保護HSM使用者的登入資料至少有兩個管理員以防止鎖定為所有使用者管理操作啟用規定人數建立多個加密使用者，每個使用者具有有限的許可

AWS CloudHSM 使用者管理最佳實務

遵循本節中的最佳實務，以有效管理 AWS CloudHSM 叢集中的使用者。 HSM 使用者與IAM使用者不同。 IAM使用者和實體可以透過與資源互動，HSMs建立具有適當許可的身分型政策AWSAPI。HSM 建立之後，您必須使用HSM使用者登入資料來驗證上的操作HSM。如需HSM使用者的詳細指南，請參閱 HSM 中的使用者 AWS CloudHSM。

保護HSM使用者的登入資料

請務必保護HSM使用者的登入資料，因為HSM使用者是可在上存取和執行密碼編譯和管理操作的實體HSM。 AWS CloudHSM 無法存取您的HSM使用者登入資料，而且如果您無法存取使用者登入資料，將無法提供協助。

至少有兩個管理員以防止鎖定

為了避免您的叢集遭到鎖定，我們建議您至少有兩個管理員，以防遺失一個管理員密碼。如果發生這種情況，您可以使用另一個管理員來重設密碼。

注意

用戶端 SDK 5 中的管理員與用戶端 3 中的加密管理員 (COs) SDK 同義。

為所有使用者管理操作啟用規定人數

Quorum 可讓您設定最低數量的管理員，這些管理員必須核准使用者管理操作，才能執行該操作。由於管理員擁有的權限，我們建議您為所有使用者管理操作啟用規定人數。如果您的其中一個管理員密碼遭到入侵，這可能會限制影響的可能性。如需詳細資訊，請參閱管理配額。

建立多個加密使用者，每個使用者具有有限的許可

透過分離加密使用者的責任，沒有人可以完全控制整個系統。因此，我們建議您建立多個加密使用者，並限制每個使用者的許可。通常，這是透過給予不同的加密使用者完全不同的責任和他們執行的動作來完成的（例如，有一個加密使用者負責產生金鑰，並與其他加密使用者共用金鑰，然後在您的應用程式中使用這些金鑰）。

相關資源：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

叢集管理

金鑰管理