本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CloudHSM CLI 管理 HSM 用户
使用 CloudHSM CLI 命令行工具通过最新的开发工具包在您的 HSM 上创建和管理用户。
了解 HSM 用户
您在 HSM 上执行的大多数操作都需要 HSM 用户 的凭证。HSM 对每个 HSM 用户进行身份验证,每个 HSM 用户都有一种类型,其可确定您可以在 HSM 上以该用户身份执行的操作。
注意
HSM 用户与 IAM 用户不同。拥有正确证书的 IAM 用户可通过 AWS API 与资源交互来创建 HSM。创建 HSM 后,您必须使用 HSM 用户凭证对 HSM 上的操作进行身份验证。
未激活的管理员
在 CloudHSM CLI 中,未激活的管理员是一个临时用户,仅存在于从未激活过的集群 AWS CloudHSM 中的第一个 HSM 上。要激活集群,请在 CloudHSM CLI 中运行 cluster activate 命令。运行此命令后,系统会提示未激活的管理员更改密码。更改密码后,未激活的管理员将成为管理员。
Admin
在 CloudHSM CLI 中,管理员可以执行用户管理操作。例如,它们可以创建和删除用户以及更改用户密码。有关管理员的更多信息,请参阅 HSM 用户权限表。
加密用户 (CU)
加密用户 (CU) 可以执行以下密钥管理和加密操作。
-
密钥管理 – 创建、删除、共享、导入和导出加密密钥。
-
加密操作 – 使用加密密钥来执行加密、解密、签名、验证及更多操作。
有关更多信息,请参阅 HSM 用户权限表。
设备用户 (AU)
设备用户 (AU) 可以在集群的 HSM 上执行克隆和同步操作。 AWS CloudHSM 使用 AU 同步 AWS CloudHSM 集群中的 HSM。AU 存在于由提供的所有 HSM 上 AWS CloudHSM,并且权限有限。有关更多信息,请参阅 HSM 用户权限表。
AWS 无法对您的 HSM 执行任何操作。 AWS 无法查看或修改您的用户或密钥,也无法使用这些密钥执行任何加密操作。
HSM 用户权限表
下表列出了按可以执行该操作的 HSM 用户或会话类型排序的 HSM 操作。
| Admin | 加密用户 (CU) | 设备用户 (AU) | 未经身份验证的会话 | |
|---|---|---|---|---|
| 获取基本集群信息¹ | ||||
| 更改自己的密码 | 不适用 | |||
| 更改任意用户的密码 | ||||
| 添加、删除用户 | ||||
| 获取同步状态² | ||||
| 提取、插入遮蔽对象³ | ||||
| 密钥管理功能⁴ | ||||
| 加密、解密 | ||||
| 签署、验证 | ||||
| 生成摘要和 HMAC |
-
[1] 基本集群信息包括集群中 HSM 的数量和每个 HSM 的 IP 地址、型号、序列号、设备 ID、固件 ID 等。
-
[2] 用户可以获取与 HSM 上的密钥对应的一组摘要(哈希值)。应用程序可以将这些摘要集进行比较来了解集群中 HSM 的同步状态。
-
[3] 遮蔽对象是在离开 HSM 之前进行加密的密钥。它们无法在 HSM 外部加密。只有在将其插入 HSM 之后,并且该 HSM 所在集群与提取它们时的 HSM 的集群相同,才会解密它们。应用程序可以提取和插入遮蔽对象,以用于同步集群中的 HSM。
-
[4] 密钥管理功能包括创建、删除、包装、解开包装和修改密钥的属性。
