Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Utenti HSM in AWS CloudHSM
<a name="manage-hsm-users"></a>

Prima di poter utilizzare il AWS CloudHSM cluster per l'elaborazione delle criptovalute, è necessario creare utenti e [chiavi](manage-keys.md) sui moduli di sicurezza hardware (HSM) del cluster.

**Nota**  
Gli utenti HSM sono diversi dagli utenti IAM. Gli utenti IAM che dispongono delle credenziali corrette possono creare HSMs interagendo con le risorse tramite l'API AWS. Dopo aver creato l'HSM, devi utilizzare le credenziali utente HSM per autenticare le operazioni sull'HSM.

 In AWS CloudHSM, devi utilizzare gli strumenti a riga di comando [CloudHSM](cloudhsm_cli-getting-started.md) [CLI o CloudHSM Management Utility (CMU) per creare e gestire gli utenti sul tuo HSM](cloudhsm_mgmt_util-getting-started.md). La CLI di CloudHSM è progettata per essere utilizzata con la [serie di versioni SDK più recente](use-hsm.md), mentre la CMU è progettata per essere utilizzata con la [serie di versioni SDK precedente](choose-client-sdk.md).

Per ulteriori informazioni sulla gestione degli utenti HSM in, consulta i seguenti argomenti. AWS CloudHSMÈ inoltre possibile imparare a utilizzare l'autenticazione del quorum (anche detta controllo accesso "M of N").

**Topics**
+ [Gestione degli utenti con CloudHSM CLI](manage-hsm-users-chsm-cli.md)
+ [Gestione degli utenti con CMU](manage-hsm-users-cmu.md)

# Gestione degli utenti HSM con CLI CloudHSM
<a name="manage-hsm-users-chsm-cli"></a>

 [Per gestire gli utenti del modulo di sicurezza hardware (HSM) AWS CloudHSM, devi accedere all'HSM con il nome utente e la password di un amministratore.](understanding-users.md#admin) Solo gli amministratori possono gestire gli utenti. L'HSM contiene un amministratore predefinito denominato admin. Hai impostato la password per admin quando hai [attivato il cluster](activate-cluster.md). 

Questo argomento fornisce step-by-step istruzioni e dettagli sulla gestione degli utenti HSM con CloudHSM CLI. 

**Topics**
+ [Prerequisiti](manage-hsm-users-chsm-cli-prereq.md)
+ [Tipi di utente](understanding-users.md)
+ [Tabella delle autorizzazioni](user-permissions-table-chsm-cli.md)
+ [Creare un amministratore](create-admin-cloudhsm-cli.md)
+ [Crea CUs](create-user-cloudhsm-cli.md)
+ [Elencare tutti gli utenti](list-users-cloudhsm-cli.md)
+ [Modifica delle password](change-user-password-cloudhsm-cli.md)
+ [Eliminare gli utenti](delete-user-cloudhsm-cli.md)
+ [Gestione dell'MFA utente](login-mfa-token-sign.md)
+ [Gestisci l'autenticazione del quorum (M of N)](quorum-auth-chsm-cli.md)

# Prerequisiti per la gestione degli utenti nella CLI di CloudHSM
<a name="manage-hsm-users-chsm-cli-prereq"></a>

Prima di utilizzare l'interfaccia della riga di comando di CloudHSM per gestire AWS CloudHSM gli utenti dei moduli di sicurezza hardware (HSM) in, è necessario completare questi prerequisiti. I seguenti argomenti descrivono come iniziare a usare la CLI CloudhSM.

**Topics**
+ [Ottieni l'indirizzo IP HSM](#manage-chsm-cli-users-ip)
+ [Download della CLI di CloudHSM](#get-cli-users-cloudhsm-cli)

## Ottieni l'indirizzo IP di un HSM in AWS CloudHSM
<a name="manage-chsm-cli-users-ip"></a>

 Per utilizzare la CLI di CloudHSM, è necessario utilizzare lo strumento di configurazione per aggiornare la configurazione locale. Per istruzioni sull'esecuzione dello strumento di configurazione con la CLI di CloudHSM, consulta [Guida introduttiva all'interfaccia a riga di AWS CloudHSM comando (CLI)](cloudhsm_cli-getting-started.md). Il parametro `-a` richiede l'aggiunta dell'indirizzo IP di un HSM nel cluster. Se ne hai più HSMs, puoi usare qualsiasi indirizzo IP. Questo garantisce che la CLI di CloudHSM possa propagare le modifiche apportate all'intero cluster. Ricorda che la CLI di CloudHSM utilizza il suo file locale per tenere traccia delle informazioni sul cluster. Se il cluster è cambiato dall'ultima volta che hai usato la CLI di CloudHSM da un determinato host, devi aggiungere tali modifiche al file di configurazione locale memorizzato su quell'host. Non rimuovere mai un HSM mentre utilizzi CloudHSM CLI. 

