AWS CloudHSM praktik terbaik manajemen pengguna - AWS CloudHSM
Lindungi kredensi HSM pengguna Anda Memiliki setidaknya dua admin untuk mencegah penguncianAktifkan kuorum untuk semua operasi manajemen penggunaBuat beberapa pengguna crypto, masing-masing dengan izin terbatas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS CloudHSM praktik terbaik manajemen pengguna

Ikuti praktik terbaik di bagian ini untuk mengelola pengguna secara efektif di AWS CloudHSM klaster Anda. HSMpengguna berbeda dari IAM pengguna. IAMpengguna dan entitas yang memiliki kebijakan berbasis identitas dengan izin yang sesuai dapat membuat dengan berinteraksi HSMs dengan sumber daya melalui. AWS API Setelah HSM dibuat, Anda harus menggunakan kredensyal HSM pengguna untuk mengautentikasi operasi pada file. HSM Untuk panduan rinci tentang HSM pengguna, lihatHSMpengguna di AWS CloudHSM.

Lindungi kredensi HSM pengguna Anda

Sangat penting untuk menjaga kredensyal HSM pengguna Anda terlindungi dengan aman karena HSM pengguna adalah entitas yang dapat mengakses dan melakukan operasi kriptografi dan manajemen pada Anda. HSM AWS CloudHSM tidak memiliki akses ke kredensi HSM pengguna Anda, dan tidak akan dapat membantu Anda jika Anda kehilangan akses ke mereka.

Memiliki setidaknya dua admin untuk mencegah penguncian

Untuk menghindari terkunci dari klaster Anda, kami sarankan Anda memiliki setidaknya dua admin jika satu kata sandi admin hilang. Jika ini terjadi, Anda dapat menggunakan admin lain untuk mengatur ulang kata sandi.

catatan

Admin di Klien SDK 5 identik dengan crypto officer (COs) di Klien 3. SDK

Aktifkan kuorum untuk semua operasi manajemen pengguna

Kuorum memungkinkan Anda untuk menetapkan jumlah min admin yang harus menyetujui operasi manajemen pengguna sebelum operasi itu dapat dilakukan. Karena hak istimewa yang dimiliki admin, kami menyarankan Anda mengaktifkan kuorum untuk semua operasi manajemen pengguna. Ini dapat membatasi potensi dampak jika salah satu kata sandi admin Anda disusupi. Untuk informasi selengkapnya, lihat Mengelola Kuorum.

Buat beberapa pengguna crypto, masing-masing dengan izin terbatas

Dengan memisahkan tanggung jawab pengguna crypto, tidak ada satu pengguna yang memiliki kendali penuh atas seluruh sistem. Untuk alasan ini, kami sarankan Anda membuat beberapa pengguna kripto dan membatasi izin masing-masing. Biasanya, ini dilakukan dengan memberi pengguna crypto yang berbeda tanggung jawab dan tindakan yang berbeda yang mereka lakukan (misalnya, memiliki satu pengguna crypto yang bertanggung jawab untuk membuat dan berbagi kunci dengan pengguna kripto lain yang kemudian menggunakannya dalam aplikasi Anda).

Sumber daya terkait: