Mengelola pengguna HSM dengan CloudHSM Management Utility (CMU) - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola pengguna HSM dengan CloudHSM Management Utility (CMU)

Di AWS CloudHSM, Anda harus menggunakan alat baris perintah CloudHSM CLI atau CloudHSM Management Utility (CMU) untuk membuat dan mengelola pengguna di HSM Anda. CloudHSM CLI dirancang untuk digunakan dengan SDK terbaru, sedangkan CMU dirancang untuk digunakan dengan SDK sebelumnya.

Memahami pengguna HSM

Sebagian besar operasi yang dilakukan pada HSM memerlukan kredensial dari pengguna HSM. HSM mengautentikasi setiap pengguna HSM dan setiap pengguna HSM memiliki jenis yang menentukan operasi yang dapat Anda lakukan pada HSM sebagai pengguna tersebut.

catatan

Pengguna HSM berbeda dari pengguna IAM. Pengguna IAM yang memiliki kredensil yang benar dapat membuat HSM dengan berinteraksi dengan sumber daya melalui AWS API. Setelah HSM dibuat, Anda harus menggunakan kredensi pengguna HSM untuk mengautentikasi operasi pada HSM.

Petugas prakripto (PRECO)

Baik dalam utilitas manajemen cloud (CMU) dan utilitas manajemen kunci (KMU), PRECO adalah pengguna sementara yang hanya ada pada HSM pertama dalam sebuah cluster. AWS CloudHSM HSM pertama di cluster baru berisi pengguna PRECO yang menunjukkan bahwa cluster ini tidak pernah diaktifkan. Untuk mengaktifkan cluster, Anda menjalankan cloudhsm-cli dan menjalankan cluster activate perintah. masuk ke HSM dan ubah kata sandi PRECO. Saat Anda mengubah kata sandi, pengguna ini menjadi petugas kripto (CO).

Petugas kripto (CO)

Baik dalam utilitas manajemen cloud (CMU) dan utilitas manajemen kunci (KMU), petugas crypto (CO) dapat melakukan operasi manajemen pengguna. Misalnya, mereka dapat membuat dan menghapus pengguna dan mengubah kata sandi pengguna. Untuk informasi lebih lanjut tentang pengguna root, lihat Tabel izin pengguna HSM. Saat Anda mengaktifkan cluster baru, pengguna berubah dari Precto Officer (PRECO) menjadi crypto officer (CO) . -->

Pengguna kripto (CU)

Pengguna kripto (CU) dapat melakukan manajemen kunci dan operasi kriptografi berikut.

  • Manajemen kunci— Buat, hapus, bagikan, impor, dan ekspor kunci kriptografi.

  • Operasi kriptografi— Gunakan kunci kriptografi untuk enkripsi, dekripsi, penandatanganan, verifikasi, dan lainnya.

Untuk informasi selengkapnya, lihat Tabel izin pengguna HSM.

Pengguna alat (AU)

Pengguna alat (AU) dapat melakukan operasi kloning dan sinkronisasi pada HSM cluster Anda. AWS CloudHSM menggunakan AU untuk menyinkronkan HSM dalam sebuah AWS CloudHSM cluster. AU ada di semua HSM yang disediakan oleh AWS CloudHSM, dan memiliki izin terbatas. Untuk informasi selengkapnya, lihat Tabel izin pengguna HSM.

AWS tidak dapat melakukan operasi apa pun pada HSM Anda. AWS tidak dapat melihat atau memodifikasi pengguna atau kunci Anda dan tidak dapat melakukan operasi kriptografi apa pun menggunakan kunci tersebut.

Tabel izin pengguna HSM

Tabel berikut berisi daftar operasi HSM diurutkan berdasarkan jenis pengguna HSM atau sesi yang dapat melakukan operasi.

Petugas kripto (CO) Pengguna Kripto (CU) Pengguna Peralatan (AU) Sesi Tidak Diautentikasi
Dapatkan informasi klaster dasar¹ Ya Ya Ya Ya
Ubah kata sandi sendiri Ya Ya Ya Tidak berlaku
Ubah kata sandi pengguna Ya Tidak Tidak Tidak
Tambah, hapus pengguna Ya Tidak Tidak Tidak
Dapatkan status sinkronis² Ya Ya Ya Tidak
Ekstrak, masukkan benda bertopeng ³ Ya Ya Ya Tidak
Fungsi manajemen kunci Tidak Ya Tidak Tidak
Enkripsi, dekripsi Tidak Ya Tidak Tidak
Tanda tangan, verifikasi Tidak Ya Tidak Tidak
Hasilkan digests dan HMAC Tidak Ya Tidak Tidak
  • [1] Informasi klaster dasar mencakup jumlah HSM di klaster dan setiap alamat IP HSM, model, nomor seri, ID perangkat, ID firmware, dll

  • [2] Pengguna bisa mendapatkan satu set intisari (hash) yang sesuai dengan kunci pada HSM. Sebuah aplikasi dapat membandingkan set digest ini untuk memahami status sinkronisasi HSM dalam sebuah klaster.

  • [3] Objek bertopeng adalah kunci yang dienkripsi sebelum meninggalkan HSM. Objek tidak dapat didekripsi di luar HSM. Objek hanya didekripsi setelah dimasukkan ke dalam HSM yang ada di klaster yang sama dengan HSM asalnya diekstraksi. Sebuah aplikasi dapat mengekstraksi dan memasukkan objek tertutup untuk menyinkronkan HSM dalam sebuah klaster.

  • [4] Fungsi manajemen kunci termasuk membuat, menghapus, membungkus, membuka bungkusan, dan memodifikasi atribut kunci.