**Per ottenere un indirizzo IP per un HSM (console)**

1. Apri la AWS CloudHSM console a [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).

1. Per modificare la regione AWS, utilizza l'apposito selettore nell’angolo in alto a destra della pagina.

1. Per aprire la pagina dei dettagli del cluster, nella tabella dei cluster, scegli l'ID del cluster.

1. Per ottenere l'indirizzo IP, vai alla HSMs scheda. Per IPv4 i cluster, scegli un indirizzo elencato sotto l'** IPv4 indirizzo ENI**. **Per i cluster dual-stack, utilizzare l'ENI o l'indirizzo ENI IPv4 . IPv6 ** 

**Per ottenere un indirizzo IP per un HSM ()AWS CLI**
+ Ottieni l'indirizzo IP di un HSM utilizzando il comando **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** dalla AWS CLI. Nell'output del comando, l'indirizzo IP di HSMs sono i valori di `EniIp` and `EniIpV6` (se si tratta di un cluster dual-stack). 

  ```
  $ aws cloudhsmv2 describe-clusters
  {
      "Clusters": [
          { ... }
              "Hsms": [
                  {
  ...
                      "EniIp": "10.0.0.9",
  ...
                  },
                  {
  ...
                      "EniIp": "10.0.1.6",
                      "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
  ...
  ```

## Download della CLI di CloudHSM
<a name="get-cli-users-cloudhsm-cli"></a>

L'ultima versione della CLI di CloudHSM è disponibile per le attività di gestione utenti HSM per il Client SDK 5. Per scaricare e installare la CLI di CloudHSM, segui le istruzioni in [Installazione e configurazione della CLI di CloudHSM](gs_cloudhsm_cli-install.md).

# Tipi di utente HSM per CloudHSM CLI
<a name="understanding-users"></a>

 *La maggior parte delle operazioni eseguite sul modulo di sicurezza hardware (HSM) richiede le credenziali di un utente HSM. AWS CloudHSM * La HSM autentica ogni utente HSM e ogni utente HSM dispone di un *tipo* che stabilisce quali operazioni può eseguire nell'HSM in qualità di utente. 

**Nota**  
Gli utenti HSM sono diversi dagli utenti IAM. Gli utenti IAM che dispongono delle credenziali corrette possono creare HSMs interagendo con le risorse tramite l'API AWS. Dopo aver creato l'HSM, devi utilizzare le credenziali utente HSM per autenticare le operazioni sull'HSM.

**Topics**
+ [Admin non attivato](#unactivated-admin)
+ [Admin](#admin)
+ [Crypto user (CU)](#crypto-user-chsm-cli)
+ [Utente dell'appliance (AU)](#appliance-user-chsm-cli)

## Admin non attivato
<a name="unactivated-admin"></a>

Nella CLI di CloudHSM, l'amministratore non attivato è un utente temporaneo che esiste solo sul primo HSM in un cluster AWS CloudHSM che non è mai stato attivato. Per [attivare un cluster](activate-cluster.md), esegui il comando **cluster activate** nella CLI di CloudHSM. Dopo aver eseguito il comando, all'amministratore non attivato viene richiesto di modificare la password. Dopo aver modificato la password, l'amministratore non attivato diventa amministratore. 

## Admin
<a name="admin"></a>

Nella CLI di CloudHSM, l'amministratore può eseguire operazioni di gestione degli utenti. Ad esempio, può creare ed eliminare gli utenti e modificare le password degli utenti. Per ulteriori informazioni sugli amministratori, consulta [Tabella delle autorizzazioni utente HSM per CloudHSM CLI](user-permissions-table-chsm-cli.md). 

