Más información sobre los usuarios de HSM Tabla de permisos de usuario de HSM

Administrar usuarios de HSM con la Utilidad de administración CloudHSM (CMU)

En AWS CloudHSM, debe usar las herramientas de línea de comandos de CloudHSM CLI o CloudHSM Management Utility (CMU) para crear y administrar los usuarios de su HSM. La CLI de CloudHSM está diseñada para usarse con el SDK más reciente, mientras que la CMU está diseñada para usarse con los SDK anteriores.

Temas

Más información sobre los usuarios de HSM

La mayoría de las operaciones que realiza en el HSM requieren las credenciales de un usuario de HSM. El HSM autentica a cada usuario del HSM y cada usuario del HSM tiene un tipo que determina las operaciones que puede realizar en el HSM como ese usuario.

nota

Los usuarios de HSM son distintos de los usuarios de IAM. Los usuarios de IAM que dispongan de credenciales correctas pueden crear HSM interactuando con los recursos a través de la API de AWS. Una vez creado el HSM, deberá introducir las credenciales de usuario de HSM para autenticar las operaciones del mismo.

Tipos de usuario

Responsable de criptografía previa (PRECO)
Responsable de criptografía (CO)
Usuario de criptografía (CU)
Usuario de dispositivos (AU)

Responsable de criptografía previa (PRECO)

Tanto en la utilidad de administración en la nube (CMU) como en la utilidad de administración de claves (KMU), el PRECO es un usuario temporal que solo existe en el primer HSM de un clúster de AWS CloudHSM . El primer HSM de un clúster nuevo contiene un usuario de PRECO, lo que indica que este clúster nunca se ha activado. Para activar un clúster, ejecute cloudhsm-cli y el comando cluster activate. Inicie sesión en el HSM y cambie la contraseña de PRECO. Al cambiar la contraseña, el usuario se convierte en un responsable de criptografía (CO).

Responsable de criptografía (CO)

Tanto en la utilidad de administración en la nube (CMU) como en la utilidad de administración de claves (KMU), un responsable de criptografía (CO) puede realizar operaciones de administración de usuarios. Por ejemplo, pueden crear y eliminar usuarios, así como cambiar las contraseñas de los usuarios. Para obtener más información sobre el usuario CO, consulte Tabla de permisos de usuario de HSM. Cuando se activa un clúster nuevo, el usuario cambia de responsable de criptografía previa (PRECO) a responsable de criptografía (CO).-->

Usuario de criptografía (CU)

Un usuario de criptografía (CU) puede realizar las siguientes operaciones de administración de claves y criptografía.

Administración de claves: crear, eliminar, compartir, importar y exportar claves criptográficas.
Operaciones criptográficas: utilizar las claves criptográficas para cifrado, descifrado, firma, verificación y mucho más.

Para obtener más información, consulte Tabla de permisos de usuario de HSM.

Usuario de dispositivos (AU)

El usuario del dispositivo (AU) puede realizar operaciones de clonación y sincronización en los HSM del clúster. AWS CloudHSM utiliza la AU para sincronizar los HSM de un clúster. AWS CloudHSM La AU existe en todos los HSM proporcionados por ellos y tiene AWS CloudHSM permisos limitados. Para obtener más información, consulte Tabla de permisos de usuario de HSM.

AWS no puede realizar ninguna operación en sus HSM. AWS no puede ver ni modificar sus usuarios o claves y no puede realizar ninguna operación criptográfica con esas claves.

Tabla de permisos de usuario de HSM

La siguiente tabla muestra las operaciones de HSM ordenadas por tipo de usuario o sesión de HSM que puede realizar la operación.

	Responsable de criptografía (CO)	Usuario de criptografía (CU)	Usuario de dispositivos (AU)	Sesiones no autenticadas
Obtener información básica del clúster¹	Sí	Sí	Sí	Sí
Cambiar su propia contraseña	Sí	Sí	Sí	No aplicable
Cambiar la contraseña de cualquier usuario	Sí	No	No	No
Agregar o eliminar usuarios	Sí	No	No	No
Obtener el estado de sincronización²	Sí	Sí	Sí	No
Extraer o insertar objetos enmascarados³	Sí	Sí	Sí	No
Funciones de administración de claves⁴	No	Sí	No	No
Cifrar o descifrar	No	Sí	No	No
Firmar o verificar	No	Sí	No	No
Generar resúmenes y HMAC	No	Sí	No	No

[1] La información básica sobre el clúster incluye el número de HSM que hay en el clúster y la dirección IP, el modelo, el número de serie, el ID de dispositivo, el ID de firmware, etc. de cada HSM.
[2] El usuario puede obtener un conjunto de resúmenes (hashes) que se corresponden con las claves del HSM. Una aplicación puede comparar estos conjuntos de resúmenes para conocer el estado de la sincronización de los HSM de un clúster.
[3] Los objetos enmascarados son claves que se cifran antes de salir del HSM. No se pueden descifrar fuera del HSM. Solo se descifran después de insertarlos en un HSM que se encuentra en el mismo clúster que el HSM del que se extrajeron. Una aplicación puede extraer e insertar objetos enmascarados para sincronizar los HSM de un clúster.
[4] Las funciones de administración de claves incluyen la creación, eliminación, encapsulación y modificación de los atributos de las claves.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cambiar el valor mínimo

Uso de CMU para administrar usuarios