Gestione degli utenti HSM con la CLI di CloudHSM - AWS CloudHSM
Informazioni sugli utenti HSMTabella autorizzazioni degli utenti HSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli utenti HSM con la CLI di CloudHSM

Usa gli strumenti a riga di comando della CLI di CloudHSM per creare e gestire gli utenti sul tuo HSM con l'SDK più recente.

Argomenti

Informazioni sugli utenti HSM

La maggior parte delle operazioni che puoi eseguire sull'HSM richiede le credenziali di un utente HSM. L’HSM autentica ogni utente HSM e ogni utente HSM dispone di un tipo che stabilisce quali operazioni può eseguire nell'HSM in qualità di utente.

Nota

Gli utenti HSM sono diversi dagli utenti IAM. Gli utenti IAM che dispongono delle credenziali corrette possono creare HSM interagendo con le risorse tramite l'API AWS. Dopo aver creato l'HSM, devi utilizzare le credenziali utente HSM per autenticare le operazioni sull'HSM.

Amministratore non attivato

Nella CLI di CloudHSM, l'amministratore non attivato è un utente temporaneo che esiste solo sul primo HSM in un cluster AWS CloudHSM che non è mai stato attivato. Per attivare un cluster, esegui il comando cluster activate nella CLI di CloudHSM. Dopo aver eseguito il comando, all'amministratore non attivato viene richiesto di modificare la password. Dopo aver modificato la password, l'amministratore non attivato diventa amministratore.

Admin

Nella CLI di CloudHSM, l'amministratore può eseguire operazioni di gestione degli utenti. Ad esempio, può creare ed eliminare gli utenti e modificare le password degli utenti. Per ulteriori informazioni sugli amministratori, consulta Tabella autorizzazioni degli utenti HSM.

Crypto user (CU)

Un utente di crittografia (CU) è in grado di eseguire le seguenti operazioni di crittografia e di gestione delle chiavi.

  • Gestione chiavi: consente di creare, eliminare, condividere, importare ed esportare le chiavi di crittografia.

  • Operazioni di crittografia: usa le chiavi di crittografia per la crittografia, la decrittografia, la firma, la verifica e altro ancora.

Per ulteriori informazioni, consulta Tabella autorizzazioni degli utenti HSM.

Utente dell'appliance (AU)

L’utente dell’applicazione (AU) è in grado di eseguire operazioni di clonazione e sincronizzazione sugli HSM del cluster. AWS CloudHSM usa l’AU per sincronizzare gli HSM in un cluster AWS CloudHSM. L'AU esiste su tutti gli HSM forniti da AWS CloudHSM e ha autorizzazioni limitate. Per ulteriori informazioni, consulta Tabella autorizzazioni degli utenti HSM.

AWS non è in grado di eseguire operazioni sugli HSM. AWS non può visualizzare o modificare gli utenti o le chiavi e non è in grado di eseguire alcuna operazione di crittografia con tali chiavi.

Tabella autorizzazioni degli utenti HSM

La tabella seguente elenca le operazioni HSM ordinate in base al tipo di utente o sessione HSM che può eseguire l'operazione.

Admin Utente di crittografia (CU) Utente dell'appliance (AU) Sessione autenticata
Ottenimento info cluster di base¹
Modifica della propria password Non applicabile
Modifica della password di qualsiasi utente No No No
Aggiunta, rimozione di utenti No No No
Ottenimento stato sincronizzazione³ No
Estrazione, inserimento di oggetti nascosti⁴ No
Funzioni di gestione Key⁵ No No No
Crittografia, decrittografia No No No
Firma, verifica No No No
Creazione di digest e HMAC No No No

  • [1] Le informazioni di base del cluster includono il numero di HSM, nonché l'indirizzo IP, il modello, il numero di serie, l'ID del dispositivo, l'ID del firmware e così via di ciascun HSM.

  • [2] L'utente può ottenere un set di digest (hash) corrispondenti alle chiavi dell'HSM. Un'applicazione può confrontare tali set di digest per determinare lo stato della sincronizzazione dell'HSM in un cluster.

  • [3] Gli oggetti mascherati sono chiavi crittografate prima di lasciare l'HSM. Non possono essere decrittografate esternamente all'HSM. Vengono decrittografate solo dopo essere state inserite in un HSM che si trova nello stesso cluster di quello da cui sono stati estratte. Un'applicazione è in grado di estrarre e inserire oggetti nascosti per sincronizzare gli HSM in un cluster.

  • [4] Le funzioni di gestione chiave includono la creazione, l'eliminazione, il wrapping, l'annullamento del wrapping e la modifica degli attributi delle chiavi.