Tipo de usuario Sintaxis Ejemplo Argumentos Temas relacionados

Generar un token de cuórum con la CLI de CloudHSM

Utilice el comando quorum token-sign generate de la CLI de CloudHSM para generar un token para un servicio autorizado de cuórum.

Existe un límite para obtener un token activo por usuario y servicio en un clúster de HSM por usuario y cuórum de servicios. Este límite no se aplica a los tokens relacionados con servicios de claves.

nota

Solo los administradores y los usuarios criptográficos pueden generar tokens de servicios específicos. Para obtener más información sobre los tipos y nombres de servicios, consulte Nombres y tipos de servicios que admiten autenticación por quórum.

Servicios de administración: la autenticación de cuórum se utiliza para los servicios con privilegios de administrador, como la creación y eliminación de usuarios, el cambio de las contraseñas de los usuarios, la configuración de los valores de cuórum y la desactivación de las capacidades de cuórum y MFA.

Servicios de usuario de criptografía: la autenticación por quórum se utiliza para servicios con privilegios de usuario de criptografía asociados a una clave específica, como firmar con una clave, compartir o dejar de compartir una clave, encapsular o desencapsular una clave y establecer un atributo de una clave. El valor de quórum de una clave asociada se configura cuando la clave se genera, se importa o se desencapsula. El valor de quórum debe ser igual o inferior al número de usuarios con los que la clave está asociada, lo que incluye a los usuarios con los que la clave se comparte y al propietario de la clave.

Además, cada tipo de servicio se divide en un nombre de servicio válido que contiene un conjunto específico de operaciones de servicio compatibles con cuórum que se pueden realizar.

Nombre del servicio	Tipo de servicio	Operaciones de servicio
usuario	Administrador	user create user delete user change-password user change-mfa
quorum	Administrador	quorum token-sign set-quorum-value
cluster¹	Administrador	cluster mtls register-trust-anchor cluster mtls deregister-trust-anchor cluster mtls set-enforcement
key-management	Usuario de criptografía	Encapsulado de claves Desencapsulado de claves key share key unshare key set-attribute
key-usage	Usuario de criptografía	Firma de claves

[1] El servicio de clústeres está disponible exclusivamente en hsm2m.medium

Tipo de usuario

Los usuarios siguientes pueden ejecutar este comando.

Administrador
Usuario de criptografía (CU)

Sintaxis


aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication
          - key-usage:
            Key usage service is used for executing quorum authenticated key usage operations
          - key-management:
            Key management service is used for executing quorum authenticated key management operations

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

Ejemplo

Este comando escribirá un token sin firmar por cada HSM del clúster en el archivo especificado por token.

ejemplo : escriba un token sin firmar por cada HSM de su clúster


aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<SERVICE>

Especifica el servicio autorizado de cuórum para el que se generará un token. Este parámetro es obligatorio.

Valores válidos

usuario: el servicio de administración de usuarios que se utiliza para ejecutar las operaciones de administración de usuarios autorizadas por cuórum.

cuórum: servicio de administración de quorum que se utiliza para establecer los valores de quorum autorizados para cualquier servicio autorizado de quorum.

clúster: el servicio de administración de clústeres que se utiliza para ejecutar el cuórum para las administraciones de configuración de todo el clúster, como la aplicación del mtls, el registro de mtls y la anulación del registro de mtls.

registro: genera un token sin firmar que se utiliza para registrar una clave pública para la autorización del cuórum.

key-usage: genera un token sin firmar que se utiliza para ejecutar operaciones de uso de claves autorizadas por quórum.

key-management: genera un token sin firmar que se utiliza para ejecutar operaciones de administración de claves autorizadas por quórum.

Obligatorio: sí

<TOKEN>

Ruta de archivo en la que se escribirá el archivo de token sin firmar.

Obligatorio: sí

Temas relacionados

Nombres y tipos de servicios que admiten la autenticación de cuórum

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

eliminar

list