Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione degli utenti HSM con CloudHSM Management Utility (CMU)
In AWS CloudHSM, devi utilizzare la CLI CloudHSM o la CloudHSM Management Utility (CMU) per creare e gestire gli utenti sul tuo HSM. La CLI di CloudhSM è progettata per essere utilizzata con l'SDK più recente, mentre la CMU è progettata per essere utilizzata con gli SDK precedenti.
Argomenti
Informazioni sugli utenti HSM
La maggior parte delle operazioni che puoi eseguire sull'HSM richiede le credenziali di un utente HSM. L’HSM autentica ogni utente HSM e ogni utente HSM dispone di un tipo che stabilisce quali operazioni può eseguire nell'HSM in qualità di utente.
Nota
Gli utenti HSM sono diversi dagli utenti IAM. Gli utenti IAM che dispongono delle credenziali corrette possono creare HSM interagendo con le risorse tramite l'API AWS. Dopo aver creato l'HSM, devi utilizzare le credenziali utente HSM per autenticare le operazioni sull'HSM.
Tipi di utente
Precrypto officer (PRECO)
Sia sulla Cloud Management Utility (CMU) che sulla Key Management Utility (KMU), PRECO è un utente temporaneo che esiste solo sul primo HSM di un cluster AWS CloudHSM. Il primo HSM in un nuovo cluster contiene un utente PRECO che indica che questo cluster non è mai stato attivato. Per attivare un cluster, esegui cloudhsm-cli ed esegui il comando cluster activate. Accedi all'HSM e modifica la password dell’utente PRECO. Quando cambi la password, l'utente diventa un crypto officer (CO).
Crypto officer (CO)
Sia sulla Cloud Management Utility (CMU) che sulla Key Management Utility (KMU), un crypto officer (CO) può eseguire operazioni di gestione degli utenti. Ad esempio, può creare ed eliminare gli utenti e modificare le password degli utenti. Per ulteriori informazioni sugli utenti CO, consulta Tabella autorizzazioni degli utenti HSM. Quando si attiva un nuovo cluster, lo stato dell'utente cambia da Precrypto Officer (PRECO) a crypto officer (CO).-->
Crypto user (CU)
Un utente di crittografia (CU) è in grado di eseguire le seguenti operazioni di crittografia e di gestione delle chiavi.
-
Gestione chiavi: consente di creare, eliminare, condividere, importare ed esportare le chiavi di crittografia.
-
Operazioni di crittografia: usa le chiavi di crittografia per la crittografia, la decrittografia, la firma, la verifica e altro ancora.
Per ulteriori informazioni, consulta Tabella autorizzazioni degli utenti HSM.
Utente dell'appliance (AU)
L’utente dell’applicazione (AU) è in grado di eseguire operazioni di clonazione e sincronizzazione sugli HSM del cluster. AWS CloudHSM usa l’AU per sincronizzare gli HSM in un cluster AWS CloudHSM. L'AU esiste su tutti gli HSM forniti da AWS CloudHSM e ha autorizzazioni limitate. Per ulteriori informazioni, consulta Tabella autorizzazioni degli utenti HSM.
AWS non è in grado di eseguire operazioni sugli HSM. AWS non può visualizzare o modificare gli utenti o le chiavi e non è in grado di eseguire alcuna operazione di crittografia con tali chiavi.
Tabella autorizzazioni degli utenti HSM
La tabella seguente elenca le operazioni HSM ordinate in base al tipo di utente o sessione HSM che può eseguire l'operazione.
| Crypto officer (CO) | Utente di crittografia (CU) | Utente dell'appliance (AU) | Sessione autenticata | |
|---|---|---|---|---|
| Ottenimento info cluster di base¹ | ||||
| Modifica della propria password | Non applicabile | |||
| Modifica della password di qualsiasi utente | ||||
| Aggiunta, rimozione di utenti | ||||
| Ottenimento stato sincronizzazione³ | ||||
| Estrazione, inserimento di oggetti nascosti⁴ | ||||
| Funzioni di gestione Key⁵ | ||||
| Crittografia, decrittografia | ||||
| Firma, verifica | ||||
| Creazione di digest e HMAC |
-
[1] Le informazioni di base del cluster includono il numero di HSM, nonché l'indirizzo IP, il modello, il numero di serie, l'ID del dispositivo, l'ID del firmware e così via di ciascun HSM.
-
[2] L'utente può ottenere un set di digest (hash) corrispondenti alle chiavi dell'HSM. Un'applicazione può confrontare tali set di digest per determinare lo stato della sincronizzazione dell'HSM in un cluster.
-
[3] Gli oggetti mascherati sono chiavi crittografate prima di lasciare l'HSM. Non possono essere decrittografate esternamente all'HSM. Vengono decrittografate solo dopo essere state inserite in un HSM che si trova nello stesso cluster di quello da cui sono stati estratte. Un'applicazione è in grado di estrarre e inserire oggetti nascosti per sincronizzare gli HSM in un cluster.
-
[4] Le funzioni di gestione chiave includono la creazione, l'eliminazione, il wrapping, l'annullamento del wrapping e la modifica degli attributi delle chiavi.
