本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudHSM 使用者管理最佳實務
<a name="bp-hsm-user-management"></a>

遵循本節中的最佳實務，有效管理 AWS CloudHSM 叢集中的使用者。HSM 使用者與 IAM 使用者不同。透過 AWS API 與資源互動，具有具有適當許可之身分型政策的 IAM 使用者和實體可以建立 HSMs。HSM 建立後，您必須使用 HSM 使用者憑證來驗證 HSM 上的操作。如需 HSM 使用者的詳細指南，請參閱 [中的 HSM 使用者 AWS CloudHSM](manage-hsm-users.md)。

## 保護 HSM 使用者的登入資料
<a name="bp-protect-users"></a>

您必須保護 HSM 使用者的登入資料的安全，因為 HSM 使用者是可在 HSM 上存取和執行密碼編譯和管理操作的實體。 AWS CloudHSM 無法存取您的 HSM 使用者登入資料，而且如果您無法存取這些登入資料， 將無法提供協助。

## 至少有兩個管理員以防止鎖定
<a name="bp-prevent-lockout"></a>

為了避免您的叢集遭到鎖定，我們建議您至少有兩個管理員，以防遺失一個管理員密碼。如果發生這種情況，您可以使用其他管理員來重設密碼。

**注意**  
用戶端 SDK 5 中的*管理員*與用戶端 SDK 3 中的*加密主管* (COs) 同義詞。

## 為所有使用者管理操作啟用規定人數
<a name="bp-enable-quorum"></a>

Quorum 可讓您設定最低數量的管理員，這些管理員必須核准使用者管理操作，才能進行該操作。由於管理員擁有的權限，我們建議您為所有使用者管理操作啟用規定人數。如果您的其中一個管理員密碼洩露，這可能會限制影響的可能性。如需詳細資訊，請參閱[管理配額](quorum-auth-chsm-cli.md)。

## 建立多個加密使用者，每個使用者具有有限的許可
<a name="bp-multiple-crypto-users"></a>

透過區隔加密使用者的責任，沒有人完全控制整個系統。因此，我們建議您建立多個加密使用者，並限制每個使用者的許可。通常，這是透過給予不同的加密使用者完全不同的責任和他們執行的動作來完成的 （例如，有一個加密使用者負責產生金鑰，並與其他加密使用者共用金鑰，然後在您的應用程式中使用這些金鑰）。

相關資源：
+ [使用 CloudHSM CLI 共用金鑰](cloudhsm_cli-key-share.md)
+ [使用 CloudHSM CLI 取消共用金鑰](cloudhsm_cli-key-unshare.md)