Noções básicas sobre usuários do HSM Tabela de permissões de usuário do HSM

Gerenciar usuários do HSM com o CloudHSM Management Utility (CMU)

Em AWS CloudHSM, você deve usar as ferramentas de linha de comando da CLI do CloudHSM ou do CloudHSM Management Utility (CMU) para criar e gerenciar os usuários no seu HSM. A CLI do CloudHSM foi projetada para ser usada com a série de versões mais recentes do SDK, enquanto o CMU foi projetado para ser usado com a série de versões anteriores dos SDKs.

Tópicos

Noções básicas sobre usuários do HSM

A maioria das operações executadas no HSM exigem as credenciais de um usuário do HSM. O HSM autentica cada usuário do HSM e cada usuário do HSM tem um tipo que determina quais operações você pode realizar no HSM como esse usuário.

nota

Os usuários do HSM são diferentes dos usuários do IAM. Os usuários do IAM que têm as credenciais corretas podem criar HSMs interagindo com recursos por meio da API da AWS. Depois que o HSM for criado, você deverá usar as credenciais de usuário do HSM para autenticar as operações no HSM.

Tipos de usuário

Responsável pela pré-criptografia (PRECO)
Responsável pela criptografia (CO)
Usuário de criptografia (CU)
Usuário de dispositivo (AU)

Responsável pela pré-criptografia (PRECO)

Tanto no utilitário de gerenciamento de nuvem (CMU) quanto no utilitário de gerenciamento de chaves (KMU), o PRECO é um usuário temporário que existe somente no primeiro HSM em um cluster AWS CloudHSM . O primeiro HSM em um novo cluster contém um usuário PRECO indicando que esse cluster nunca foi ativado. Para ativar um cluster, você executa o cloudhsm-cli e executa o cluster activate comando. Faça login no HSM e altere a senha do PRECO. Ao alterar a senha, o usuário PRECO se torna um responsável pela criptografia (CO).

Responsável pela criptografia (CO)

Tanto no utilitário de gerenciamento de nuvem (CMU) quanto no utilitário de gerenciamento de chaves (KMU), um responsável pela criptografia (CO) pode realizar operações de gerenciamento de usuários. Por exemplo, eles podem criar e excluir usuários e alterar suas senhas. Para obter mais informações sobre usuários CO, consulte Tabela de permissões de usuário do HSM. Quando você ativa um novo cluster, o usuário muda de responsável pela pré-criptografia (PRECO) para responsável pela criptografia (CO).-->

Usuário de criptografia (CU)

Um usuário de criptografia (CU) pode realizar as seguintes operações de criptografia e gerenciamento de chaves.

Gerenciamento de chaves: criar, excluir, compartilhar, importar e exportar chaves criptográficas.
Operações criptográficas: use chaves criptográficas para criptografia, descriptografia, assinatura, verificação e muito mais.

Para obter mais informações, consulte Tabela de permissões de usuário do HSM.

Usuário de dispositivo (AU)

O usuário do equipamento (AU) pode realizar operações de clonagem e sincronização nos HSMs do seu cluster. AWS CloudHSM usa a AU para sincronizar os HSMs em um AWS CloudHSM cluster. A AU existe em todos os HSMs fornecidos por AWS CloudHSM, e tem permissões limitadas. Para obter mais informações, consulte Tabela de permissões de usuário do HSM.

AWS não pode realizar nenhuma operação em seus HSMs. AWS não pode visualizar ou modificar seus usuários ou chaves e não pode realizar nenhuma operação criptográfica usando essas chaves.

Tabela de permissões de usuário do HSM

A tabela a seguir lista as operações do HSM classificadas pelo tipo de usuário ou sessão do HSM que pode realizar a operação.

	Responsável pela criptografia (CO)	Usuário de criptografia (CU)	Usuário de dispositivo (AU)	Sessão não autenticada
Obter informações¹ básicas do cluster	Yes (Sim)	Yes (Sim)	Yes (Sim)	Yes (Sim)
Alterar a própria senha	Yes (Sim)	Yes (Sim)	Yes (Sim)	Não aplicável
Alterar a senha de qualquer usuário	Sim	Não	No (Não)	No (Não)
Adicionar, remover usuários	Sim	Não	No (Não)	No (Não)
Obter status³ de sincronização	Yes (Sim)	Yes (Sim)	Yes (Sim)	No (Não)
Extrair, inserir objetos mascarados⁴	Yes (Sim)	Yes (Sim)	Yes (Sim)	Não
Funções de gerenciamento de chaves⁵	No (Não)	Sim	Não	No (Não)
Criptografar, descriptografar	No (Não)	Sim	Não	No (Não)
Assinar, verificar	No (Não)	Sim	Não	No (Não)
Gerar resumos e HMACs	No (Não)	Sim	Não	No (Não)

[1] As informações básicas de cluster incluem o número de HSMs no cluster e cada endereço IP do HSM, o modelo, o número de série, o ID do dispositivo, o ID do firmware etc.
[2] O usuário pode obter um conjunto de arquivos de resumo (hashes) que correspondem às chaves no HSM. Um aplicativo pode comparar esses conjuntos de arquivos de resumo para compreender o status de sincronização de HSMs em um cluster.
[3] Objetos mascarados são chaves criptografadas antes de sair do HSM. Elas não podem ser descriptografadas fora do HSM. Somente são descriptografadas depois de serem inseridas em um HSM que esteja no mesmo cluster que o HSM do qual foram extraídas. Um aplicativo pode extrair e inserir objetos mascarados para sincronizar os HSMs em um cluster.
[4] As funções de gerenciamento de chaves incluem criar, excluir, encapsular, desencapsular e modificar os atributos das chaves.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Altere o valor mínimo

Usar o CMU para gerenciar usuários