翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS CloudHSM ユーザー管理のベストプラクティス
<a name="bp-hsm-user-management"></a>

このセクションのベストプラクティスに従って、 AWS CloudHSM クラスター内のユーザーを効果的に管理します。HSM ユーザーは IAM ユーザーとは異なります。適切な権限を持つ ID ベースのポリシーを持つ IAM ユーザーとエンティティは、AWS API を介してリソースを操作することで HSM を作成できます。HSM を作成したら、HSM ユーザー認証情報を使用して HSM でのオペレーションを認証する必要があります。HSM ユーザーの詳細なガイドについては、「[の HSM ユーザー AWS CloudHSM](manage-hsm-users.md)」を参照してください。

## HSM ユーザーの認証情報の保護
<a name="bp-protect-users"></a>

HSM ユーザーは HSM にアクセスして暗号化オペレーションや管理オペレーションを実行できるため、HSM ユーザーの認証情報を安全に保護することが不可欠です。 AWS CloudHSM は HSM ユーザー認証情報にアクセスできないため、認証情報にアクセスできなくなった場合はサポートできません。

## ロックアウトを防ぐため、少なくとも 2 人の管理者を配置します
<a name="bp-prevent-lockout"></a>

クラスターからロックアウトされないように、1 つの管理者パスワードを紛失した場合に備えて、少なくとも 2 人の管理者を配置することをお勧めします。このような場合は、もう一方の管理者にパスワードをリセットしてもらうことができます。

**注記**  
クライアント SDK 5 の*管理者*は、クライアント SDK 3 の *Crypto Officer* (CO) と同義です。

## すべてのユーザー管理オペレーションでクォーラムを有効にします
<a name="bp-enable-quorum"></a>

クォーラムでは、ユーザー管理オペレーションを承認しないと実行できない管理者の最小数を設定できます。管理者には権限があるため、すべてのユーザー管理オペレーションでクォーラムを有効にすることをお勧めします。これにより、管理者パスワードのいずれかが侵害された場合の影響を抑えることができます。詳細については、[Managing Quorum](quorum-auth-chsm-cli.md) を参照してください。

## 各自の権限を制限した複数の Crypto User を作成する
<a name="bp-multiple-crypto-users"></a>

Crypto User の責任を分離することで、1 人のユーザーがシステム全体を完全に制御できなくなります。このため、複数の Crypto User を作成し、それぞれの権限を制限するようお勧めします。通常、これは異なる Crypto User にそれぞれ異なる責任と実行するアクションを明確に与えることによって行われます（たとえば、1 人の暗号ユーザーがキーを生成して他の暗号ユーザーと共有し、その暗号ユーザーをアプリケーションで利用させるなど）。

関連リソース:
+ [CloudHSM CLI を使用してキーを共有する](cloudhsm_cli-key-share.md)
+ [CloudHSM CLI を使用してキーの共有を解除する](cloudhsm_cli-key-unshare.md)