翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudHSM CLI による HSM ユーザーの管理
CloudHSM CLI コマンドラインツールを使用して、最新の SDK を使用して HSM でユーザーを作成および管理できます。
HSM ユーザーを理解する
HSM 上で実行するほとんどのオペレーションでは、HSM ユーザーの認証情報が必要です。HSM は各 HSM ユーザーを認証し、各 HSM ユーザーに設定されている タイプ により、ユーザーとして HSM で実行できるオペレーションが決定されます。
注記
HSM ユーザーは IAM ユーザーとは異なります。正しい認証情報を持つ IAM ユーザーは、AWS API を介してリソースを操作することで HSM を作成できます。HSM を作成したら、HSM ユーザー認証情報を使用して HSM でのオペレーションを認証する必要があります。
非アクティブ管理者
CloudHSM CLI では、非アクティブ化された管理者は、 AWS CloudHSM クラスター内のアクティブ化されたことのない最初の HSM にのみ存在する一時的なユーザーです。クラスターをアクティブ化する には、CloudHSM CLI で cluster activate コマンドを実行します。このコマンドを実行すると、非アクティブ化された管理者にはパスワードの変更を求めるプロンプトが表示されます。パスワードを変更すると、非アクティブ化された管理者は管理者になります。
管理
CloudHSM CLI では、管理者はユーザー管理オペレーションを実行できます。たとえば、ユーザーの作成および削除と、ユーザーパスワードの変更を行うことなどができます。管理者の詳細については、「HSM ユーザーの許可テーブル」を参照してください。
Crypto user (CU)
暗号化ユーザー (CU) は、以下のキー管理および暗号化のオペレーションを行うことができます。
-
キー管理 - 暗号化キーの作成、削除、共有、インポート、エクスポートを行います。
-
暗号化オペレーション - 暗号化キーを使用して、暗号化、復号、署名、検証などを行います。
詳細については、「HSM ユーザーの許可テーブル」を参照してください。
Appliance user (AU)
アプライアンスユーザー (AU) は、クラスターの HSMs。 は AU AWS CloudHSM を使用して、 AWS CloudHSM クラスター内の HSMsを同期します。AU は、 によって提供されるすべての HSMs に存在し AWS CloudHSM、アクセス許可が制限されています。詳細については、「HSM ユーザーの許可テーブル」を参照してください。
AWS はHSMs でオペレーションを実行できません。ユーザーまたはキーを表示または変更 AWS することはできません。また、これらのキーを使用して暗号化オペレーションを実行することはできません。
HSM ユーザーの許可テーブル
以下の表は、オペレーションを実行できる HSM ユーザーまたはセッションのタイプ別にソートされた HSM オペレーションリストです。
管理 | Crypto User (CU) | Appliance User (AU) | 未認証セッション | |
---|---|---|---|---|
基本的なクラスター情報を取得する¹ | ||||
自分のパスワードを変更する | 該当しない | |||
ユーザーのパスワードを変更する | ||||
ユーザーを追加、削除する | ||||
同期のステータスを取得する² | ||||
マスクされたオブジェクトを抽出、挿入する³ | ||||
キー管理機能⁴ | ||||
暗号化、復号する | ||||
署名、検証する | ||||
ダイジェストと HMAC の生成 |
-
[1] 基本情報には、クラスター内の HSM 数、各 HSM の IP アドレス、モデル、シリアル番号、デバイス ID、ファームウェア ID などが含まれます。
-
[2] ユーザーは、HSM のキーに対応するダイジェスト (ハッシュ) のセットを取得できます。アプリケーションは、これらのダイジェストのセットを比較して、クラスター内の HSM の同期状態を把握します。
-
[3] マスクされたオブジェクトは、HSM を離れる前に暗号化されるキーです。これらのオブジェクトを HSM の外部で復号することはできません。これらは、抽出された HSM と同じクラスターにある HSM に挿入された後にのみ復号されます。アプリケーションはマスクされたオブジェクトを抽出して挿入し、クラスター内の HSM を同期します。
-
[4] キー管理機能には、キーの属性の作成、削除、ラップ、ラップ解除、変更が含まれます。