Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola pengguna HSM dengan CloudHSM CLI
Gunakan alat baris perintah CloudHSM CLI untuk membuat dan mengelola pengguna di HSM Anda dengan SDK terbaru.
Topik
Memahami pengguna HSM
Sebagian besar operasi yang dilakukan pada HSM memerlukan kredensial dari pengguna HSM. HSM mengautentikasi setiap pengguna HSM dan setiap pengguna HSM memiliki jenis yang menentukan operasi yang dapat Anda lakukan pada HSM sebagai pengguna tersebut.
catatan
Pengguna HSM berbeda dari pengguna IAM. Pengguna IAM yang memiliki kredensi yang benar dapat membuat HSM dengan berinteraksi dengan sumber daya melalui AWS API. Setelah HSM dibuat, Anda harus menggunakan kredensi pengguna HSM untuk mengautentikasi operasi pada HSM.
Admin yang tidak aktif
Di CloudHSM CLI, admin yang tidak aktif adalah pengguna sementara yang hanya ada pada HSM AWS CloudHSM pertama di cluster yang belum pernah diaktifkan. Untuk mengaktifkan cluster, jalankan cluster activate perintah di CloudHSM CLI. Setelah menjalankan perintah ini, admin yang tidak aktif diminta untuk mengubah kata sandi. Setelah mengubah kata sandi, admin yang tidak aktif menjadi admin.
Admin
Di CloudHSM CLI, admin dapat melakukan operasi manajemen pengguna. Misalnya, mereka dapat membuat dan menghapus pengguna dan mengubah kata sandi pengguna. Untuk informasi selengkapnya tentang admin, lihat. Tabel izin pengguna HSM
Pengguna kripto (CU)
Pengguna kripto (CU) dapat melakukan manajemen kunci dan operasi kriptografi berikut.
-
Manajemen kunci— Buat, hapus, bagikan, impor, dan ekspor kunci kriptografi.
-
Operasi kriptografi— Gunakan kunci kriptografi untuk enkripsi, dekripsi, penandatanganan, verifikasi, dan lainnya.
Untuk informasi selengkapnya, lihat Tabel izin pengguna HSM.
Pengguna alat (AU)
Pengguna alat (AU) dapat melakukan operasi kloning dan sinkronisasi pada HSM cluster Anda. AWS CloudHSM menggunakan AU untuk menyinkronkan HSM dalam sebuah AWS CloudHSM cluster. AU ada di semua HSM yang disediakan oleh AWS CloudHSM, dan memiliki izin terbatas. Untuk informasi selengkapnya, lihat Tabel izin pengguna HSM.
AWS tidak dapat melakukan operasi apa pun pada HSM Anda. AWS tidak dapat melihat atau memodifikasi pengguna atau kunci Anda dan tidak dapat melakukan operasi kriptografi apa pun menggunakan kunci tersebut.
Tabel izin pengguna HSM
Tabel berikut berisi daftar operasi HSM diurutkan berdasarkan jenis pengguna HSM atau sesi yang dapat melakukan operasi.
| Admin | Pengguna Kripto (CU) | Pengguna Peralatan (AU) | Sesi Tidak Diautentikasi | |
|---|---|---|---|---|
| Dapatkan informasi klaster dasar¹ | ||||
| Ubah kata sandi sendiri | Tidak berlaku | |||
| Ubah kata sandi pengguna | ||||
| Tambah, hapus pengguna | ||||
| Dapatkan status sinkronis² | ||||
| Ekstrak, masukkan benda bertopeng ³ | ||||
| Fungsi manajemen kunci | ||||
| Enkripsi, dekripsi | ||||
| Tanda tangan, verifikasi | ||||
| Hasilkan digests dan HMAC |
-
[1] Informasi klaster dasar mencakup jumlah HSM di klaster dan setiap alamat IP HSM, model, nomor seri, ID perangkat, ID firmware, dll
-
[2] Pengguna bisa mendapatkan satu set intisari (hash) yang sesuai dengan kunci pada HSM. Sebuah aplikasi dapat membandingkan set digest ini untuk memahami status sinkronisasi HSM dalam sebuah klaster.
-
[3] Objek bertopeng adalah kunci yang dienkripsi sebelum meninggalkan HSM. Objek tidak dapat didekripsi di luar HSM. Objek hanya didekripsi setelah dimasukkan ke dalam HSM yang ada di klaster yang sama dengan HSM asalnya diekstraksi. Sebuah aplikasi dapat mengekstraksi dan memasukkan objek tertutup untuk menyinkronkan HSM dalam sebuah klaster.
-
[4] Fungsi manajemen kunci termasuk membuat, menghapus, membungkus, membuka bungkusan, dan memodifikasi atribut kunci.