## Crypto user (CU)
<a name="crypto-user-chsm-cli"></a>

Un utente di crittografia (CU) è in grado di eseguire le seguenti operazioni di crittografia e di gestione delle chiavi.
+ **Gestione chiavi**: consente di creare, eliminare, condividere, importare ed esportare le chiavi di crittografia.
+ **Operazioni di crittografia**: usa le chiavi di crittografia per la crittografia, la decrittografia, la firma, la verifica e altro ancora.

Per ulteriori informazioni, consulta [Tabella delle autorizzazioni utente HSM per CloudHSM CLI](user-permissions-table-chsm-cli.md).

## Utente dell'appliance (AU)
<a name="appliance-user-chsm-cli"></a>

L'utente dell'appliance (AU) può eseguire operazioni di clonazione e sincronizzazione sul cluster. HSMs AWS CloudHSM utilizza l'AU per sincronizzarli in un cluster. HSMs AWS CloudHSM L'AU esiste su tutti i HSMs servizi forniti da AWS CloudHSM e dispone di autorizzazioni limitate. Per ulteriori informazioni, consulta [Tabella delle autorizzazioni utente HSM per CloudHSM CLI](user-permissions-table-chsm-cli.md).

AWS non può eseguire alcuna operazione sul tuo HSMs . AWS non può visualizzare o modificare gli utenti o le chiavi e non può eseguire operazioni crittografiche utilizzando tali chiavi.

# Tabella delle autorizzazioni utente HSM per CloudHSM CLI
<a name="user-permissions-table-chsm-cli"></a>

La tabella seguente elenca le operazioni dei moduli di sicurezza hardware (HSM) ordinate in base al tipo di utente o sessione HSM in cui è possibile eseguire l'operazione. AWS CloudHSM


|  | Admin | Utente di crittografia (CU) | Utente dell'appliance (AU) | Sessione autenticata | 
| --- | --- | --- | --- | --- | 
| Ottenimento info cluster di base¹ | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | 
| Modifica della propria password | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | Non applicabile | 
| Modifica della password di qualsiasi utente | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Aggiunta, rimozione di utenti | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Ottenimento stato sincronizzazione² | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Estrazione, inserimento di oggetti nascosti³ | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Funzioni di gestione chiave⁴ | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Crittografia, decrittografia | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Firma, verifica | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Genera digest e HMACs | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
+  [1] Le informazioni di base sul cluster includono il numero di componenti del HSMs cluster e l'indirizzo IP, il modello, il numero di serie, l'ID del dispositivo, l'ID del firmware di ciascun HSM, ecc. 
+  [2] L'utente può ottenere un set di digest (hash) corrispondenti alle chiavi dell'HSM. Un'applicazione può confrontare questi set di digest per comprendere lo stato di sincronizzazione di HSMs un cluster. 
+  [3] Gli oggetti mascherati sono chiavi crittografate prima di lasciare l'HSM. Non possono essere decrittografate esternamente all'HSM. Vengono decrittografate solo dopo essere state inserite in un HSM che si trova nello stesso cluster di quello da cui sono stati estratte. Un'applicazione può estrarre e inserire oggetti mascherati per sincronizzarli in un cluster. HSMs 
+  [4] Le funzioni di gestione chiave includono la creazione, l'eliminazione, il wrapping, l'annullamento del wrapping e la modifica degli attributi delle chiavi. 

# Crea un amministratore utente HSM utilizzando la CLI CloudHSM
<a name="create-admin-cloudhsm-cli"></a>

Segui questi passaggi per creare un utente amministratore del modulo di sicurezza hardware (HSM) utilizzando la CLI di CloudHSM.

1. Utilizza il seguente comando per avviare la CLI di CloudHSM in modalità interattiva.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizza il comando **login** ed esegui l'accesso al cluster come amministratore.

   ```
   aws-cloudhsm > login --username <username> --role admin
   ```

1. Il sistema ti invita a inserire la password. Inserisci la password e l'output mostra che il comando ha avuto successo.

