AWS CloudHSM 管理ユーティリティの HSM ユーザータイプ - AWS CloudHSM
Precrypto Officer (PRECO)Crypto Officer (CO)Crypto User (CU)Appliance User (AU)

AWS CloudHSM 管理ユーティリティの HSM ユーザータイプ

ハードウェア セキュリティ モジュール (HSM) で実行するほとんどのオペレーションでは、AWS CloudHSM HSM ユーザーの認証情報が必要です。HSM は各 HSM ユーザーを認証し、各 HSM ユーザーに設定されている タイプ により、ユーザーとして HSM で実行できるオペレーションが決定されます。

注記

HSM ユーザーは IAM ユーザーとは異なります。正しい認証情報を持つ IAM ユーザーは、AWS API を介してリソースを操作することで HSM を作成できます。HSM を作成したら、HSM ユーザー認証情報を使用して HSM でのオペレーションを認証する必要があります。

Precrypto Officer (PRECO)

クラウド管理ユーティリティ (CMU) とキー管理ユーティリティ (KMU) のどちらでも、PRECO は AWS CloudHSM クラスター内の最初の HSM にのみ存在する一時的なユーザーです。新しいクラスターの最初の HSM には、このクラスターがアクティブ化されたことがないことを示す PRECO ユーザーが含まれています。クラスターをアクティブ化する には、cloudhsm-cli を実行して cluster activate コマンドを実行します。HSM にログインし、PRECO のパスワードを変更します。パスワードを変更すると、このユーザーは Crypto Officer (CO) になります。

Crypto Officer (CO)

クラウド管理ユーティリティ (CMU) とキー管理ユーティリティ (KMU) のどちらでも、Crypto Officer (CO) がユーザー管理オペレーションを実行できます。たとえば、ユーザーの作成および削除と、ユーザーパスワードの変更を行うことなどができます。CO ユーザーの詳細情報は、AWS CloudHSM 管理ユーティリティの HSM ユーザーアクセス許可テーブル を参照してください。新しいクラスターを有効にすると、ユーザーは、Precrypto Officer (PRECO) から Crypto Officer (CO) に変わります。-->

Crypto User (CU)

Crypto User (CU) は、以下のキー管理および暗号化のオペレーションを行うことができます。

  • キー管理 - 暗号化キーの作成、削除、共有、インポート、エクスポートを行います。

  • 暗号化オペレーション - 暗号化キーを使用して、暗号化、復号、署名、検証などを行います。

詳細については、「AWS CloudHSM 管理ユーティリティの HSM ユーザーアクセス許可テーブル」を参照してください。

Appliance User (AU)

Appliance User (AU) は、HSM のクラスターでクローン作成および同期オペレーションを行うことができます。AWS CloudHSM は、AU を使用して AWS CloudHSM クラスター内の HSM を同期します。AU は、AWS CloudHSM が提供するすべての HSM に存在し、アクセス許可は制限されています。詳細については、「AWS CloudHSM 管理ユーティリティの HSM ユーザーアクセス許可テーブル」を参照してください。

AWS は HSM 上のいかなるオペレーションも行うことができません。AWS は、ユーザーまたはキーを表示または変更することはできず、それらのキーを使用して暗号化操作を実行することもできません。