AWS CloudHSM Benutzer mithilfe von CMU mit Schlüsseln verknüpfen - AWS CloudHSM
BenutzertypSyntaxBeispieleArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS CloudHSM Benutzer mithilfe von CMU mit Schlüsseln verknüpfen

Verwenden Sie den registerQuorumPubKey Befehl in der Datei AWS CloudHSM cloudhsm_mgmt_util, um Benutzern des Hardware Security Module (HSM) asymmetrische RSA-2048-Schlüsselpaare zuzuordnen. Sobald Sie HSM-Benutzer mit Schlüsseln verknüpft haben, können diese Benutzer den privaten Schlüssel verwenden, um Quorumanfragen zu genehmigen, und der Cluster kann den registrierten öffentlichen Schlüssel verwenden, um zu überprüfen, ob die Signatur vom Benutzer stammt. Weitere Informationen zur Quorum-Authentifizierung finden Sie unter Quorum-Authentifizierung verwalten (M-von-N-Zugriffskontrolle).

Tipp

In der AWS CloudHSM Dokumentation wird die Quorumauthentifizierung manchmal als M of N (MoFN) bezeichnet, was bedeutet, dass mindestens M Genehmiger von insgesamt N Genehmigern vorhanden sind.

Benutzertyp

Die folgenden Benutzertypen können diesen Befehl ausführen.

  • Verschlüsselungsverantwortliche (Crypto Officers, CO)

Syntax

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Beispiele

Dieses Beispiel zeigt, wie Crypto Officers (CO) als Genehmiger für Quorum-Authentifizierungsanfragen mit registerQuorumPubKey registriert werden können. Um diesen Befehl auszuführen, benötigen Sie ein asymmetrisches RSA-2048-Schlüsselpaar, ein signiertes Token und ein unsigniertes Token. Weitere Informationen zu diesen Anforderungen finden Sie unter Argumente.

Beispiel : Registrieren Sie einen HSM-Benutzer für die Quorum-Authentifizierung

In diesem Beispiel wird ein CO namens quorum_officer als Genehmiger für die Quorumauthentifizierung registriert. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

Der letzte Befehl verwendet den Befehl ListUsers, um zu überprüfen, ob ein MoFN-Benutzer registriert quorum_officer ist. 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Argumente

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

Gibt den Benutzertyp an. Dieser Parameter muss angegeben werden.

Ausführliche Informationen zu den Benutzertypen in einem HSM finden Sie unter HSM-Benutzertypen für Management Utility AWS CloudHSM.

Zulässige Werte:

  • CO: Verschlüsselungsverantwortliche können Benutzer, aber keine Schlüssel verwalten.

Erforderlich: Ja

<user-name>

Gibt einen Anzeigenamen für den Benutzer an. Die maximale Länge beträgt 31 Zeichen. Das einzige zulässige Sonderzeichen ist ein Unterstrich (_).

Sie können den Namen eines Benutzers nach der Erstellung nicht mehr ändern. In cloudhsm_mgmt_util-Befehlen muss bei Benutzertyp und Passwort die Groß- und Kleinschreibung beachtet werden, beim Benutzernamen nicht.

Erforderlich: Ja

<registration-token>

Gibt den Pfad zu einer Datei an, die ein unsigniertes Registrierungstoken enthält. Kann beliebige Daten mit einer maximalen Dateigröße von 245 Byte enthalten. Weitere Informationen zum Erstellen eines unsignierten Registrierungstokens finden Sie unter Registrierungstoken erstellen und signieren.

Erforderlich: Ja

<signed-registration-token>

Gibt den Pfad zu einer Datei an, die den vom SHA256 _PKCS-Mechanismus signierten Hash des Registrierungstokens enthält. Weitere Informationen finden Sie unter Registrierungstoken erstellen und signieren.

Erforderlich: Ja

<public-key>

Gibt den Pfad zu einer Datei an, die den öffentlichen Schlüssel eines asymmetrischen RSA-2048-Schlüsselpaars enthält. Verwenden Sie den privaten Schlüssel, um das Registrierungstoken zu signieren. Weitere Informationen finden Sie unter Erstellen eines RSA-Schlüsselpaars.

Erforderlich: Ja

Anmerkung

Der Cluster verwendet denselben Schlüssel für die Quorum-Authentifizierung und für die Zwei-Faktor-Authentifizierung (2FA). Das bedeutet, dass Sie einen Quorumschlüssel für einen Benutzer, für den 2FA mit registerQuorumPubKey aktiviert ist, nicht rotieren können. Um den Schlüssel zu rotieren, müssen Sie changePswd verwenden. Weitere Informationen zur Verwendung von Quorum-Authentifizierung und 2FA finden Sie unter Quorum-Authentifizierung und 2FA.

Verwandte Themen