对 AWS CloudHSM Client SDK 5 的密钥存储提供程序(KSP)进行身份验证 - AWS CloudHSM
Windows Credential Manager系统环境变量

对 AWS CloudHSM Client SDK 5 的密钥存储提供程序(KSP)进行身份验证

使用 AWS CloudHSM Client SDK 5 的密钥存储提供程序(KSP)之前,必须在系统上设置 HSM 的登录凭证。您有两种选择:

  • Windows 凭证管理器(为了提高安全性,建议使用)

  • 系统环境变量(设置更简单)

Windows Credential Manager

可以使用 set_cloudhsm_credentials 实用工具或 Windows 凭证管理器界面设置凭证。

  • 使用 set_cloudhsm_credentials 实用工具

    Windows 安装程序包含 set_cloudhsm_credentials 实用程序。您可以使用此实用工具方便地将 HSM 登录凭证传递到 Windows Credential Manager。如果要从源代码编译此实用程序,可以使用安装程序中包含的 Python 代码。

    1. 导航到 C:\Program Files\Amazon\CloudHSM\tools\

    2. 运行以下命令:

      set_cloudhsm_credentials.exe --username <CU USER> --password <CU PASSWORD>

  • 使用 Credential Manager 界面

    1. 打开凭证管理器:

      • 在任务栏搜索框中输入 credential manager

      • 选择凭证管理器

    2. 选择 Windows 凭证来管理 Windows 凭证。

    3. 选择添加通用凭证

    4. 输入以下详细信息:

      • 互联网或网络地址CLOUDHSM_PIN

      • 用户名<CU USER>

      • 密码<CU PASSWORD>

    5. 选择确定

系统环境变量

可以设置标识 HSM 和加密用户(CU)的系统环境变量。

警告

通过系统环境变量设置凭证,将您的密码以纯文本形式存储在系统上。为了提高安全性,请改用 Windows 凭证管理器。

可以使用以下工具设置环境变量:

  • -setx

  • Windows 系统属性控制面板(高级选项卡)。

  • 设置永久系统环境变量编程方法。

设置系统环境变量:

CLOUDHSM_PIN=<CU USERNAME>:<CU PASSWORD>

在 HSM 中确定加密用户 (CU),并提供所有必需的登录信息。您的应用程序以此 CU 的身份进行身份验证和运行。该应用程序具有此 CU 的权限,只能查看和管理 CU 拥有和共享的密钥。要创建新的 CU,请在 CloudHSM CLI 中使用 user create 命令。要查找现有 CU,请在 CloudHSM CLI 中使用 user list 命令。

例如:

setx /m CLOUDHSM_PIN test_user:password123