HSM ユーザー - AWS CloudHSM

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

HSM ユーザー

HSM 上で実行するほとんどのオペレーションでは、HSM ユーザーの認証情報が必要です。HSM は、ユーザー名とパスワードを使用して各 HSM ユーザーを認証します。

各 HSM ユーザーには、HSM でユーザーが実行することができるオペレーションを判断するタイプがあります。次のトピックでは、HSM ユーザーのタイプについて説明します。

PreCrypto Officer (PRECO)

PreCrypto Officer (PRECO) は、一時的なユーザーであり、AWS CloudHSM クラスターの最初の HSM にのみ存在します。新しいクラスターの最初の HSM には、デフォルトのユーザー名とパスワードが割り当てられている PRECO ユーザーが存在します。「クラスターをアクティブ化する」には、HSM にログインして、PRECO ユーザーのパスワードを変更します。パスワードを変更すると、PRECO は Crypto Officer (CO) になります。PRECO ユーザーは、自分のパスワードの変更と、HSM の読み取り専用オペレーションのみ行うことができます。

Crypto Officer (CO)

Crypto Officer (CO) は、ユーザー管理オペレーションを行うことができます。たとえば、CO は、ユーザーの作成および削除と、ユーザーパスワードの変更を行うことができます。詳細については、『HSM ユーザーのアクセス許可テーブル』を参照してください。新しいクラスターを有効にすると、ユーザーは、Precrypto Officer (PRECO) から Crypto Officer (CO) に変わります。

Crypto User (CU)

Crypto User (CU) は、以下のキー管理および暗号化のオペレーションを行うことができます。

  • キー管理 – 暗号化キーの作成、削除、共有、インポート、エクスポートを行います。

  • 暗号化オペレーション – 暗号化キーを使用して、暗号化、復号、署名、検証などを行います。

詳細については、『HSM ユーザーのアクセス許可テーブル』を参照してください。

Appliance User (AU)

アプライアンスユーザー (AU) は、クローン作成および同期オペレーションを行うことができます。 AWS CloudHSM は、AU を使用して AWS CloudHSM クラスター内の HSM を同期します。AU は、AWS CloudHSM が提供するすべての HSM に存在し、アクセス許可は制限されています。詳細については、『HSM ユーザーのアクセス許可テーブル』を参照してください。

AWS は AU を使用して、クローン作成および同期オペレーションをクラスターの HSM で実行します。AWS は、AU および認証されていないユーザーに付与されたものを除き、HSM でいずれのオペレーションも実行できません。AWS は、ユーザーあるいはキーの表示や変更、そしてこのキーを使用した一切の暗号化オペレーションを実行できません。

HSM ユーザーのアクセス許可テーブル

HSM オペレーションと、各タイプの HSM ユーザーによるそのオペレーションの実行可否を以下のテーブルに示します。

Crypto Officer (CO) Crypto User (CU) Appliance User (AU) 未認証ユーザー
基本的なクラスター情報を取得する¹ はい はい はい はい
HSM をゼロ化する² はい はい はい はい
自分のパスワードを変更する はい はい はい 該当しません
ユーザーのパスワードを変更する はい なし いいえ いいえ
ユーザーを追加、削除する はい なし いいえ いいえ
同期のステータスを取得する³ はい はい はい いいえ
マスクされたオブジェクトを抽出、挿入する⁴ はい はい はい いいえ
キー管理機能⁵ いいえ はい なし いいえ
暗号化、復号する いいえ はい なし いいえ
署名、検証する いいえ はい なし いいえ
ダイジェストと HMAC の生成 いいえ はい なし いいえ

¹基本情報には、クラスター内の HSM 数、各 HSM の IP アドレス、モデル、シリアル番号、デバイス ID、ファームウェア ID などが含まれます。

²HSM がゼロ化されると、HSM のキー、証明書などのデータはすべて破棄されます。クラスターのセキュリティグループを使用して、未認証ユーザーが HSM をゼロ化できないようにします。詳細については、「クラスターを作成する」を参照してください。

³ユーザーは、HSM のキーに対応するダイジェスト (ハッシュ) のセットを取得できます。アプリケーションは、これらのダイジェストのセットを比較して、クラスター内の HSM の同期状態を把握します。

⁴マスクされたオブジェクトは、HSM を離れる前に暗号化されるキーです。これらのオブジェクトを HSM の外部で復号することはできません。これらは、抽出された HSM と同じクラスターにある HSM に挿入された後にのみ復号されます。アプリケーションはマスクされたオブジェクトを抽出して挿入し、クラスター内の HSM を同期します。

⁵キー管理機能には、キーの属性の作成、削除、ラップ、ラップ解除、変更が含まれます。