Mengelola pengguna HSM dengan Utilitas Manajemen CloudHSM (CMU) - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola pengguna HSM dengan Utilitas Manajemen CloudHSM (CMU)

DiAWS CloudHSM, Anda harus menggunakan alat baris perintah CloudHSM CLI atau Utilitas Manajemen CloudHSM (CMU) untuk membuat dan mengelola pengguna di HSM Anda. CloudHSM CLI dirancang untuk digunakan dengan SDK terbaru, sedangkan CMU dirancang untuk digunakan dengan SDK sebelumnya.

Memahami Pengguna HSM

Sebagian besar operasi yang dilakukan pada HSM memerlukan kredensial dari pengguna HSM. HSM mengautentikasi setiap pengguna HSM dan setiap pengguna HSM memiliki jenis yang menentukan operasi yang dapat Anda lakukan pada HSM sebagai pengguna tersebut.

catatan

Pengguna HSM berbeda dari pengguna IAM. Pengguna IAM yang memiliki kredensi yang benar dapat membuat HSM dengan berinteraksi dengan sumber daya melalui AWS API. Setelah HSM dibuat, Anda harus menggunakan kredensi pengguna HSM untuk mengotentikasi operasi pada HSM.

Petugas prakripto (PRECO)

Dalam utilitas manajemen cloud (CMU) dan utilitas manajemen kunci (KMU), PRECO adalah pengguna sementara yang hanya ada pada HSM pertama dalamAWS CloudHSM klaster. HSM pertama dalam klaster baru berisi pengguna PRECO yang menunjukkan bahwa klaster ini tidak pernah diaktifkan. Untuk mengaktifkan klaster, jalankan cloudhsm-cli dan jalankancluster activate perintah tersebut. masuk ke HSM dan ubah kata sandi PRECO. Saat Anda mengganti kata sandi, pengguna ini menjadi petugas kripto (CO).

Petugas kripto (CO)

Baik di cloud management utility (CMU) dan key management utility (KMU), crypto officer (CO) dapat melakukan operasi manajemen pengguna. Misalnya, mereka dapat membuat dan menghapus pengguna dan mengubah kata sandi pengguna. Untuk informasi lebih lanjut tentang pengguna root, lihat Tabel izin pengguna HSM. Saat Anda mengaktifkan klaster baru, perubahan pengguna dari Petugas Prakripto (PRECO) ke petugas kripto (CO) . -->

Pengguna kripto (CU)

Pengguna kripto (CU) dapat melakukan manajemen kunci dan operasi kriptografi berikut.

  • Manajemen kunci— Buat, hapus, bagikan, impor, dan ekspor kunci kriptografi.

  • Operasi kriptografi— Gunakan kunci kriptografi untuk enkripsi, dekripsi, penandatanganan, verifikasi, dan lainnya.

Untuk informasi selengkapnya, lihat Tabel izin pengguna HSM.

Pengguna peralatan (AU)

Pengguna peralatan (AU) dapat melakukan operasi kloning dan sinkronisasi pada HSM klaster Anda. AWS CloudHSMmenggunakan AU untuk menyinkronkan HSM dalamAWS CloudHSM klaster. AU ada pada semua HSM yang disediakan oleh AWS CloudHSM, dan memiliki izin terbatas. Untuk informasi selengkapnya, lihat Tabel izin pengguna HSM.

AWStidak dapat melakukan operasi apa pun pada HSM Anda. AWStidak dapat melihat atau mengubah pengguna atau kunci Anda dan tidak dapat melakukan operasi kriptografi menggunakan kunci tersebut.

Tabel izin pengguna HSM

Tabel berikut berisi daftar operasi HSM diurutkan berdasarkan jenis pengguna HSM atau sesi yang dapat melakukan operasi.

Petugas kripto (CO) Pengguna Kripto (CU) Pengguna Peralatan (AU) Sesi Tidak Diautentikasi
Dapatkan informasi klaster dasar¹ Ya Ya Ya Ya
Ubah kata sandi sendiri Ya Ya Ya Tidak berlaku
Ubah kata sandi pengguna Ya Tidak Tidak Tidak
Tambah, hapus pengguna Ya Tidak Tidak Tidak
Sinkronkan status² Ya Ya Ya Tidak
Ekstrak, masukkan objek tertutup³ Ya Ya Ya Tidak
Fungsi manajemen kunci³ Tidak Ya Tidak Tidak
Enkripsi, dekripsi Tidak Ya Tidak Tidak
Tanda tangan, verifikasi Tidak Ya Tidak Tidak
Hasilkan digests dan HMAC Tidak Ya Tidak Tidak
  • [1] Informasi klaster dasar mencakup jumlah HSM di klaster dan setiap alamat IP HSM, model, nomor seri, ID perangkat, ID firmware, dll

  • [2] Pengguna bisa mendapatkan satu set digest (hash) yang sesuai dengan kunci pada HSM. Sebuah aplikasi dapat membandingkan set digest ini untuk memahami status sinkronisasi HSM dalam sebuah klaster.

  • [3] Objek tertutup adalah kunci yang dienkripsi sebelum meninggalkan HSM. Objek tidak dapat didekripsi di luar HSM. Objek hanya didekripsi setelah dimasukkan ke dalam HSM yang ada di klaster yang sama dengan HSM asalnya diekstraksi. Sebuah aplikasi dapat mengekstraksi dan memasukkan objek tertutup untuk menyinkronkan HSM dalam sebuah klaster.

  • [4] Fungsi manajemen kunci termasuk membuat, menghapus, membungkus, membuka bungkus, dan memodifikasi atribut kunci.