HSM-Benutzer mit CloudHSM CLI verwalten - AWS CloudHSM
Grundlegendes zu HSM-BenutzernTabelle der HSM-Benutzerberechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

HSM-Benutzer mit CloudHSM CLI verwalten

Verwenden Sie die Befehlszeilentools von CloudHSM CLI, um die Benutzer auf Ihrem HSM mit dem neuesten SDK zu erstellen und zu verwalten.

Themen

Grundlegendes zu HSM-Benutzern

Für die meisten Operationen, die Sie auf dem HSM ausführen, sind die Anmeldeinformationen eines HSM-Benutzers erforderlich. Das HSM authentifiziert jeden HSM-Benutzer, und jeder HSM-Benutzer hat einen Typ, der bestimmt, welche Operationen Sie als dieser Benutzer auf dem HSM ausführen können.

Anmerkung

HSM-Benutzer unterscheiden sich von IAM-Benutzern. IAM-Benutzer mit den richtigen Anmeldeinformationen können HSMs erstellen, indem sie über die AWS-API mit Ressourcen interagieren. Nachdem das HSM erstellt wurde, müssen Sie HSM-Benutzeranmeldedaten verwenden, um Vorgänge auf dem HSM zu authentifizieren.

Nicht aktivierter Admin

In der CloudHSM CLI ist der nicht aktivierte Administrator ein temporärer Benutzer, der nur auf dem ersten HSM in einem AWS CloudHSM -Cluster existiert, der noch nie aktiviert wurde. Um einen Cluster zu aktivieren, führen Sie den cluster activate-Befehl in der CloudHSM CLI aus. Nach der Ausführung dieses Befehls werden nicht aktivierte Administratoren aufgefordert, das Passwort zu ändern. Nach dem Ändern des Passworts wird der inaktivierte Administrator zum Administrator.

Admin.

In der CloudHSM CLI kann der Administrator Benutzerverwaltungsvorgänge durchführen. Beispielsweise können Sie Benutzer erstellen und löschen und Benutzerpasswörter ändern. Weitere Informationen über Admins finden Sie in der Tabelle der HSM-Benutzerberechtigungen.

Crypto-Benutzer (Crypto User, CU)

Ein Crypto-Benutzer (CU) kann die folgenden Schlüsselverwaltungs- und kryptografischen Vorgänge ausführen.

  • Schlüsselverwaltung – Erstellen, Löschen, Freigeben, Importieren und Exportieren von kryptographischen Schlüsseln.

  • Kryptografische Operationen – Verwenden Sie kryptographische Schlüssel für die Verschlüsselung, Entschlüsselung, Signatur, Verifizierung und mehr.

Weitere Informationen hierzu finden Sie unter Tabelle der HSM-Benutzerberechtigungen.

Appliance-Benutzer (Appliance User, AU)

Der Appliance-Benutzer (AU) kann Kloning- und Synchronisierungsvorgänge an den HSMs Ihres Clusters durchführen. AWS CloudHSM verwendet die AU, um die HSMs in einem Cluster zu synchronisieren. AWS CloudHSM Die AU ist auf allen HSMs vorhanden, die von bereitgestellt werden AWS CloudHSM, und verfügt über eingeschränkte Berechtigungen. Weitere Informationen hierzu finden Sie unter Tabelle der HSM-Benutzerberechtigungen.

AWS kann keine Operationen an Ihren HSMs ausführen. AWS kann Ihre Benutzer oder Schlüssel nicht anzeigen oder ändern und mit diesen Schlüsseln keine kryptografischen Operationen ausführen.

Tabelle der HSM-Benutzerberechtigungen

In der folgenden Tabelle sind HSM-Operationen aufgeführt, sortiert nach dem Typ des HSM-Benutzers oder der HSM-Sitzung, die den Vorgang ausführen kann.

Admin. Crypto-Benutzer (Crypto User, CU) Appliance-Benutzer (Appliance User, AU) Nicht authentifizierte Sitzungen
Grundlegende Cluster-Informationen erhalten¹ Ja Ja Ja Ja
Das eigene Passwort ändern Ja Ja Ja Nicht zutreffend
Das Passwort eines Benutzers ändern Ja Nein Nein Nein
Benutzer hinzufügen oder entfernen Ja Nein Nein Nein
Den Synchronisierungsstatus erhalten² Ja Ja Ja Nein
Maskierte Objekte extrahieren und einfügen³ Ja Ja Ja Nein
Funktionen zur Schlüsselverwaltung⁴ Nein Ja Nein Nein
Verschlüsseln/Entschlüsseln Nein Ja Nein Nein
Signieren/Überprüfen Nein Ja Nein Nein
Generieren von Digests und HMACs Nein Ja Nein Nein

  • [1] Zu den grundlegenden Informationen gehören u. a die Anzahl der HSMs im Cluster sowie IP-Adresse, Modell, Seriennummer, Geräte-ID, Firmware-ID usw. der einzelnen HSMs.

  • [2] Der Benutzer kann verschiedene Digests (Hashes) erhalten, die den Schlüsseln auf dem HSM entsprechen. Eine Anwendung kann diese Digest-Gruppen vergleichen, um den Synchronisierungsstatus von HSMs in einem Cluster zu erfahren.

  • [3] Maskierte Objekte sind Schlüssel, die verschlüsselt werden, bevor sie das HSM verlassen. Sie können außerhalb des HSM nicht entschlüsselt werden. Sie werden erst entschlüsselt, nachdem sie in ein HSM eingefügt wurden, das sich in demselben Cluster befindet wie das HSM, aus dem sie extrahiert wurden. Eine Anwendung kann maskierte Objekte extrahieren und einfügen, um die HSMs in einem Cluster zu synchronisieren.

  • [4] Die Funktionen zur Schlüsselverwaltung umfassen unter anderem das Erstellen, Löschen, Verpacken, Entpacken und Ändern der Schlüsselattribute.