Administrar la autenticación de cuórum (control de acceso M de N) mediante la CLI de CloudHSM
Los clústeres de AWS CloudHSM admiten la autenticación por quórum, también conocida como control de acceso M de N. Esta característica requiere que los usuarios del HSM cooperen para determinadas operaciones, lo que agrega una capa adicional de protección.
Con la autenticación por quórum, ningún usuario individual del HSM puede realizar operaciones controladas por quórum en el HSM. En su lugar, para llevar a cabo estas operaciones debe cooperar un número mínimo de usuarios del HSM (al menos 2).
La autenticación de cuórum puede controlar las siguientes operaciones:
-
Administración de usuarios del HSM por admin: creación y eliminación de usuarios del HSM o cambio de la contraseña de otro usuario del HSM. Para obtener más información, consulte Administración de usuarios con autenticación de cuórum habilitada para AWS CloudHSM mediante la CLI de CloudHSM.
Puntos clave sobre la autenticación por quórum en AWS CloudHSM:
-
Un usuario del HSM puede firmar su propio token de quórum; es decir, proporciona una de las aprobaciones necesarias para la autenticación por quórum.
-
Elige el número mínimo de aprobadores de quórum, que va de dos (2) a ocho (8).
-
Los HSM pueden almacenar hasta 1024 tokens de quórum. Cuando se alcanza este límite, el HSM purga un token caducado para crear uno nuevo.
Los tokens caducan diez minutos después de su creación de forma predeterminada.
-
En el caso de los clústeres con MFA habilitado, se usa la misma clave tanto para la autenticación por quórum como para la autenticación multifactor (MFA). Consulte Uso de la CLI de CloudHSM para administrar MFA para obtener más información.
-
Cada HSM puede contener un token por servicio de usuario administrador y varios tokens por servicio de usuario de criptografía.
Los siguientes temas contienen más información acerca de la autenticación de cuórum en AWS CloudHSM.
