Associer AWS CloudHSM des utilisateurs à des clés à l'aide de la CMU - AWS CloudHSM
Type utilisateurSyntaxeExemplesArgumentsRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Associer AWS CloudHSM des utilisateurs à des clés à l'aide de la CMU

Utilisez la registerQuorumPubKey commande du fichier AWS CloudHSM cloudhsm-mgmt_util pour associer les utilisateurs du module de sécurité matérielle (HSM) à des paires de clés RSA-2048 asymétriques. Une fois que vous avez associé des utilisateurs HSM à des clés, ces utilisateurs peuvent utiliser la clé privée pour approuver les demandes de quorum et le cluster peut utiliser la clé publique enregistrée pour vérifier que la signature provient de l'utilisateur. Pour plus d'informations sur l'authentification par quorum, consultez Gestion de l'authentification par quorum (contrôle d'accès M sur N).

Astuce

Dans la AWS CloudHSM documentation, l'authentification par quorum est parfois appelée M of N (MoFN), ce qui signifie un minimum de M approbateurs sur un nombre total de N approbateurs.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

  • Responsables de chiffrement (CO)

Syntaxe

Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Exemples

Cet exemple montre comment utiliser registerQuorumPubKey pour enregistrer les responsables de chiffrement (CO) en tant qu'approbateurs sur les demandes d'authentification par quorum. Pour exécuter cette commande, vous devez disposer d'une paire de clés RSA-2048 asymétrique, d'un jeton signé et d'un jeton non signé. Pour plus d'informations sur les autres conditions requises, consultez Arguments.

Exemple : Enregistrez un utilisateur HSM pour l'authentification par quorum

Cet exemple enregistre un CO nommé quorum_officer en tant qu’approbateur pour l'authentification par quorum. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

La dernière commande utilise la commande ListUsers pour vérifier que vous êtes enregistré en tant quorum_officer qu'utilisateur MoFN. 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Arguments

Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<type-utilisateur>

Spécifie le type d'utilisateur. Ce paramètre est obligatoire.

Pour plus d'informations sur les types d'utilisateur sur un HSM, consultez Types d'utilisateurs HSM pour l'utilitaire AWS CloudHSM de gestion.

Valeurs valides :

  • CO : les responsables de chiffrement peuvent gérer les utilisateurs, mais ne peuvent pas gérer les clés.

Obligatoire : oui

<nom-utilisateur>

Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ).

Vous ne pouvez pas modifier le nom d'un utilisateur après l'avoir créé. Dans les commandes cloudhsm_mgmt_util, le type d'utilisateur et le mot de passe sont sensibles à la casse, mais le nom d'utilisateur ne l'est pas.

Obligatoire : oui

<registration-token>

Spécifie le chemin d'accès à un fichier contenant un jeton d'enregistrement non signé. Peut avoir n'importe quelle donnée aléatoire d'une taille de fichier maximale de 245 octets. Pour plus d'informations sur la création d'un jeton d'enregistrement non signé, voir Créer et signer un jeton d'enregistrement.

Obligatoire : oui

<signed-registration-token>

Spécifie le chemin d'accès à un fichier contenant le hachage signé par le mécanisme SHA256 _PKCS du jeton d'enregistrement. Pour plus d'informations, voir Créer et signer un jeton d'enregistrement.

Obligatoire : oui

<public-key>

Spécifie le chemin d'accès à un fichier contenant la clé publique d'une paire de clés asymétrique RSA-2048. Utilisez la clé privée pour signer le jeton d'enregistrement. Pour plus d'informations, consultez Créer une paire de clés RSA.

Obligatoire : oui

Note

Le cluster utilise la même clé pour l'authentification par quorum et pour l'authentification à deux facteurs (2FA). Cela signifie que vous ne pouvez pas faire pivoter une clé de quorum pour un utilisateur pour lequel l'authentification à deux facteurs est activée à l’aide de registerQuorumPubKey. Pour faire pivoter la clé, vous devez utiliser changePswd. Pour plus d'informations sur l'utilisation de l'authentification par quorum et de l'authentification 2FA, consultez Authentification par quorum et 2FA.

Rubriques en relation