CloudHSM CLI の HSM ユーザータイプ
ハードウェア セキュリティ モジュール (HSM) で実行するほとんどのオペレーションでは、AWS CloudHSM HSM ユーザーの認証情報が必要です。HSM は各 HSM ユーザーを認証し、各 HSM ユーザーに設定されている タイプ により、ユーザーとして HSM で実行できるオペレーションが決定されます。
注記
HSM ユーザーは IAM ユーザーとは異なります。正しい認証情報を持つ IAM ユーザーは、AWS API を介してリソースを操作することで HSM を作成できます。HSM を作成したら、HSM ユーザー認証情報を使用して HSM でのオペレーションを認証する必要があります。
非アクティブ管理者
CloudHSM CLI では、非アクティブ化された管理者は、AWS CloudHSM クラスター内のアクティブ化されたことのない最初の HSM にのみ存在する一時的なユーザーです。クラスターをアクティブ化する には、CloudHSM CLI で cluster activate コマンドを実行します。このコマンドを実行すると、非アクティブ化された管理者にはパスワードの変更を求めるプロンプトが表示されます。パスワードを変更すると、非アクティブ化された管理者は管理者になります。
管理
CloudHSM CLI では、管理者はユーザー管理オペレーションを実行できます。たとえば、ユーザーの作成および削除と、ユーザーパスワードの変更を行うことなどができます。管理者の詳細については、「CloudHSM CLI の HSM ユーザーアクセス許可テーブル」を参照してください。
Crypto User (CU)
Crypto User (CU) は、以下のキー管理および暗号化のオペレーションを行うことができます。
-
キー管理 - 暗号化キーの作成、削除、共有、インポート、エクスポートを行います。
-
暗号化オペレーション - 暗号化キーを使用して、暗号化、復号、署名、検証などを行います。
詳細については、「CloudHSM CLI の HSM ユーザーアクセス許可テーブル」を参照してください。
Appliance User (AU)
Appliance User (AU) は、HSM のクラスターでクローン作成および同期オペレーションを行うことができます。AWS CloudHSM は、AU を使用して AWS CloudHSM クラスター内の HSM を同期します。AU は、AWS CloudHSM が提供するすべての HSM に存在し、アクセス許可は制限されています。詳細については、「CloudHSM CLI の HSM ユーザーアクセス許可テーブル」を参照してください。
AWS は HSM 上のいかなるオペレーションも行うことができません。AWS は、ユーザーまたはキーを表示または変更することはできず、それらのキーを使用して暗号化操作を実行することもできません。
