Создание токена сеанса в лучших практиках AWS

Сценарий моего вопроса:

1. Пользователь входит в веб-приложение, которое работает как ряд микросервисов на AWS (через микросервис auth).
2. После входа в систему пользователь должен получить файл cookie сеанса / JWS с цифровой подписью HMAC.
3. Создание файла cookie / JWS может происходить в микросервисе, при этом цифровая подпись (или HMAC) происходит в памяти указанного микросервиса.
4. Когда cookie / JWS возвращается по другому запросу API, его можно проверить через API Gateway или через один из микросервисов.

Мой вопрос касается конкретно шага 3 выше. Существует ли для этого сервис AWS, который обеспечивает защиту используемых данных для открытого текстового ключа при использовании вместо использования криптографического ключа в памяти для генерации цифровой подписи HMAC?

Или возможно ли использовать CloudHSM (учитывая его высокую стоимость), или люди обычно выполняют эту операцию в контексте микросервиса в памяти.

Спасибо.