AWS CloudHSM 管理实用程序的 HSM 用户权限表
下表列出了按可在 AWS CloudHSM 中执行操作的 HSM 用户或会话类型排序的硬件安全模块(HSM)操作。
| 加密员 (CO, Crypto officer) | 加密用户 (CU) | 设备用户 (AU) | 未经身份验证的会话 | |
|---|---|---|---|---|
| 获取基本集群信息¹ | ||||
| 更改自己的密码 | 不适用 | |||
| 更改任意用户的密码 | ||||
| 添加、删除用户 | ||||
| 获取同步状态² | ||||
| 提取、插入遮蔽对象³ | ||||
| 密钥管理功能⁴ | ||||
| 加密、解密 | ||||
| 签署、验证 | ||||
| 生成摘要和 HMAC |
-
[1] 基本集群信息包括集群中 HSM 的数量和每个 HSM 的 IP 地址、型号、序列号、设备 ID、固件 ID 等。
-
[2] 用户可以获取与 HSM 上的密钥对应的一组摘要(哈希值)。应用程序可以将这些摘要集进行比较来了解集群中 HSM 的同步状态。
-
[3] 遮蔽对象是在离开 HSM 之前进行加密的密钥。它们无法在 HSM 外部加密。只有在将其插入 HSM 之后,并且该 HSM 所在集群与提取它们时的 HSM 的集群相同,才会解密它们。应用程序可以提取和插入遮蔽对象,以用于同步集群中的 HSM。
-
[4] 密钥管理功能包括创建、删除、包装、解开包装和修改密钥的属性。
