Asocie AWS CloudHSM usuarios con claves mediante CMU - AWS CloudHSM
Tipo de usuarioSintaxisEjemplosArgumentosTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Asocie AWS CloudHSM usuarios con claves mediante CMU

Utilice el registerQuorumPubKey comando de AWS CloudHSM cloudhsm_mgmt_util para asociar a los usuarios del módulo de seguridad de hardware (HSM) a pares de claves asimétricas del RSA-2048. Una vez que asocie los usuarios de HSM a las claves, esos usuarios pueden usar la clave privada para aprobar las solicitudes de cuórum y el clúster puede usar la clave pública registrada para comprobar que la firma proviene del usuario. Para obtener más información sobre la autenticación de cuórum, consulte Administrar la autenticación de cuórum (control de acceso M de N).

sugerencia

En la AWS CloudHSM documentación, la autenticación de quórum a veces se denomina M de N (MoFN), lo que significa que hay un mínimo de M aprobadores de un número total de N aprobadores.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Responsables de criptografía (CO)

Sintaxis

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Ejemplos

En este ejemplo, se muestra cómo utilizar registerQuorumPubKey para registrar los responsables de criptografía (CO) como aprobadores en las solicitudes de autenticación por cuórum. Para ejecutar este comando, debe tener un par de claves asimétrico RSA-2048, un token firmado y un token no firmado. Para obtener más información acerca de los requisitos, consulte Argumentos.

ejemplo : registrar un usuario del HSM para la autenticación de cuórum

En este ejemplo se registra un CO denominado quorum_officer como aprobador de la autenticación de cuórum. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

El último comando usa el comando ListUsers para comprobar que quorum_officer está registrado como usuario de MoFN. 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Argumentos

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

Especifica el tipo de usuario. Este parámetro es obligatorio.

Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Tipos de usuario de HSM para la utilidad de administración AWS CloudHSM.

Valores válidos:

  • CO: los responsables de criptografía pueden administrar usuarios, pero no pueden administrar claves.

Obligatorio: sí

<user-name>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_).

No puede cambiar el nombre de un usuario después de crearlo. En los comandos cloudhsm_mgmt_util, el tipo de usuario y la contraseña distinguen entre mayúsculas y minúsculas, pero el nombre de usuario no.

Obligatorio: sí

<registration-token>

Especifica la ruta a un archivo que contiene un token de registro sin firmar. Puede contener cualquier dato aleatorio con un tamaño máximo de archivo de 245 bytes. Para obtener más información sobre la creación de un token de registro sin firmar, consulte Crear y firmar un token de registro.

Obligatorio: sí

<signed-registration-token>

Especifica la ruta a un archivo que contiene el hash firmado por el mecanismo SHA256 _PKCS del token de registro. Para obtener más información, consulte Crear y firmar un token de registro.

Obligatorio: sí

<public-key>

Especifica la ruta a un archivo que contiene la clave pública de un par de claves RSA-2048 asimétricas. Utilice la clave privada para firmar el token de registro. Para obtener más información, consulte Crear un par de claves RSA.

Obligatorio: sí

nota

El clúster usa la misma clave para la autenticación de cuórum y para la autenticación de dos factores (2FA). Esto significa que no puede rotar una clave de cuórum para un usuario que tenga habilitada la autenticación de dos factores con registerQuorumPubKey. Para rotar la clave, debe usar changePswd. Para obtener más información sobre el uso de la autenticación de cuórum y la 2FA, consulte Autenticación de cuórum y 2FA.

Temas relacionados de