CloudHSMについて

使ったことはないですが、試験勉強してたら出てきたので。

CloudHSMとは

Hardware Security Module。以下の特徴がある。

  • VPC内に冗長化された専用のハードウェアが割り当てられる
  • HSM内で暗号化鍵の管理を行う
  • もろもろのセキュリティ基準を満たしている

こんな感じで使う

  • SSLターミネーション
    • ELB→EC2な構成で、SSLのところだけHSMに任せるようにnginxとかに設定することができる
  • 発行認証局 (CA) 向けのプライベートキーの保護

使い所

  • セキュリティポリシー上そうしないといけない、みたいな場合で使うんだろうなぁ
  • 基本的にはSSLはELBで、鍵はKMSで十分という認識

でも、お高いんでしょう?

  • 1.81USD/hのみ(東京)
    • なんか昔の記事を見ていると初期費がかかるみたいなのもあるけど、それはCloudHSM Classicというらしい
    • Classicは2020/4までに移行しないといけないらしい