Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
HSM-Benutzer mit CloudHSM CLI verwalten
Verwenden Sie die Befehlszeilentools von CloudHSM CLI, um die Benutzer auf Ihrem HSM mit dem neuesten SDK zu erstellen und zu verwalten.
Themen
Grundlegendes zu HSM-Benutzern
Für die meisten Operationen, die Sie auf dem HSM ausführen, sind die Anmeldeinformationen eines HSM-Benutzers erforderlich. Das HSM authentifiziert jeden HSM-Benutzer, und jeder HSM-Benutzer hat einen Typ, der bestimmt, welche Operationen Sie als dieser Benutzer auf dem HSM ausführen können.
Anmerkung
HSM-Benutzer unterscheiden sich von IAM-Benutzern. IAM-Benutzer mit den richtigen Anmeldeinformationen können HSMs erstellen, indem sie über die AWS-API mit Ressourcen interagieren. Nachdem das HSM erstellt wurde, müssen Sie HSM-Benutzeranmeldedaten verwenden, um Vorgänge auf dem HSM zu authentifizieren.
Benutzertypen
Nicht aktivierter Admin
In der CloudHSM CLI ist der nicht aktivierte Administrator ein temporärer Benutzer, der nur auf dem ersten HSM in einem AWS CloudHSM -Cluster existiert, der noch nie aktiviert wurde. Um einen Cluster zu aktivieren, führen Sie den cluster activate-Befehl in der CloudHSM CLI aus. Nach der Ausführung dieses Befehls werden nicht aktivierte Administratoren aufgefordert, das Passwort zu ändern. Nach dem Ändern des Passworts wird der inaktivierte Administrator zum Administrator.
Admin.
In der CloudHSM CLI kann der Administrator Benutzerverwaltungsvorgänge durchführen. Beispielsweise können Sie Benutzer erstellen und löschen und Benutzerpasswörter ändern. Weitere Informationen über Admins finden Sie in der Tabelle der HSM-Benutzerberechtigungen.
Crypto-Benutzer (Crypto User, CU)
Ein Crypto-Benutzer (CU) kann die folgenden Schlüsselverwaltungs- und kryptografischen Vorgänge ausführen.
-
Schlüsselverwaltung – Erstellen, Löschen, Freigeben, Importieren und Exportieren von kryptographischen Schlüsseln.
-
Kryptografische Operationen – Verwenden Sie kryptographische Schlüssel für die Verschlüsselung, Entschlüsselung, Signatur, Verifizierung und mehr.
Weitere Informationen hierzu finden Sie unter Tabelle der HSM-Benutzerberechtigungen.
Appliance-Benutzer (Appliance User, AU)
Der Appliance-Benutzer (AU) kann Kloning- und Synchronisierungsvorgänge an den HSMs Ihres Clusters durchführen. AWS CloudHSM verwendet die AU, um die HSMs in einem Cluster zu synchronisieren. AWS CloudHSM Die AU ist auf allen HSMs vorhanden, die von bereitgestellt werden AWS CloudHSM, und verfügt über eingeschränkte Berechtigungen. Weitere Informationen hierzu finden Sie unter Tabelle der HSM-Benutzerberechtigungen.
AWS kann keine Operationen an Ihren HSMs ausführen. AWS kann Ihre Benutzer oder Schlüssel nicht anzeigen oder ändern und mit diesen Schlüsseln keine kryptografischen Operationen ausführen.
Tabelle der HSM-Benutzerberechtigungen
In der folgenden Tabelle sind HSM-Operationen aufgeführt, sortiert nach dem Typ des HSM-Benutzers oder der HSM-Sitzung, die den Vorgang ausführen kann.
Admin. | Crypto-Benutzer (Crypto User, CU) | Appliance-Benutzer (Appliance User, AU) | Nicht authentifizierte Sitzungen | |
---|---|---|---|---|
Grundlegende Cluster-Informationen erhalten¹ | ||||
Das eigene Passwort ändern | Nicht zutreffend | |||
Das Passwort eines Benutzers ändern | ||||
Benutzer hinzufügen oder entfernen | ||||
Den Synchronisierungsstatus erhalten² | ||||
Maskierte Objekte extrahieren und einfügen³ | ||||
Funktionen zur Schlüsselverwaltung⁴ | ||||
Verschlüsseln/Entschlüsseln | ||||
Signieren/Überprüfen | ||||
Generieren von Digests und HMACs |
-
[1] Zu den grundlegenden Informationen gehören u. a die Anzahl der HSMs im Cluster sowie IP-Adresse, Modell, Seriennummer, Geräte-ID, Firmware-ID usw. der einzelnen HSMs.
-
[2] Der Benutzer kann verschiedene Digests (Hashes) erhalten, die den Schlüsseln auf dem HSM entsprechen. Eine Anwendung kann diese Digest-Gruppen vergleichen, um den Synchronisierungsstatus von HSMs in einem Cluster zu erfahren.
-
[3] Maskierte Objekte sind Schlüssel, die verschlüsselt werden, bevor sie das HSM verlassen. Sie können außerhalb des HSM nicht entschlüsselt werden. Sie werden erst entschlüsselt, nachdem sie in ein HSM eingefügt wurden, das sich in demselben Cluster befindet wie das HSM, aus dem sie extrahiert wurden. Eine Anwendung kann maskierte Objekte extrahieren und einfügen, um die HSMs in einem Cluster zu synchronisieren.
-
[4] Die Funktionen zur Schlüsselverwaltung umfassen unter anderem das Erstellen, Löschen, Verpacken, Entpacken und Ändern der Schlüsselattribute.