Gerenciando chaves com o CloudHSM CLI - AWS CloudHSM
Noções básicas sobre usuários do HSMTabela de permissões de usuário do HSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando chaves com o CloudHSM CLI

Use as ferramentas de linha de comando CLI do CloudHSM para criar e gerenciar os usuários no seu HSM com o SDK mais recente.

Tópicos

Noções básicas sobre usuários do HSM

A maioria das operações executadas no HSM exigem as credenciais de um usuário do HSM. O HSM autentica cada usuário do HSM e cada usuário do HSM tem um tipo que determina quais operações você pode realizar no HSM como esse usuário.

nota

Os usuários do HSM são diferentes dos usuários do IAM. Os usuários do IAM que têm as credenciais corretas podem criar HSMs interagindo com recursos por meio da API da AWS. Depois que o HSM for criado, você deverá usar as credenciais de usuário do HSM para autenticar as operações no HSM.

Administrador desativado

Na CLI do CloudHSM, o administrador não ativado é um usuário temporário que existe somente no primeiro HSM AWS CloudHSM em um cluster que nunca foi ativado. Use o comando na CLI do CloudHSM para ativar um cluster.cluster activate Depois de executar esse comando, o administrador não ativado é solicitado a alterar a senha. Depois de alterar a senha, o administrador não ativado se torna administrador.

Administrador

Na CLI do CloudHSM, o administrador pode realizar operações de gerenciamento de usuários. Por exemplo, eles podem criar e excluir usuários e alterar suas senhas. Para obter mais informações sobre administradores, consulte o Tabela de permissões de usuário do HSM.

Usuário de criptografia (CU)

Um usuário de criptografia (CU) pode realizar as seguintes operações de criptografia e gerenciamento de chaves.

  • Gerenciamento de chaves: criar, excluir, compartilhar, importar e exportar chaves criptográficas.

  • Operações criptográficas: use chaves criptográficas para criptografia, descriptografia, assinatura, verificação e muito mais.

Para obter mais informações, consulte Tabela de permissões de usuário do HSM.

Usuário de dispositivo (AU)

O usuário do equipamento (AU) pode realizar operações de clonagem e sincronização nos HSMs do seu cluster. AWS CloudHSM usa a AU para sincronizar os HSMs em um AWS CloudHSM cluster. A AU existe em todos os HSMs fornecidos por AWS CloudHSM, e tem permissões limitadas. Para obter mais informações, consulte Tabela de permissões de usuário do HSM.

AWS não pode realizar nenhuma operação em seus HSMs. AWS não pode visualizar ou modificar seus usuários ou chaves e não pode realizar nenhuma operação criptográfica usando essas chaves.

Tabela de permissões de usuário do HSM

A tabela a seguir lista as operações do HSM classificadas pelo tipo de usuário ou sessão do HSM que pode realizar a operação.

Administrador Usuário de criptografia (CU) Usuário de dispositivo (AU) Sessão não autenticada
Obter informações¹ básicas do cluster Yes (Sim) Yes (Sim) Yes (Sim) Yes (Sim)
Alterar a própria senha Yes (Sim) Yes (Sim) Yes (Sim) Não aplicável
Alterar a senha de qualquer usuário Sim Não No (Não) No (Não)
Adicionar, remover usuários Sim Não No (Não) No (Não)
Obter status³ de sincronização Yes (Sim) Yes (Sim) Yes (Sim) No (Não)
Extrair, inserir objetos mascarados⁴ Yes (Sim) Yes (Sim) Yes (Sim) Não
Funções de gerenciamento de chaves⁵ No (Não) Sim Não No (Não)
Criptografar, descriptografar No (Não) Sim Não No (Não)
Assinar, verificar No (Não) Sim Não No (Não)
Gerar resumos e HMACs No (Não) Sim Não No (Não)

  • [1] As informações básicas de cluster incluem o número de HSMs no cluster e cada endereço IP do HSM, o modelo, o número de série, o ID do dispositivo, o ID do firmware etc.

  • [2] O usuário pode obter um conjunto de arquivos de resumo (hashes) que correspondem às chaves no HSM. Um aplicativo pode comparar esses conjuntos de arquivos de resumo para compreender o status de sincronização de HSMs em um cluster.

  • [3] Objetos mascarados são chaves criptografadas antes de sair do HSM. Elas não podem ser descriptografadas fora do HSM. Somente são descriptografadas depois de serem inseridas em um HSM que esteja no mesmo cluster que o HSM do qual foram extraídas. Um aplicativo pode extrair e inserir objetos mascarados para sincronizar os HSMs em um cluster.

  • [4] As funções de gerenciamento de chaves incluem criar, excluir, encapsular, desencapsular e modificar os atributos das chaves.