Kaitkan AWS CloudHSM pengguna dengan kunci menggunakan CMU - AWS CloudHSM
Jenis penggunaSintaksisContohPendapatTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kaitkan AWS CloudHSM pengguna dengan kunci menggunakan CMU

Gunakan registerQuorumPubKey perintah di AWS CloudHSM cloudhsm_mgmt_util untuk mengaitkan pengguna modul keamanan perangkat keras (HSM) dengan pasangan kunci RSA-2048 asimetris. Setelah Anda mengaitkan pengguna HSM dengan kunci, pengguna tersebut dapat menggunakan kunci privat untuk menyetujui permintaan kuorum dan klaster dapat menggunakan kunci publik terdaftar untuk memverifikasi tanda tangan dari pengguna. Untuk informasi lebih lanjut tentang autentikasi kuorum, lihat. Mengelola Otentikasi Kuorum (M dari N Kontrol Akses).

Tip

Dalam AWS CloudHSM dokumentasi, otentikasi kuorum kadang-kadang disebut sebagai M dari N (MoFN), yang berarti minimum M approvers dari jumlah total N approvers.

Jenis pengguna

Jenis pengguna berikut dapat menjalankan perintah ini.

  • Petugas krito (CO)

Sintaksis

Karena perintah ini tidak memiliki parameter bernama, Anda harus memasukkan argumen dalam urutan yang ditentukan dalam diagram sintaks.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>

Contoh

Contoh ini menunjukkan cara menggunakan registerQuorumPubKey untuk mendaftarkan petugas kripto (CO) sebagai pemberi persetujuan pada permintaan autentikasi kuorum. Untuk menjalankan perintah ini, Anda harus memiliki pasangan kunci RSA-2048 asimetris, token yang ditandatangani, dan token yang tidak ditandatangani. Untuk informasi lebih lanjut tentang persyaratan ini, lihat Pendapat.

contoh : Daftarkan pengguna HSM untuk otentikasi kuorum

Contoh ini mendaftarkan CO bernama quorum_officer sebagai pemberi persetujuan untuk autentikasi kuorum. 

aws-cloudhsm> registerQuorumPubKey CO <quorum_officer> </path/to/quorum_officer.token> </path/to/quorum_officer.token.sig> </path/to/quorum_officer.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.0.1)

Perintah terakhir menggunakan perintah ListUsers untuk memverifikasi bahwa quorum_officer terdaftar sebagai pengguna MofN. 

aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              quorum_officer                          YES               0               NO

Pendapat

Karena perintah ini tidak memiliki parameter bernama, Anda harus memasukkan argumen dalam urutan yang ditentukan dalam diagram sintaks.

registerQuorumPubKey <user-type> <user-name> <registration-token> <signed-registration-token> <public-key>
<user-type>

Menentukan jenis pengguna. Parameter ini diperlukan.

Untuk informasi detail tentang jenis pengguna pada HSM, lihat Jenis pengguna HSM untuk Utilitas AWS CloudHSM Manajemen.

Nilai yang valid:

  • CO: Petugas kripto dapat mengelola pengguna, tetapi mereka tidak dapat mengelola kunci.

Wajib: Ya

<user name>

Menentukan nama yang mudah diingat untuk pengguna. Panjang maksimum adalah 31 karakter. Satu-satunya karakter khusus yang diizinkan adalah garis bawah (_).

Anda tidak dapat mengubah nama pengguna setelah dibuat. Dalam perintah cloudhsm_mgmt_util, jenis pengguna dan kata sandi peka huruf besar-kecil, tetapi nama pengguna tidak.

Wajib: Ya

<registration-token>

Menentukan jalur ke file yang berisi token pendaftaran tanpa tanda tangan. Dapat memiliki data acak dengan ukuran file maks 245 byte. Untuk informasi lebih lanjut tentang cara membuat token pendaftaran tanpa tanda tangan, lihat Buat dan Tandatangani Token Pendaftaran.

Wajib: Ya

<signed-registration-token>

Menentukan path ke file yang berisi mekanisme SHA256 _PKCS hash ditandatangani dari registration-token. Untuk informasi lebih lanjut, lihat Buat dan Tandatangani Token Pendaftaran.

Wajib: Ya

<public-key>

Menentukan jalur ke file yang berisi kunci publik dari pasangan kunci RSA-2048 asimetris. Gunakan kunci privat untuk menandatangani token pendaftaran. Untuk informasi lebih lanjut, lihat Buat Pasangan Kunci RSA.

Wajib: Ya

catatan

Klaster menggunakan kunci yang sama untuk autentikasi kuorum dan autentikasi dua faktor (2FA). Ini berarti Anda tidak dapat memutar kunci kuorum untuk pengguna yang mengaktifkan 2FA menggunakan registerQuorumPubKey. Untuk memutar kunci, Anda harus menggunakan changePswd. Untuk informasi lebih lanjut tentang penggunaan autentikasi kuorum dan 2FA, lihat Autentikasi Kuorum dan 2FA.

Topik terkait