AWS CloudHSM Bewährte Methoden für die Benutzerverwaltung - AWS CloudHSM
Schützen Sie HSM die Anmeldeinformationen Ihrer Benutzer Haben Sie mindestens zwei Administratoren, um eine Aussperrung zu verhindernAktivieren Sie das Quorum für alle BenutzerverwaltungsvorgängeErstellen Sie mehrere Krypto-Benutzer, von denen jeder über eingeschränkte Berechtigungen verfügt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudHSM Bewährte Methoden für die Benutzerverwaltung

Folgen Sie den bewährten Methoden in diesem Abschnitt, um Benutzer in Ihrem AWS CloudHSM Cluster effektiv zu verwalten. HSMBenutzer unterscheiden sich von IAM Benutzern. IAMBenutzer und Entitäten, die über eine identitätsbasierte Richtlinie mit den entsprechenden Berechtigungen verfügen, können HSMs durch Interaktion mit Ressourcen über die etwas erstellen. AWS API Nach der HSM Erstellung müssen Sie HSM Benutzeranmeldedaten verwenden, um Vorgänge auf dem zu authentifizieren. HSM Eine ausführliche HSM Benutzeranleitung finden Sie unterHSMBenutzer in AWS CloudHSM.

Schützen Sie HSM die Anmeldeinformationen Ihrer Benutzer

Es ist unerlässlich, die Anmeldeinformationen Ihrer HSM Benutzer sicher zu schützen, da HSM Benutzer die Entitäten sind, die auf Ihre zugreifen und kryptografische und Verwaltungsvorgänge auf Ihnen HSM ausführen können. AWS CloudHSM hat keinen Zugriff auf Ihre HSM Benutzeranmeldedaten und kann Ihnen nicht weiterhelfen, wenn Sie den Zugriff darauf verlieren.

Haben Sie mindestens zwei Administratoren, um eine Aussperrung zu verhindern

Um zu verhindern, dass Sie aus Ihrem Cluster ausgesperrt werden, empfehlen wir, dass Sie mindestens zwei Administratoren haben, falls ein Administratorkennwort verloren geht. In diesem Fall können Sie den anderen Administrator verwenden, um das Passwort zurückzusetzen.

Anmerkung

Admins in Client SDK 5 sind gleichbedeutend mit Crypto Officers (COs) in Client 3. SDK

Aktivieren Sie das Quorum für alle Benutzerverwaltungsvorgänge

Mit Quorum können Sie eine Mindestanzahl von Administratoren festlegen, die einen Benutzerverwaltungsvorgang genehmigen müssen, bevor dieser Vorgang durchgeführt werden kann. Aufgrund der Rechte, die Administratoren haben, empfehlen wir, Quorum für alle Benutzerverwaltungsvorgänge zu aktivieren. Dies kann die potenziellen Auswirkungen einschränken, wenn eines Ihrer Administratorkennwörter kompromittiert wird. Weitere Informationen finden Sie unter Quorum verwalten.

Erstellen Sie mehrere Krypto-Benutzer, von denen jeder über eingeschränkte Berechtigungen verfügt

Durch die Trennung der Verantwortlichkeiten der Krypto-Benutzer hat kein Benutzer die vollständige Kontrolle über das gesamte System. Aus diesem Grund empfehlen wir Ihnen, mehrere Krypto-Benutzer zu erstellen und deren Berechtigungen einzuschränken. In der Regel erfolgt dies, indem verschiedenen Krypto-Benutzern deutlich unterschiedliche Verantwortlichkeiten und Aktionen zugewiesen werden (z. B. ein Krypto-Benutzer, der für die Generierung und gemeinsame Nutzung von Schlüsseln mit anderen Krypto-Benutzern verantwortlich ist, die diese dann in Ihrer Anwendung verwenden).

Zugehörige Ressourcen: