Gestion des utilisateurs HSM dansAWS CloudHSM - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des utilisateurs HSM dansAWS CloudHSM

DansAWS CloudHSM, vous devez utiliser les outils de ligne de commande CloudHSM CLI ou CloudHSM Management Utility (CMU) pour créer et gérer les utilisateurs sur votre HSM. La CLI CloudHSM est conçue pour être utilisée avec le dernier SDK, tandis que la CMU est conçue pour être utilisée avec les SDK précédents.

Comprendre les utilisateurs des clés HSM

La plupart des opérations que vous effectuez sur le HSM nécessitent les informations d'identification d'un utilisateur HSM. Le HSM authentifie chaque utilisateur HSM et chaque utilisateur HSM possède un type qui détermine les opérations que vous pouvez effectuer sur le HSM en tant qu'utilisateur.

Note

Les utilisateurs HSM sont différents des utilisateurs IAM. Les utilisateurs IAM disposant des informations d'identification correctes peuvent créer des HSM en interagissant avec les ressources via l'API AWS. Une fois le HSM créé, vous devez utiliser les informations d'identification de l'utilisateur HSM pour authentifier les opérations sur le HSM.

Administrateur non activé

Dans la CLI CloudHSM, l'administrateur non activé est un utilisateur temporaire qui n'existe que sur le premier HSM d'unAWS CloudHSM cluster qui n'a jamais été activé. Pour activer un cluster, exécutez lacluster activate commande dans l'interface de ligne de commande CloudHSM. Après avoir exécuté cette commande, les administrateurs non activés sont invités à modifier le mot de passe. Après avoir modifié le mot de passe, l'administrateur non activé devient administrateur.

Responsable du pré-chiffrement (PRECO)

Dans l'utilitaire de gestion du cloud (CMU) et dans l'utilitaire de gestion des clés (KMU), le PRECO est un utilisateur temporaire qui existe uniquement sur le premier HSM d'unAWS CloudHSM cluster. Le premier HSM d'un nouveau cluster contient un utilisateur PRECO indiquant que ce cluster n'a jamais été activé. Pour activer un cluster, vous exécutez le cloudhsm-cli et exécutez lacluster activate commande. Connectez-vous au HSM et modifiez le mot de passe du PRECO. Lorsque vous modifiez le mot de passe, cet utilisateur devient le responsable de la cryptographie (CO).

Administrateur

Dans CloudHSM CLI, l'administrateur peut effectuer des opérations de gestion des utilisateurs. Par exemple, ils peuvent créer et supprimer des utilisateurs et modifier les mots de passe utilisateur. Pour plus d'informations sur les administrateurs, consultez leTableau des autorisations utilisateur HSM.

Responsable de chiffrement (CO)

Dans l'utilitaire de gestion du cloud (CMU) et dans l'utilitaire de gestion des clés (KMU), un responsable de la cryptographie (CO) peut effectuer des opérations de gestion des utilisateurs. Par exemple, ils peuvent créer et supprimer des utilisateurs et modifier les mots de passe utilisateur. Pour plus d'informations sur les utilisateurs de CO, consultez leTableau des autorisations utilisateur HSM.

Utilisateur de chiffrement (CU)

Un utilisateur de chiffrement (CU) peut effectuer les opérations de chiffrement et de gestion des clés suivantes.

  • Gestion des clés : créez, supprimez, partagez, importez et exportez des clés cryptographiques.

  • Opérations cryptographiques : utilisez des clés cryptographiques pour le chiffrement, le déchiffrement, la signature, la vérification, etc.

Pour plus d'informations, consultez le Tableau des autorisations utilisateur HSM.

Utilisateur de l'appliance (AU)

L'utilisateur de l'appliance (AU) peut effectuer des opérations de clonage et de synchronisation sur les HSM de votre cluster. AWS CloudHSMutilise l'AU pour synchroniser les HSM d'unAWS CloudHSM cluster. L'utilisateur de l'appliance se trouve sur tous les HSM fournis par AWS CloudHSM et dispose d'autorisations limitées. Pour plus d'informations, consultez le Tableau des autorisations utilisateur HSM.

AWSne peut effectuer aucune opération sur vos HSM. AWSne peut pas afficher ou modifier vos utilisateurs ou vos clés et ne peut effectuer aucune opération cryptographique à l'aide de ces clés.

Tableau des autorisations utilisateur HSM

Le tableau suivant répertorie les opérations HSM triées selon le type d'utilisateur ou de session HSM pouvant effectuer l'opération.

Administrateur/responsable de la cryptographie (CO) Utilisateur de chiffrement (CU) Utilisateur de l'appliance (AU) Session non authentifiée
Obtention d'informations de base sur le cluster¹ Oui Oui Oui Oui
Changement de son mot de passe Oui Oui Oui Ne s'applique pas
Changement du mot de passe d'un utilisateur Oui Non Non Non
Ajout et suppression d'utilisateurs Oui Non Non Non
Obtenir l'état de synchronisation² Oui Oui Oui Non
Extraire, insérer des objets masqués³ Oui Oui Oui Non
Principales fonctions de gestion ⁴ Non Oui Non Non
Chiffrement et déchiffrement Non Oui Non Non
Connexion et vérification Non Oui Non Non
Génération de synthèses et de HMAC Non Oui Non Non
  • [1] Les informations de base du cluster incluent le nombre de HSM du cluster et l'adresse IP, le modèle, le numéro de série, l'identifiant du périphérique, l'identifiant du microprogramme, etc. de chaque HSM.

  • [2] L'utilisateur peut obtenir un ensemble de résumés (hachages) correspondant aux clés du HSM. Une application peut comparer ces ensembles pour comprendre le statut de la synchronisation des HSM dans un cluster.

  • [3] Les objets masqués sont des clés chiffrées avant de quitter le HSM. Elles ne peuvent pas être déchiffrées en dehors du HSM. Elles ne sont déchiffrées que lorsqu'elles sont insérées dans un HSM qui se trouve dans le même cluster que le HSM duquel elles ont été extraites. Une application peut extraire et insérer des objets masqués afin de synchroniser les HSM dans un cluster.

  • [4] Les fonctions de gestion des clés incluent la création, la suppression, l'encapsulation, le déballage et la modification des attributs des clés.