| HSM 所有权 | 用户独占 | AWS 共享 |
| 密钥控制 | 用户完全控制 | AWS 托管 |
| AWS 能否访问密钥 | ❌ 不能 | ✅ 理论上能 |
| 管理复杂度 | 高(自己管) | 低(全托管) |
| 价格 | 贵($1.5/hr/HSM) | 便宜($1/月/密钥) |
| 合规要求 | 严格监管场景 | 一般场景 |
| 功能 | 支持的算法/操作 |
|---|---|
| 对称加密 | AES (128/192/256-bit) |
| 非对称加密 | RSA (2048-4096), ECC |
| 签名 | RSA, ECDSA |
| 哈希 | SHA-1, SHA-256, SHA-384, SHA-512 |
| 密钥派生 | HKDF |
| 随机数 | 硬件真随机数生成器 |
典型使用场景:
1️⃣ SSL/TLS 私钥保护
Web Server ──► CloudHSM(存储私钥)
│
└─► 私钥永不离开 HSM
TLS 握手在 HSM 内完成
2️⃣ 数据库加密(TDE)
Oracle/SQL Server ──► CloudHSM
│
└─► 数据库主密钥存储在 HSM
3️⃣ 代码签名
CI/CD Pipeline ──► CloudHSM
│
└─► 签名密钥安全存储
代码签名在 HSM 完成
4️⃣ PKI / CA
证书颁发机构 ──► CloudHSM
│
└─► CA 根密钥/中间密钥
证书签发
5️⃣ 区块链密钥管理
区块链节点 ──► CloudHSM
│
└─► 私钥存储
交易签名
一般在生产环境使用高可用配置(推荐):
CloudHSM Cluster
├── HSM 1 (AZ-a) ──┐
├── HSM 2 (AZ-b) ──┼── 自动密钥同步
└── HSM 3 (AZ-c) ──┘
生产环境至少 2 个 HSM(跨 AZ)。
| 费用项 | 价格(us-east-1) |
|---|---|
| HSM 实例 | ~$1.50/小时 |
| 月费(单 HSM) | ~$1,080/月 |
| 最低生产配置(2 HSM) | ~$2,160/月 |