Gerenciando usuários do HSM com o CloudHSM CLI - AWS CloudHSM
Noções básicas sobre os usuários HSMTabela de permissões de usuário do HSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando usuários do HSM com o CloudHSM CLI

Use as ferramentas de linha de comando da CLI do CloudHSM para criar e gerenciar os usuários em seu HSM com o SDK mais recente.

Tópicos

Noções básicas sobre os usuários HSM

A maioria das operações executadas no HSM exigem as credenciais de um usuário do HSM. O HSM autentica cada usuário do HSM e cada usuário do HSM tem um tipo que determina quais operações você pode realizar no HSM como esse usuário.

nota

Os usuários do HSM são diferentes dos usuários do IAM. Os usuários do IAM que têm as credenciais corretas podem criar HSMs interagindo com recursos por meio da API da AWS. Depois que o HSM for criado, você deverá usar as credenciais de usuário do HSM para autenticar as operações no HSM.

Administrador não ativado

Na CLI do CloudHSM, o administrador não ativado é um usuário temporário que existe somente no primeiro HSM em umAWS CloudHSM cluster que nunca foi ativado. Para ativar um cluster, execute ocluster activate comando na CLI do CloudHSM. Depois de executar esse comando, o administrador desativado é solicitado a alterar a senha. Depois de alterar a senha, o administrador desativado se torna administrador.

Admin

Na CLI do CloudHSM, o administrador pode realizar operações de gerenciamento de usuários. Por exemplo, eles podem criar e excluir usuários e alterar senhas de usuário. Para obter mais informações sobre administradores, consulte oTabela de permissões de usuário do HSM.

Usuário de criptografia (CU)

Um usuário de criptografia (CU) pode realizar as seguintes operações de criptografia e gerenciamento de chaves.

  • Gerenciamento de chaves — Crie, exclua, compartilhe, importe e exporte chaves criptográficas.

  • Operações criptográficas — Use chaves criptográficas para criptografia, decodificação, assinatura, verificação e muito mais.

Para obter mais informações, consulte Tabela de permissões de usuário do HSM.

Usuário de dispositivo (AU)

O usuário do equipamento (AU) pode realizar operações de clonagem e sincronização nos HSMs do seu cluster. AWS CloudHSMusa a AU para sincronizar os HSMs em umAWS CloudHSM cluster. O AU existe em todos os HSMs fornecidos pelo AWS CloudHSM, e tem permissões limitadas. Para obter mais informações, consulte Tabela de permissões de usuário do HSM.

AWSnão pode realizar nenhuma operação em seus HSMs. AWSnão pode visualizar ou modificar seus usuários ou chaves e não pode realizar nenhuma operação criptográfica usando essas chaves.

Tabela de permissões de usuário do HSM

A tabela a seguir lista as operações do HSM classificadas pelo tipo de usuário ou sessão do HSM que pode executar a operação.

Admin Usuário de criptografia (CU) Usuário de dispositivo (AU) Sessão não autenticada
Obter informações¹ básicas do cluster Yes (Sim) Yes (Sim) Yes (Sim) Yes (Sim)
Alterar a própria senha Yes (Sim) Yes (Sim) Yes (Sim) Não aplicável
Alterar a senha de qualquer usuário Yes (Sim) No (Não) No (Não) No (Não)
Adicionar, remover usuários Yes (Sim) No (Não) No (Não) No (Não)
Obter status de sincronização² Yes (Sim) Yes (Sim) Yes (Sim) No (Não)
Extraia, insira objetos mascarados³ Yes (Sim) Yes (Sim) Yes (Sim) No (Não)
Funções de gerenciamento¹ No (Não) Yes (Sim) No (Não) No (Não)
Criptografar, descriptografar No (Não) Yes (Sim) No (Não) No (Não)
Assinar, verificar No (Não) Yes (Sim) No (Não) No (Não)
Gerar resumos e HMACs No (Não) Yes (Sim) No (Não) No (Não)

  • [1] As informações básicas do cluster incluem o número de HSMs no cluster e o endereço IP, modelo, número de série, ID do dispositivo, ID do firmware, etc.

  • [2] O usuário pode obter um conjunto de resumos (hashes) que correspondem às chaves no HSM. Um aplicativo pode comparar esses conjuntos de arquivos de resumo para compreender o status de sincronização de HSMs em um cluster.

  • [3] Objetos mascarados são chaves criptografadas antes de saírem do HSM. Elas não podem ser descriptografadas fora do HSM. Somente são descriptografadas depois de serem inseridas em um HSM que esteja no mesmo cluster que o HSM do qual foram extraídas. Um aplicativo pode extrair e inserir objetos mascarados para sincronizar os HSMs em um cluster.

  • [4] As funções de gerenciamento de chaves incluem criar, excluir, empacotar, desempacotar e modificar os atributos das chaves.