Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Folgen Sie den bewährten Methoden in diesem Abschnitt, um Benutzer in Ihrem AWS CloudHSM Cluster effektiv zu verwalten. HSM-Benutzer unterscheiden sich von IAM-Benutzern. IAM-Benutzer und Entitäten, die über eine identitätsbasierte Richtlinie mit den entsprechenden Berechtigungen verfügen, können diese erstellen, HSMs indem sie über die AWS-API mit Ressourcen interagieren. Nachdem das HSM erstellt wurde, müssen Sie HSM-Benutzeranmeldedaten verwenden, um Vorgänge auf dem HSM zu authentifizieren. Eine ausführliche Anleitung für HSM-Benutzer finden Sie unter. HSM-Benutzer in AWS CloudHSM
Schützen Sie die Anmeldeinformationen Ihrer HSM-Benutzer
Es ist unerlässlich, die Anmeldeinformationen Ihrer HSM-Benutzer sicher zu schützen, da HSM-Benutzer die Entitäten sind, die auf Ihr HSM zugreifen und kryptografische und Verwaltungsvorgänge auf Ihrem HSM ausführen können. AWS CloudHSM hat keinen Zugriff auf Ihre HSM-Benutzeranmeldedaten und kann Ihnen nicht weiterhelfen, wenn Sie den Zugriff darauf verlieren.
Haben Sie mindestens zwei Administratoren, um eine Aussperrung zu verhindern
Um zu verhindern, dass Sie aus Ihrem Cluster ausgesperrt werden, empfehlen wir, dass Sie mindestens zwei Administratoren haben, falls ein Administratorkennwort verloren geht. In diesem Fall können Sie den anderen Administrator verwenden, um das Passwort zurückzusetzen.
Anmerkung
Admins im Client SDK 5 sind synonym mit Crypto Officers (COs) im Client SDK 3.
Aktivieren Sie das Quorum für alle Benutzerverwaltungsvorgänge
Mit Quorum können Sie eine Mindestanzahl von Administratoren festlegen, die einen Benutzerverwaltungsvorgang genehmigen müssen, bevor dieser Vorgang durchgeführt werden kann. Aufgrund der Rechte, die Administratoren haben, empfehlen wir, Quorum für alle Benutzerverwaltungsvorgänge zu aktivieren. Dies kann die potenziellen Auswirkungen einschränken, wenn eines Ihrer Administratorkennwörter kompromittiert wird. Weitere Informationen finden Sie unter Quorum verwalten.
Erstellen Sie mehrere Krypto-Benutzer, von denen jeder über eingeschränkte Berechtigungen verfügt
Durch die Trennung der Verantwortlichkeiten der Krypto-Benutzer hat kein Benutzer die vollständige Kontrolle über das gesamte System. Aus diesem Grund empfehlen wir Ihnen, mehrere Krypto-Benutzer zu erstellen und deren Berechtigungen einzuschränken. In der Regel erfolgt dies, indem verschiedenen Krypto-Benutzern deutlich unterschiedliche Verantwortlichkeiten und Aktionen zugewiesen werden (z. B. ein Krypto-Benutzer, der für die Generierung und gemeinsame Nutzung von Schlüsseln mit anderen Krypto-Benutzern verantwortlich ist, die diese dann in Ihrer Anwendung verwenden).
Zugehörige Ressourcen:
