Gestion des utilisateurs HSM à l'aide de la CLI CloudHSM - AWS CloudHSM
Comprendre les utilisateurs HSMTableau Autorisations des utilisateurs HSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des utilisateurs HSM à l'aide de la CLI CloudHSM

Utilisez les outils de ligne de commande de la CLI CloudHSM pour créer et gérer les utilisateurs de votre HSM avec le dernier SDK.

Rubriques

Comprendre les utilisateurs HSM

La plupart des opérations que vous effectuez sur le HSM nécessitent les informations d'identification d'un utilisateur HSM. Le HSM authentifie chaque utilisateur HSM et chaque utilisateur HSM possède un type qui détermine les opérations que vous pouvez effectuer sur le HSM en tant qu'utilisateur.

Note

Les utilisateurs HSM sont distincts des utilisateurs IAM. Les utilisateurs IAM qui disposent des informations d'identification correctes peuvent créer des HSM en interagissant avec les ressources via l'API AWS. Une fois le HSM créé, vous devez utiliser les informations d'identification de l'utilisateur HSM pour authentifier les opérations sur le HSM.

Administrateur non activé

Dans la CLI CloudHSM, l'administrateur non activé est un utilisateur temporaire qui n'existe que sur le premier HSM d'un cluster AWS CloudHSM qui n’a jamais été activé. Pour activer un cluster, exécutez la commande cluster activate dans la CLI CloudHSM. Après avoir exécuté cette commande, les administrateurs non activés sont invités à modifier le mot de passe. Après avoir modifié le mot de passe, l'administrateur non activé devient administrateur.

Administrateur

Dans la CLI CloudHSM, l'administrateur peut effectuer des opérations de gestion des utilisateurs. Par exemple, il peut créer et supprimer des utilisateurs, et modifier les mots de passe des utilisateurs. Pour plus d'informations sur les administrateurs, veuillez consulter le Tableau Autorisations des utilisateurs HSM.

Utilisateur de chiffrement (CU)

Un utilisateur de chiffrement (CU) peut effectuer les opérations de chiffrement et de gestion des clés suivantes.

  • Gestion des clés - Créer, supprimer, partager, importer et exporter des clés de chiffrement.

  • Opérations de chiffrement - Utiliser les clés de chiffrement pour le chiffrement, le déchiffrement, la signature, la vérification, et plus encore.

Pour plus d’informations, consultez le Tableau Autorisations des utilisateurs HSM.

utilisateur de l'appareil (AU)

L'utilisateur de l'appliance (AU) peut effectuer des opérations de clonage et de synchronisation sur les HSM de votre cluster. AWS CloudHSM utilise l'AU pour synchroniser les HSM d'un AWS CloudHSM cluster. L'AU existe sur tous les HSM fournis par AWS CloudHSM et dispose d'autorisations limitées. Pour plus d’informations, consultez le Tableau Autorisations des utilisateurs HSM.

AWS ne peut effectuer aucune opération sur vos HSM. AWS ne peut pas afficher ou modifier vos utilisateurs ou vos clés et ne peut effectuer aucune opération cryptographique à l'aide de ces clés.

Tableau Autorisations des utilisateurs HSM

Le tableau suivant répertorie les opérations HSM triées selon le type d'utilisateur ou de session HSM qui peut effectuer l'opération.

Administrateur Utilisateur de chiffrement (CU) utilisateur de l'appareil (AU) Session non authentifiée
Obtention d'informations de base sur le cluster¹ Oui Oui Oui Oui
Changement de son mot de passe Oui Oui Oui Ne s’applique pas
Changement du mot de passe d'un utilisateur Oui Non Non Non
Ajout et suppression d'utilisateurs Oui Non Non Non
Obtention du statut de la synchronisation² Oui Oui Oui Non
Extraction et insertion d'objets masqués³ Oui Oui Oui Non
Fonctions de gestion des clés⁴ Non Oui Non Non
Chiffrement et déchiffrement Non Oui Non Non
Connexion et vérification Non Oui Non Non
Génération de synthèses et de HMAC Non Oui Non Non

  • [1] Les informations de base sur le cluster comprennent le nombre de HSM dans le cluster ainsi que l'adresse IP, le modèle, le numéro de série, l'ID d'appareil, l'ID de microprogramme, etc. de chaque HSM.

  • [2] L'utilisateur peut obtenir un ensemble de résumés (hachages) qui correspondent aux clés du HSM. Une application peut comparer ces ensembles pour comprendre le statut de la synchronisation des HSM dans un cluster.

  • [3] Les objets masqués sont des clés qui sont chiffrées avant de quitter le HSM. Elles ne peuvent pas être déchiffrées en dehors du HSM. Elles ne sont déchiffrées que lorsqu'elles sont insérées dans un HSM qui se trouve dans le même cluster que le HSM duquel elles ont été extraites. Une application peut extraire et insérer des objets masqués afin de synchroniser les HSM dans un cluster.

  • [4] Les fonctions de gestion des clés incluent la création, la suppression, l'encapsulage, le désencapsulage et la modification des attributs de clés.