CloudHSM CLI による HSM ユーザーの管理 - AWS CloudHSM
HSM ユーザーを理解するHSM ユーザーの許可テーブル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudHSM CLI による HSM ユーザーの管理

CloudHSM CLI コマンドラインツールを使用して、最新の SDK を使用して HSM でユーザーを作成および管理できます。

トピック

HSM ユーザーを理解する

HSM 上で実行するほとんどのオペレーションでは、HSM ユーザーの認証情報が必要です。HSM は各 HSM ユーザーを認証し、各 HSM ユーザーに設定されている タイプ により、ユーザーとして HSM で実行できるオペレーションが決定されます。

注記

HSM ユーザーは IAM ユーザーとは異なります。正しい認証情報を持つ IAM ユーザーは、AWS API を介してリソースを操作することで HSM を作成できます。HSM を作成したら、HSM ユーザー認証情報を使用して HSM でのオペレーションを認証する必要があります。

非アクティブ管理者

CloudHSM CLI では、非アクティブ化された管理者は、 AWS CloudHSM クラスター内のアクティブ化されたことのない最初の HSM にのみ存在する一時的なユーザーです。クラスターをアクティブ化する には、CloudHSM CLI で cluster activate コマンドを実行します。このコマンドを実行すると、非アクティブ化された管理者にはパスワードの変更を求めるプロンプトが表示されます。パスワードを変更すると、非アクティブ化された管理者は管理者になります。

管理

CloudHSM CLI では、管理者はユーザー管理オペレーションを実行できます。たとえば、ユーザーの作成および削除と、ユーザーパスワードの変更を行うことなどができます。管理者の詳細については、「HSM ユーザーの許可テーブル」を参照してください。

Crypto user (CU)

暗号化ユーザー (CU) は、以下のキー管理および暗号化のオペレーションを行うことができます。

  • キー管理 - 暗号化キーの作成、削除、共有、インポート、エクスポートを行います。

  • 暗号化オペレーション - 暗号化キーを使用して、暗号化、復号、署名、検証などを行います。

詳細については、「HSM ユーザーの許可テーブル」を参照してください。

Appliance user (AU)

アプライアンスユーザー (AU) は、クラスターの HSMs。 は AU AWS CloudHSM を使用して、 AWS CloudHSM クラスター内の HSMsを同期します。AU は、 によって提供されるすべての HSMs に存在し AWS CloudHSM、アクセス許可が制限されています。詳細については、「HSM ユーザーの許可テーブル」を参照してください。

AWS はHSMs でオペレーションを実行できません。ユーザーまたはキーを表示または変更 AWS することはできません。また、これらのキーを使用して暗号化オペレーションを実行することはできません。

HSM ユーザーの許可テーブル

以下の表は、オペレーションを実行できる HSM ユーザーまたはセッションのタイプ別にソートされた HSM オペレーションリストです。

管理 Crypto User (CU) Appliance User (AU) 未認証セッション
基本的なクラスター情報を取得する¹ はい はい はい はい
自分のパスワードを変更する はい はい はい 該当しない
ユーザーのパスワードを変更する はい いいえ いいえ いいえ
ユーザーを追加、削除する はい いいえ いいえ いいえ
同期のステータスを取得する² はい はい はい いいえ
マスクされたオブジェクトを抽出、挿入する³ はい はい はい いいえ
キー管理機能⁴ いいえ はい いいえ いいえ
暗号化、復号する いいえ はい いいえ いいえ
署名、検証する いいえ はい いいえ いいえ
ダイジェストと HMAC の生成 いいえ はい いいえ いいえ

  • [1] 基本情報には、クラスター内の HSM 数、各 HSM の IP アドレス、モデル、シリアル番号、デバイス ID、ファームウェア ID などが含まれます。

  • [2] ユーザーは、HSM のキーに対応するダイジェスト (ハッシュ) のセットを取得できます。アプリケーションは、これらのダイジェストのセットを比較して、クラスター内の HSM の同期状態を把握します。

  • [3] マスクされたオブジェクトは、HSM を離れる前に暗号化されるキーです。これらのオブジェクトを HSM の外部で復号することはできません。これらは、抽出された HSM と同じクラスターにある HSM に挿入された後にのみ復号されます。アプリケーションはマスクされたオブジェクトを抽出して挿入し、クラスター内の HSM を同期します。

  • [4] キー管理機能には、キーの属性の作成、削除、ラップ、ラップ解除、変更が含まれます。