Cambio del valor mínimo de cuórum para AWS CloudHSM mediante la CLI de CloudHSM - AWS CloudHSM

Cambio del valor mínimo de cuórum para AWS CloudHSM mediante la CLI de CloudHSM

Después de establecer el valor mínimo de quórum para los usuarios administradores de CloudHSM, es posible que deba ajustar el valor mínimo de quórum. El HSM permite cambios en el valor mínimo de quórum solo cuando el número de aprobadores cumple o supera el valor actual. Por ejemplo, con un valor mínimo de quórum de dos (2), al menos dos (2) usuarios administradores deben aprobar cualquier cambio.

nota

El valor de quórum del servicio de usuario siempre debe ser menor o igual que el valor de quórum del servicio de quórum. Para obtener información sobre los nombres de los servicios, consulte Nombres y tipos de servicio de AWS CloudHSM compatibles con la autenticación de cuórum mediante la CLI de CloudHSM.

Para obtener aprobación de cuórum para cambiar el valor mínimo de cuórum, necesita un token de cuórum para quorum service usando el comando quorum token-sign set-quorum-value. Para generar un token de cuórum para el quorum service que utiliza el comando quorum token-sign set-quorum-value, el servicio de cuórum debe ser superior a uno (1). Esto significa que antes de que pueda cambiar el valor mínimo de cuórum para el servicio de usuario, puede que necesite cambiar el valor mínimo de cuórum para el servicio de cuórum.

Pasos para cambiar el valor mínimo de quórum para usuarios administradores

  1. Inicie el modo interactivo de la CLI de CloudHSM.

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive

  2. Inicie sesión en la CLI de CloudHSM como administrador.

    aws-cloudhsm > login --username <admin> --role admin
Enter password:
{
  "error_code": 0,
  "data": {
    "username": "<admin>",
    "role": "admin"
  }
}

  3. Compruebe los valores mínimos de quórum actuales:

    aws-cloudhsm > quorum token-sign list-quorum-values

  4. Si el valor mínimo de quórum del servicio de quórum es inferior al valor del servicio de usuario, cambie el valor del servicio de quórum:

    aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value <3>

  5. Genere un token de quórum para el servicio de quórum.

  6. Obtenga aprobaciones (firmas) de otros administradores.

  7. Apruebe el token en el clúster de CloudHSM y ejecute una operación de administración de usuarios.

  8. Cambie el valor mínimo de quórum para el servicio de usuario:

    aws-cloudhsm > quorum token-sign set-quorum-value
ejemplo Cómo ajustar los valores mínimos del servicio de quórum

  1. Comprobación de los valores actuales. El ejemplo muestra que el valor mínimo de quórum para el servicio de usuario es actualmente dos (2).

    aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}

  2. Cambio del valor del servicio de quórum. Establezca el valor mínimo de quórum para el servicio de quórum en un valor igual o superior al valor del servicio de usuario. Este ejemplo establece el valor mínimo de quórum para el servicio de quórum en dos (2), el mismo valor que se estableció para el servicio de usuario en el ejemplo anterior.

    aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value 2
{
  "error_code": 0,
  "data": "Set quorum value successful"
}

  3. Verifique los cambios. Este ejemplo muestra que el valor mínimo de quórum ahora es dos (2) tanto para el servicio de usuario como para el servicio de quórum.

    aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 2
  }
}