CloudHSM CLI 的 HSM 用户类型
您在硬件安全模块(HSM)上执行的大多数操作都需要 AWS CloudHSM HSM 用户的凭证。HSM 对每个 HSM 用户进行身份验证,每个 HSM 用户都有一种类型,其可确定您可以在 HSM 上以该用户身份执行的操作。
注意
HSM 用户与 IAM 用户不同。拥有正确证书的 IAM 用户可通过 AWS API 与资源交互来创建 HSM。创建 HSM 后,您必须使用 HSM 用户凭证对 HSM 上的操作进行身份验证。
未激活的管理员
在 CloudHSM CLI 中,未激活的管理员是一个临时用户,仅存在于从未激活过的集群AWS CloudHSM中的第一个 HSM 上。要激活集群,请在 CloudHSM CLI 中运行 cluster activate 命令。运行此命令后,系统会提示未激活的管理员更改密码。更改密码后,未激活的管理员将成为管理员。
Admin
在 CloudHSM CLI 中,管理员可以执行用户管理操作。例如,它们可以创建和删除用户以及更改用户密码。有关管理员的更多信息,请参阅 CloudHSM CLI 的 HSM 用户权限表。
加密用户 (CU)
加密用户 (CU) 可以执行以下密钥管理和加密操作。
-
密钥管理 – 创建、删除、共享、导入和导出加密密钥。
-
加密操作 – 使用加密密钥来执行加密、解密、签名、验证及更多操作。
有关更多信息,请参阅 CloudHSM CLI 的 HSM 用户权限表。
设备用户 (AU)
应用程序用户(AU)可以对您集群的 HSM 执行克隆和同步操作。AWS CloudHSM 使用 AU 同步 AWS CloudHSM 集群中的 HSM。此 AU 存在于 AWS CloudHSM 提供的所有 HSM 上,并且具有有限权限。有关更多信息,请参阅 CloudHSM CLI 的 HSM 用户权限表。
AWS 无法对 HSM 执行任何操作。AWS 无法查看或修改您的用户或密钥,并且无法使用这些密钥执行任何加密操作。