   ```
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<username>",
       "role": "admin"
     }
   }
   ```

1. Immetti il seguente comando per creare un amministratore:

   ```
   aws-cloudhsm > user create --username <username> --role admin
   ```

1. Immetti la password per il nuovo utente.

1. Inserisci nuovamente la password per confermare che la password inserita è corretta.

# Crea un utente crittografico HSM utilizzando la CLI di CloudHSM
<a name="create-user-cloudhsm-cli"></a>

Segui questi passaggi per creare un utente crittografico (CU) del modulo di sicurezza hardware (HSM) utilizzando la CLI di CloudHSM.

1. Utilizza il seguente comando per avviare la CLI di CloudHSM in modalità interattiva.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizza il comando **login** ed esegui l'accesso al cluster come amministratore.

   ```
   aws-cloudhsm > login --username <username> --role admin
   ```

1. Il sistema ti invita a inserire la password. Inserisci la password e l'output mostra che il comando ha avuto successo.

   ```
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<USERNAME>",
       "role": "admin"
     }
   }
   ```

1. Inserisci il seguente comando per creare un crypto user:

   ```
   aws-cloudhsm > user create --username <username> --role crypto-user
   ```

1. Immetti la password per il nuovo crypto user.

1. Inserisci nuovamente la password per confermare che la password inserita è corretta.

# Elenca tutti gli utenti HSM nel cluster utilizzando la CLI di CloudHSM
<a name="list-users-cloudhsm-cli"></a>

 Utilizzate il **user list** comando nella CLI di CloudHSM per elencare tutti gli utenti del cluster. AWS CloudHSM Non è necessario effettuare l’accesso per eseguire **user list**. Tutti i tipi di utenti possono elencare utenti. 

**Attieniti alla seguente procedura per elencare tutti gli utenti sul cluster**

1. Utilizza il seguente comando per avviare la CLI di CloudHSM in modalità interattiva.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Immetti il seguente comando per elencare tutti gli utenti del cluster:

   ```
   aws-cloudhsm > user list
   ```

Per ulteriori informazioni su **user list**, consulta [user list](cloudhsm_cli-user-list.md).

# Modifica le password degli utenti HSM utilizzando la CLI di CloudHSM
<a name="change-user-password-cloudhsm-cli"></a>

 Utilizzate il **user change-password** comando nella CLI di CloudHSM per modificare la password di un utente del modulo di sicurezza hardware (HSM). 

 Solo i tipi e le password prevedono la distinzione tra lettere maiuscole e minuscole, non i nomi utente.

 Amministratore, crypto user (CU) e utente dell’applicazione (AU) possono modificare solo le proprie password. Per modificare la password di un altro utente, devi accedere come amministratore. Tuttavia, non potrai modificare la password di un utente che attualmente è connesso. 

**Per modificare la tua password**

1. Utilizza il seguente comando per avviare la CLI di CloudHSM in modalità interattiva.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizza il comando **login** e accedi come utente con la password da modificare.

   ```
   aws-cloudhsm > login --username <username> --role <role>
   ```

1. Inserisci la password dell'utente.

   ```
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<username>",
       "role": "<role>"
     }
   }
   ```

1. Immettere il comando **user change-password**.

   ```
   aws-cloudhsm > user change-password --username <username> --role <role>
   ```

1. Immetti la nuova password.

1. Immetti di nuovo la nuova password.

**Per modificare la password di un altro utente**

1. Utilizza il seguente comando per avviare la CLI di CloudHSM in modalità interattiva.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.

   ```
   aws-cloudhsm > login --username <admin> --role admin
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<admin>",
       "role": "admin"
     }
   }
   ```

1. Immetti il comando **user change-password** insieme al nome utente dell'utente di cui desideri modificare la password.

   ```
   aws-cloudhsm > user change-password --username <username> --role <role>
   ```

1. Immetti la nuova password.

1. Immetti di nuovo la nuova password.

Per ulteriori informazioni su **user change-password**, consulta [user change-password](cloudhsm_cli-user-change-password.md).

# Eliminare gli utenti HSM utilizzando la CLI di CloudHSM
<a name="delete-user-cloudhsm-cli"></a>

Utilizzalo **user delete** nella CLI CloudHSM per eliminare un utente del modulo di sicurezza hardware (HSM). Per eliminare un altro utente devi accedere come amministratore.

**Suggerimento**  
 Non puoi eliminare i crypto user (CU) che possiedono chiavi. 

**Come eliminare un utente**

1. Utilizza il seguente comando per avviare la CLI di CloudHSM in modalità interattiva.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizza il comando **login** ed esegui l'accesso al cluster come amministratore.

