AWS CloudHSM 管理实用程序的 HSM 用户类型
您在硬件安全模块(HSM)上执行的大多数操作都需要 AWS CloudHSM HSM 用户的凭证。HSM 对每个 HSM 用户进行身份验证,每个 HSM 用户都有一种类型,其可确定您可以在 HSM 上以该用户身份执行的操作。
注意
HSM 用户与 IAM 用户不同。拥有正确证书的 IAM 用户可通过 AWS API 与资源交互来创建 HSM。创建 HSM 后,您必须使用 HSM 用户凭证对 HSM 上的操作进行身份验证。
准加密员 (PRECO)
在云管理实用程序 (CMU, cloud management utility) 和密钥管理实用程序 (KMU, key management utility) 中,PRECO 都是临时用户,仅存在于 AWS CloudHSM 集群中的第一个 HSM 上。新集群中的第一个 HSM 包含一个 PRECO 用户,表示该集群从未被激活。要激活集群,请执行 cloudhsm-cli 并运行 cluster activate 命令。登录该 HSM 并更改 PRECO 的密码。更改密码后,该用户就会变成加密员 (CO, crypto officer)。
加密员 (CO, Crypto officer)
在云管理实用程序 (CMU, cloud management utility) 和密钥管理实用程序 (KMU, key management utility) 中,加密员(CO)都可以执行用户管理操作。例如,它们可以创建和删除用户以及更改用户密码。有关 CO 用户的更多信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户权限表。当您激活新集群时,此用户将从准加密员(PRECO, Precrypto Officer)更改为加密员 (CO, crypto officer)。-->
加密用户 (CU)
加密用户 (CU) 可以执行以下密钥管理和加密操作。
-
密钥管理 – 创建、删除、共享、导入和导出加密密钥。
-
加密操作 – 使用加密密钥来执行加密、解密、签名、验证及更多操作。
有关更多信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户权限表。
设备用户 (AU)
应用程序用户(AU)可以对您集群的 HSM 执行克隆和同步操作。AWS CloudHSM 使用 AU 同步 AWS CloudHSM 集群中的 HSM。此 AU 存在于 AWS CloudHSM 提供的所有 HSM 上,并且具有有限权限。有关更多信息,请参阅 AWS CloudHSM 管理实用程序的 HSM 用户权限表。
AWS 无法对 HSM 执行任何操作。AWS 无法查看或修改您的用户或密钥,并且无法使用这些密钥执行任何加密操作。
