Tabla de permisos de usuarios del HSM para la CLI de CloudHSM
En la siguiente tabla, se muestran las operaciones del módulo de seguridad de hardware (HSM) ordenadas por tipo de usuario o sesión del HSM que puede realizar la operación en el AWS CloudHSM.
| Administrador | Usuario de criptografía (CU) | Usuario de dispositivos (AU) | Sesiones no autenticadas | |
|---|---|---|---|---|
| Obtener información básica del clúster¹ | ||||
| Cambiar su propia contraseña | No aplicable | |||
| Cambiar la contraseña de cualquier usuario | ||||
| Agregar o eliminar usuarios | ||||
| Obtener el estado de sincronización² | ||||
| Extraer o insertar objetos enmascarados³ | ||||
| Funciones de administración de claves⁴ | ||||
| Cifrar o descifrar | ||||
| Firmar o verificar | ||||
| Generar resúmenes y HMAC |
-
[1] La información básica sobre el clúster incluye el número de HSM que hay en el clúster y la dirección IP, el modelo, el número de serie, el ID de dispositivo, el ID de firmware, etc. de cada HSM.
-
[2] El usuario puede obtener un conjunto de resúmenes (hashes) que se corresponden con las claves del HSM. Una aplicación puede comparar estos conjuntos de resúmenes para conocer el estado de la sincronización de los HSM de un clúster.
-
[3] Los objetos enmascarados son claves que se cifran antes de salir del HSM. No se pueden descifrar fuera del HSM. Solo se descifran después de insertarlos en un HSM que se encuentra en el mismo clúster que el HSM del que se extrajeron. Una aplicación puede extraer e insertar objetos enmascarados para sincronizar los HSM de un clúster.
-
[4] Las funciones de administración de claves incluyen la creación, eliminación, encapsulación y modificación de los atributos de las claves.
