CloudHSM 管理ユーティリティ (CMU) を使用する HSM ユーザーを管理する - AWS CloudHSM
HSM ユーザーを理解するHSM ユーザーの許可テーブル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudHSM 管理ユーティリティ (CMU) を使用する HSM ユーザーを管理する

では AWS CloudHSM、CloudHSM CLI または CloudHSM 管理ユーティリティ (CMU) コマンドラインツールを使用して、HSM でユーザーを作成および管理する必要があります。CloudHSM CLI は最新の SDK で使用するように設計されていますが、CMU は以前の SDK で使用するように設計されています。

トピック

HSM ユーザーを理解する

HSM 上で実行するほとんどのオペレーションでは、HSM ユーザーの認証情報が必要です。HSM は各 HSM ユーザーを認証し、各 HSM ユーザーに設定されている タイプ により、ユーザーとして HSM で実行できるオペレーションが決定されます。

注記

HSM ユーザーは IAM ユーザーとは異なります。正しい認証情報を持つ IAM ユーザーは、AWS API を介してリソースを操作することで HSM を作成できます。HSM を作成したら、HSM ユーザー認証情報を使用して HSM でのオペレーションを認証する必要があります。

PreCrypto Officer (PRECO)

クラウド管理ユーティリティ (CMU) とキー管理ユーティリティ (KMU) のどちらでも、PRECO は AWS CloudHSM クラスター内の最初の HSM にのみ存在する一時的なユーザーです。新しいクラスターの最初の HSM には、このクラスターがアクティブ化されたことがないことを示す PRECO ユーザーが含まれています。クラスターをアクティブ化する には、cloudhsm-cli を実行して cluster activate コマンドを実行します。HSM にログインし、PRECO のパスワードを変更します。パスワードを変更すると、このユーザーは Crypto Officer (CO) になります。

Crypto Officer (CO)

クラウド管理ユーティリティ (CMU) とキー管理ユーティリティ (KMU) のどちらでも、Crypto Officer (CO) がユーザー管理オペレーションを実行できます。たとえば、ユーザーの作成および削除と、ユーザーパスワードの変更を行うことなどができます。CO ユーザーの詳細情報は、HSM ユーザーの許可テーブル を参照してください。新しいクラスターを有効にすると、ユーザーは、Precrypto Officer (PRECO) から Crypto Officer (CO) に変わります。-->

Crypto user (CU)

暗号化ユーザー (CU) は、以下のキー管理および暗号化のオペレーションを行うことができます。

  • キー管理 - 暗号化キーの作成、削除、共有、インポート、エクスポートを行います。

  • 暗号化オペレーション - 暗号化キーを使用して、暗号化、復号、署名、検証などを行います。

詳細については、「HSM ユーザーの許可テーブル」を参照してください。

Appliance user (AU)

アプライアンスユーザー (AU) は、クラスターの HSMs。 は AU AWS CloudHSM を使用して AWS CloudHSM 、クラスター内の HSMsを同期します。AU は、 によって提供されるすべての HSMs に存在し AWS CloudHSM、アクセス許可が制限されています。詳細については、「HSM ユーザーの許可テーブル」を参照してください。

AWS はHSMs でオペレーションを実行できません。ユーザーまたはキーを表示または変更 AWS することはできません。また、これらのキーを使用して暗号化オペレーションを実行することはできません。

HSM ユーザーの許可テーブル

以下の表は、オペレーションを実行できる HSM ユーザーまたはセッションのタイプ別にソートされた HSM オペレーションリストです。

Crypto Officer (CO) 暗号化ユーザー (CU) Appliance User (AU) 未認証セッション
基本的なクラスター情報を取得する¹ はい はい はい はい
自分のパスワードを変更する はい はい はい 該当しない
ユーザーのパスワードを変更する はい いいえ いいえ いいえ
ユーザーを追加、削除する はい いいえ いいえ いいえ
同期のステータスを取得する² はい はい はい いいえ
マスクされたオブジェクトを抽出、挿入する³ はい はい はい いいえ
キー管理機能⁴ いいえ はい いいえ いいえ
暗号化、復号する いいえ はい いいえ いいえ
署名、検証する いいえ はい いいえ いいえ
ダイジェストと HMAC の生成 いいえ はい いいえ いいえ

  • [1] 基本情報には、クラスター内の HSM 数、各 HSM の IP アドレス、モデル、シリアル番号、デバイス ID、ファームウェア ID などが含まれます。

  • [2] ユーザーは、HSM のキーに対応するダイジェスト (ハッシュ) のセットを取得できます。アプリケーションは、これらのダイジェストのセットを比較して、クラスター内の HSM の同期状態を把握します。

  • [3] マスクされたオブジェクトは、HSM を離れる前に暗号化されるキーです。これらのオブジェクトを HSM の外部で復号することはできません。これらは、抽出された HSM と同じクラスターにある HSM に挿入された後にのみ復号されます。アプリケーションはマスクされたオブジェクトを抽出して挿入し、クラスター内の HSM を同期します。

  • [4] キー管理機能には、キーの属性の作成、削除、ラップ、ラップ解除、変更が含まれます。