本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudHSM 用户管理最佳实践
<a name="bp-hsm-user-management"></a>

请遵循本节中的最佳实践，以有效管理 AWS CloudHSM 集群中的用户。HSM 用户与 IAM 用户不同。拥有具有相应权限的基于身份的策略的 IAM 用户和实体可以通过 AWS AP HSMs I 与资源交互来创建。创建 HSM 后，您必须使用 HSM 用户凭证对 HSM 上的操作进行身份验证。有关 HSM 用户的详细指南，请参阅 [HSM 用户位于 AWS CloudHSM](manage-hsm-users.md)。

## 保护您的 HSM 用户凭证
<a name="bp-protect-users"></a>

必须妥善保护您的 HSM 用户凭证，因为 HSM 用户是可以访问您的 HSM 并对其执行加密和管理操作的实体。 AWS CloudHSM 无法访问您的 HSM 用户凭证，如果您无法访问这些凭证，则无法为您提供帮助。

## 至少有两名管理员防止锁定
<a name="bp-prevent-lockout"></a>

为避免被锁定在集群外，我们建议您至少配备两名管理员，以防一个管理员密码丢失。如果发生这种情况，您可使用其他管理员重置密码。

**注意**  
客户端 SDK 5 中的@@ *管理员*与客户端 SDK 3 中的*加密官员* (COs) 同义。

## 为所有用户管理操作启用仲裁
<a name="bp-enable-quorum"></a>

您可通过仲裁设置最小数量的管理员，该管理员必须在操作发生前批准用户管理操作。由于管理员拥有的权限，我们建议您为所有用户管理操作启用仲裁。如果某个管理员密码被泄露，这可能会限制可能造成的影响。有关更多信息，请参阅[仲裁管理](quorum-auth-chsm-cli.md)。

## 创建多个加密用户，每个用户都有有限权限
<a name="bp-multiple-crypto-users"></a>

通过将加密用户的责任分开，没有用户可以完全控制整个系统。因此，我们建议您创建多个加密用户并限制每个用户权限。方法通常是赋予不同的加密用户明显不同的责任和执行操作（例如，一位加密用户负责生成密钥，并将其与稍后使用的其他加密用户分享）。

相关的资源：
+ [使用 CloudHSM CLI 共享密钥](cloudhsm_cli-key-share.md)
+ [使用 CloudHSM CLI 取消共享密钥](cloudhsm_cli-key-unshare.md)