Tabela de permissões de usuário do HSM para a CLI do CloudHSM
A tabela a seguir lista as operações do HSM classificadas pelo tipo de usuário ou sessão do HSM que pode realizar a operação no AWS CloudHSM.
| Administrador | Usuário de criptografia (CU) | Usuário de dispositivo (AU) | Sessão não autenticada | |
|---|---|---|---|---|
| Obter informações¹ básicas do cluster | ||||
| Alterar a própria senha | Não aplicável | |||
| Alterar a senha de qualquer usuário | ||||
| Adicionar, remover usuários | ||||
| Obter status³ de sincronização | ||||
| Extrair, inserir objetos mascarados⁴ | ||||
| Funções de gerenciamento de chaves⁵ | ||||
| Criptografar, descriptografar | ||||
| Assinar, verificar | ||||
| Gerar resumos e HMACs |
-
[1] As informações básicas de cluster incluem o número de HSMs no cluster e cada endereço IP do HSM, o modelo, o número de série, o ID do dispositivo, o ID do firmware etc.
-
[2] O usuário pode obter um conjunto de arquivos de resumo (hashes) que correspondem às chaves no HSM. Uma aplicação pode comparar esses conjuntos de arquivos de resumo para compreender o status de sincronização de HSMs em um cluster.
-
[3] Objetos mascarados são chaves criptografadas antes de sair do HSM. Elas não podem ser descriptografadas fora do HSM. Somente são descriptografadas depois de serem inseridas em um HSM que esteja no mesmo cluster que o HSM do qual foram extraídas. Uma aplicação pode extrair e inserir objetos mascarados para sincronizar os HSMs em um cluster.
-
[4] As funções de gerenciamento de chaves incluem criar, excluir, encapsular, desencapsular e modificar os atributos das chaves.
