Asociar usuarios del AWS CloudHSM con claves mediante la CMU - AWS CloudHSM
Tipo de usuarioSintaxisEjemplosArgumentosTemas relacionados

Asociar usuarios del AWS CloudHSM con claves mediante la CMU

Use el comando registerQuorumPubKey en la cloudhsm_mgmt_util del AWS CloudHSM para asociar a los usuarios del módulo de seguridad de hardware (HSM) con pares de claves RSA-2048 asimétricas. Una vez que asocie los usuarios de HSM a las claves, esos usuarios pueden usar la clave privada para aprobar las solicitudes de cuórum y el clúster puede usar la clave pública registrada para comprobar que la firma proviene del usuario. Para obtener más información sobre la autenticación de cuórum, consulte Administrar la autenticación de cuórum (control de acceso M de N).

sugerencia

En la documentación AWS CloudHSM, la autenticación de cuórum a veces se denomina MoFN, lo que significa un mínimo de aprobadores M de un número total de aprobadores N.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Responsables de criptografía (CO)

Sintaxis

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Ejemplos

En este ejemplo, se muestra cómo utilizar registerQuorumPubKey para registrar los responsables de criptografía (CO) como aprobadores en las solicitudes de autenticación por cuórum. Para ejecutar este comando, debe tener un par de claves asimétrico RSA-2048, un token firmado y un token no firmado. Para obtener más información acerca de los requisitos, consulte Argumentos.

ejemplo : registrar un usuario del HSM para la autenticación de cuórum

En este ejemplo se registra un CO denominado quorum_officer como aprobador de la autenticación de cuórum. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

El comando final utiliza listUsers para verificar que quorum_officer esté registrado como usuario M de N (MofN). 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Argumentos

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

Especifica el tipo de usuario. Este parámetro es obligatorio.

Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Tipos de usuarios del HSM en la utilidad de administración de AWS CloudHSM.

Valores válidos:

  • CO: los responsables de criptografía pueden administrar usuarios, pero no pueden administrar claves.

Obligatorio: sí

<user-name>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).

No puede cambiar el nombre de un usuario después de crearlo. En los comandos cloudhsm_mgmt_util, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.

Obligatorio: sí

<registration-token>

Especifica la ruta a un archivo que contiene un token de registro sin firmar. Puede contener cualquier dato aleatorio con un tamaño máximo de archivo de 245 bytes. Para obtener más información sobre la creación de un token de registro sin firmar, consulte Crear y firmar un token de registro.

Obligatorio: sí

<signed-registration-token>

Especifica la ruta a un archivo que contiene el hash firmado por el mecanismo SHA256_PKCS del token de registro. Para obtener más información, consulte Crear y firmar un token de registro.

Obligatorio: sí

<public-key>

Especifica la ruta a un archivo que contiene la clave pública de un par de claves RSA-2048 asimétricas. Utilice la clave privada para firmar el token de registro. Para obtener más información, consulte Crear un par de claves RSA.

Obligatorio: sí

nota

El clúster usa la misma clave para la autenticación de cuórum y para la autenticación de dos factores (2FA). Esto significa que no puede rotar una clave de cuórum para un usuario que tenga habilitada la autenticación de dos factores con registerQuorumPubKey. Para rotar la clave, debe usar changePswd. Para obtener más información sobre el uso de la autenticación de cuórum y la 2FA, consulte Autenticación de cuórum y 2FA.

Temas relacionados