本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CloudHSM 管理实用程序 (CMU, CloudHSM Management Utility) 管理 HSM 用户
在中 AWS CloudHSM,您必须使用 C loudHSM CLI 或 CloudHSM 管理实用程序 (CMU) 命令行工具在您的 H SM 上创建和管理用户。CloudHSM CLI 可与最新的 SDK 配合使用,而 CMU 则可与之前的 SDK 配合使用。
了解 HSM 用户
您在 HSM 上执行的大多数操作都需要 HSM 用户 的凭证。HSM 对每个 HSM 用户进行身份验证,每个 HSM 用户都有一种类型,其可确定您可以在 HSM 上以该用户身份执行的操作。
注意
HSM 用户与 IAM 用户不同。拥有正确证书的 IAM 用户可通过 AWS API 与资源交互来创建 HSM。创建 HSM 后,您必须使用 HSM 用户凭证对 HSM 上的操作进行身份验证。
准加密员 (PRECO)
在云管理实用程序 (CMU, cloud management utility) 和密钥管理实用程序 (KMU, key management utility) 中,PRECO 都是临时用户,仅存在于 AWS CloudHSM 集群中的第一个 HSM 上。新集群中的第一个 HSM 包含一个 PRECO 用户,表示该集群从未被激活。要激活集群,请执行 cloudhsm-cli 并运行 cluster activate 命令。登录该 HSM 并更改 PRECO 的密码。更改密码后,该用户就会变成加密员 (CO, crypto officer)。
加密员 (CO, Crypto officer)
在云管理实用程序 (CMU, cloud management utility) 和密钥管理实用程序 (KMU, key management utility) 中,加密员(CO)都可以执行用户管理操作。例如,它们可以创建和删除用户以及更改用户密码。有关 CO 用户的更多信息,请参阅 HSM 用户权限表。当您激活新集群时,此用户将从准加密员(PRECO, Precrypto Officer)更改为加密员 (CO, crypto officer)。-->
加密用户 (CU)
加密用户 (CU) 可以执行以下密钥管理和加密操作。
-
密钥管理 – 创建、删除、共享、导入和导出加密密钥。
-
加密操作 – 使用加密密钥来执行加密、解密、签名、验证及更多操作。
有关更多信息,请参阅 HSM 用户权限表。
设备用户 (AU)
设备用户 (AU) 可以在集群的 HSM 上执行克隆和同步操作。 AWS CloudHSM 使用 AU 同步 AWS CloudHSM 集群中的 HSM。AU 存在于由提供的所有 HSM 上 AWS CloudHSM,并且权限有限。有关更多信息,请参阅 HSM 用户权限表。
AWS 无法对您的 HSM 执行任何操作。 AWS 无法查看或修改您的用户或密钥,也无法使用这些密钥执行任何加密操作。
HSM 用户权限表
下表列出了按可以执行该操作的 HSM 用户或会话类型排序的 HSM 操作。
| 加密员 (CO, Crypto officer) | 加密用户 (CU) | 设备用户 (AU) | 未经身份验证的会话 | |
|---|---|---|---|---|
| 获取基本集群信息¹ | ||||
| 更改自己的密码 | 不适用 | |||
| 更改任意用户的密码 | ||||
| 添加、删除用户 | ||||
| 获取同步状态² | ||||
| 提取、插入遮蔽对象³ | ||||
| 密钥管理功能⁴ | ||||
| 加密、解密 | ||||
| 签署、验证 | ||||
| 生成摘要和 HMAC |
-
[1] 基本集群信息包括集群中 HSM 的数量和每个 HSM 的 IP 地址、型号、序列号、设备 ID、固件 ID 等。
-
[2] 用户可以获取与 HSM 上的密钥对应的一组摘要(哈希值)。应用程序可以将这些摘要集进行比较来了解集群中 HSM 的同步状态。
-
[3] 遮蔽对象是在离开 HSM 之前进行加密的密钥。它们无法在 HSM 外部加密。只有在将其插入 HSM 之后,并且该 HSM 所在集群与提取它们时的 HSM 的集群相同,才会解密它们。应用程序可以提取和插入遮蔽对象,以用于同步集群中的 HSM。
-
[4] 密钥管理功能包括创建、删除、包装、解开包装和修改密钥的属性。
