本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudHSM 管理公用程式 (CMU) 管理 HSM 使用者
在中 AWS CloudHSM,您必須使用 CloudHSM CLI 或 CloudHSM 管理公用程式 (CMU) 命令列工具,在 HSM 上建立和管理使用者。CloudHSM CLI 可與最新的 SDK 版本系列搭配使用,而 CMU 則可與先前的 SDK 版本系列搭配使用。
了解 HSM 使用者
您在 HSM 上執行的大多數操作,都需要 HSM 使用者的登入資料。HSM 會驗證每個 HSM 使用者,且每個 HSM 使用者都有一種類型,決定您可以該使用者身分在 HSM 上執行哪些操作。
注意
HSM 使用者與 IAM 使用者不同。擁有正確憑證的 IAM 使用者可利用 AWS API 與資源進行互動來建立 HSM。HSM 建立後,您必須使用 HSM 使用者憑證來驗證 HSM 上的操作。
準加密員 (PRECO)
在雲端管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 中,PRECO 是暫時使用者,僅存在於 AWS CloudHSM 叢集中的第一個 HSM 上。新叢集中的第一個 HSM 包含一個 PRECO 使用者,這表示此叢集尚未啟用。如要啟用叢集,請執行 cloudhsm-cli 並執行 cluster activate 命令,然後登入 HSM 並變更 PRECO 的密碼。當您變更密碼時,此使用者會變成加密管理員 (CO)。
加密管理員 (CO)
在雲端管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 中,加密管理員 (CO) 可以執行使用者管理操作。例如,管理員可以建立和刪除使用者,也可以變更使用者密碼。如需有關加密使用者的詳細資訊,請參閱 HSM 使用者許可表。當您啟用新叢集時,使用者會由準加密員 (PRECO) 變成加密管理員 (CO)。-->
加密使用者 (CU)
加密使用者 (CU) 可以執行以下的金鑰管理和密碼編譯操作。
-
金錀管理:建立、刪除、共用、匯入和匯出密碼編譯金鑰。
-
密碼編譯操作:使用密碼編譯金鑰進行加密、解密、簽署、驗證及其他操作。
如需更多資訊,請參閱HSM 使用者許可表。
設備使用者 (AU)
設備使用者 (AU) 可以在叢集的 HSM 上執行複製和同步作業。 AWS CloudHSM 使用 AU 來同步 AWS CloudHSM 叢集中的 HSM。AU 存在於由提供的所有 HSM 上 AWS CloudHSM,並具有有限的權限。如需更多資訊,請參閱HSM 使用者許可表。
AWS 無法對您的 HSM 執行任何作業。 AWS 無法檢視或修改您的使用者或金鑰,也無法使用這些金鑰執行任何密碼編譯作業。
HSM 使用者許可表
下表按 HSM 使用者類型或可執行該操作的工作階段依次列出了 HSM 操作。
| 加密管理員 (CO) | 加密使用者 (CU) | 設備使用者 (AU) | 已驗證的工作階段 | |
|---|---|---|---|---|
| 取得基本叢集資訊¹ | ||||
| 變更自己的密碼 | 不適用 | |||
| 變更任何使用者的密碼 | ||||
| 新增、移除使用者 | ||||
| 取得同步狀態² | ||||
| 擷取、插入遮罩物件³ | ||||
| 金鑰管理功能⁴ | ||||
| 加密、解密 | ||||
| 簽署、驗證 | ||||
| 產生摘要和 HMAC |
-
[1] 基本叢集資訊包括叢集的 HSM 數目,以及每個 HSM 的 IP 地址、型號、序號、裝置 ID、韌體 ID 等。
-
[2] 使用者可以取得一組摘要 (雜湊),這組摘要會對應到 HSM 上的金鑰。應用程式可以比較這幾組摘要,以了解叢集中的 HSM 的同步狀態。
-
[3] 遮罩物件就是在離開 HSM 之前加密的金鑰。這些金錀無法在 HSM 外部解密。將金鑰插入 HSM,而且此 HSM 與先前從中擷取金鑰的 HSM 必須在同一個叢集,金鑰才會解密。應用程式可以擷取和插入遮罩物件,以同步叢集的 HSM。
-
[4] 金鑰管理功能包括建立、刪除、包裝、取消包裝及修改金鑰的屬性。
