Gestion des utilisateurs HSMAWS CloudHSM - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des utilisateurs HSMAWS CloudHSM

DansAWS CloudHSM, vous devez utiliserUtilitaire CloudHSM(CMU), un outil en ligne de commande permettant de créer et de gérer les utilisateurs sur votre HSM. Vous pouvez également configurer l'authentification par quorum. Pour plus d'informations sur les types d'utilisateurs disponibles et sur les actions que ces utilisateurs peuvent effectuer, voirPrésentation des utilisateurs HSM.

Présentation des utilisateurs HSM

La plupart des opérations que vous effectuez sur le HSM nécessitent les informations d'identification d'un utilisateur HSM. Le HSM authentifie chaque utilisateur HSM et chaque utilisateur HSM a untypequi détermine les opérations que vous pouvez effectuer sur le HSM en tant qu'utilisateur.

Responsable du pré-chiffrement (PRECO)

Le responsable du pré-chiffrement (PRECO) est un utilisateur temporaire qui existe uniquement sur le premier HSM dans un cluster AWS CloudHSM. Le premier HSM dans un nouveau cluster contient un utilisateur PRECO avec un nom d'utilisateur et un mot de passe par défaut. Le utilisateur PRECO peut uniquement modifier son propre mot de passe et effectuer des opérations en lecture seule sur le HSM. Vous utilisez l'utilisateur PRECO pour activer un cluster. Pour activer un cluster, vous vous connectez au HSM et modifiez le mot de passe de l'utilisateur PRECO. Lorsque vous modifiez le mot de passe, l'utilisateur PRECO devient le responsable de chiffrement (PCO) principal.

Responsable de chiffrement (CO | BCP)

Un responsable de chiffrement (CO) peut effectuer des opérations de gestion des utilisateurs. Par exemple, un CO peut créer et supprimer des utilisateurs, et modifier les mots de passe des utilisateurs. Le BCP est la désignation du premier CO que vous créez, le CO principal. Pour plus d'informations sur les utilisateurs de CO, consultez leTableau des autorisations utilisateur HSM. Lorsque vous activez un nouveau cluster, l'utilisateur passe de Responsable de préchiffrement (PRECO) à responsable de chiffrement (CO).

Utilisateur de chiffrement (CU)

Un utilisateur de chiffrement (CU) peut effectuer les opérations de chiffrement et de gestion des clés suivantes.

  • Gestion des clés— Créer, supprimer, partager, importer et exporter des clés de chiffrement.

  • Opérations cryptographiques— Utilisez les clés de chiffrement pour le chiffrement, le déchiffrement, la signature, la vérification, et plus encore.

Pour plus d'informations, consultez le Tableau des autorisations utilisateur HSM.

Utilisateur de l'appliance (AU)

L'utilisateur de l'appliance (AU) peut effectuer des opérations de clonage et de synchronisation. AWS CloudHSM utilise cet utilisateur pour synchroniser les HSM dans un cluster AWS CloudHSM. L'utilisateur de l'appliance se trouve sur tous les HSM fournis par AWS CloudHSM et dispose d'autorisations limitées. Pour plus d'informations, consultez le Tableau des autorisations utilisateur HSM.

AWS utilise l'utilisateur de l'appliance pour effectuer des opérations de clonage et de synchronisation sur les HSM de votre cluster. AWS ne peut effectuer sur vos HSM que les opérations autorisées à l'utilisateur de l'appliance et aux utilisateurs non authentifiés. AWS ne peut pas afficher ou modifier vos utilisateurs ou vos clés, et ne peut pas effectuer d'opérations de chiffrement à l'aide de ces clés.

Tableau des autorisations utilisateur HSM

Le tableau suivant répertorie les opérations HSM triées par type d'utilisateur HSM ou de session pouvant effectuer l'opération.

Responsable de chiffrement (CO) Utilisateur de chiffrement (CU) Utilisateur de l'appliance (AU) Session non authentifiée
Obtention d'informations de base sur le cluster¹ Oui Oui Oui Oui
Changement de son mot de passe Oui Oui Oui Ne s'applique pas
Changement du mot de passe d'un utilisateur Oui Non Non Non
Ajout et suppression d'utilisateurs Oui Non Non Non
Obtention du statut de la synchronisation³ Oui Oui Oui Non
Extraction et insertion d'objets masqués⁴ Oui Oui Oui Non
Fonctions de gestion des clés⁵ Non Oui Non Non
Chiffrement et déchiffrement Non Oui Non Non
Connexion et vérification Non Oui Non Non
Génération de synthèses et de HMAC Non Oui Non Non
  • [1] Les informations de base sur le cluster comprennent le nombre de HSM dans le cluster ainsi que l'adresse IP, le modèle, le numéro de série, l'ID d'appareil, l'ID de microprogramme, etc. de chaque HSM.

  • [3] L'utilisateur peut obtenir un ensemble de résumés (hachages) qui correspondent aux clés du HSM. Une application peut comparer ces ensembles pour comprendre le statut de la synchronisation des HSM dans un cluster.

  • [4] Les objets masqués sont des clés qui sont chiffrées avant de quitter le HSM. Elles ne peuvent pas être déchiffrées en dehors du HSM. Elles ne sont déchiffrées que lorsqu'elles sont insérées dans un HSM qui se trouve dans le même cluster que le HSM duquel elles ont été extraites. Une application peut extraire et insérer des objets masqués afin de synchroniser les HSM dans un cluster.

  • [5] Les fonctions de gestion des clés incluent la création, la suppression, l'encapsulage, le désencapsulage et la modification des attributs de clés.