   ```
   aws-cloudhsm > login --username <username> --role admin
   ```

1. Il sistema ti invita a inserire la password. Inserisci la password e l'output mostra che il comando ha avuto successo.

   ```
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<username>",
       "role": "admin"
     }
   }
   ```

1. Utilizza il comando **user delete** per eliminare l’utente.

   ```
   aws-cloudhsm > user delete --username <username> --role <role>
   ```

Per ulteriori informazioni su **user delete**, consulta [deleteUser](cloudhsm_cli-user-delete.md).

# Gestisci l'MFA per gli utenti HSM utilizzando la CLI di CloudHSM
<a name="login-mfa-token-sign"></a>

Per una maggiore sicurezza, puoi configurare l'autenticazione a più fattori (MFA) per gli utenti per proteggere AWS CloudHSM il cluster. 

Quando accedi a un cluster con un account utente HSM (Hardware Security Module) abilitato per MFA, fornisci alla CLI di CloudHSM la tua password, il primo fattore, quello che sai, e CloudHSM CLI ti fornisce un token e ti richiede di firmare il token.

Per fornire il secondo fattore (quello che possiedi) firmi il token con una chiave privata da una coppia di chiavi che hai già creato e associata all'utente HSM. Per accedere al cluster, fornisci il token firmato alla CLI di CloudHSM.

Per ulteriori informazioni sulla configurazione della tecnologia MFA per un utente, vedere [Configurazione della MFA per la CLI di CloudHSM](set-up-mfa-for-cloudhsm-cli.md)

I seguenti argomenti forniscono ulteriori informazioni sull'utilizzo dell'autenticazione quorum in. AWS CloudHSM

**Topics**
+ [Autenticazione quorum](quorum-mfa-cloudhsm-cli.md)
+ [Requisiti delle coppie di chiavi](mfa-key-pair-cloudhsm-cli.md)
+ [Configurazione di MFA](set-up-mfa-for-cloudhsm-cli.md)
+ [Creazione di utenti](create-mfa-users-cloudhsm-cli.md)
+ [Accesso degli utenti](login-mfa-cloudhsm-cli.md)
+ [Rotazione delle chiavi](rotate-mfa-cloudhsm-cli.md)
+ [Annullare la registrazione di una chiave pubblica MFA](deregister-mfa-cloudhsm-cli.md)
+ [Informazioni di riferimento sul file token](reference-mfa-cloudhsm-cli.md)

# Autenticazione quorum e MFA nei cluster AWS CloudHSM con CLI CloudhSM
<a name="quorum-mfa-cloudhsm-cli"></a>

Il AWS CloudHSM cluster utilizza la stessa chiave per l'autenticazione quorum e per l'autenticazione a più fattori (MFA). Ciò significa che un utente con MFA abilitata è effettivamente registrato per il MoFN o il controllo degli accessi quorum. Per utilizzare correttamente l'autenticazione MFA e quorum per lo stesso utente HSM, tieni presenti i seguenti punti:
+ Se oggi si utilizza l'autenticazione quorum per un utente, è necessario utilizzare la stessa coppia di chiavi creata per l'utente quorum per abilitare la MFA per l'utente.
+ Se aggiungi il requisito MFA per un utente non MFA che non è un utente di autenticazione quorum, registri quell'utente come utente registrato al quorum (MoFN) con autenticazione MFA.
+ Se rimuovi il requisito MFA o modifichi la password per un utente MFA che è anche un utente registrato per l'autenticazione quorum, rimuoverai anche la registrazione dell'utente come utente del quorum (MoFN).
+ Se rimuovi il requisito MFA o modifichi la password per un utente MFA che è anche un utente con autenticazione quorum, *ma desideri comunque che quell'utente partecipi all'autenticazione quorum*, devi registrare nuovamente quell'utente come utente quorum (MoFN).

Per ulteriori informazioni sull'autenticazione quorum, consulta [Gestisci l'autenticazione del quorum (M of N)](quorum-auth-chsm-cli.md).

# Requisiti della coppia di chiavi MFA per l'utilizzo della CLI AWS CloudHSM CloudhSM
<a name="mfa-key-pair-cloudhsm-cli"></a>

Per abilitare l'autenticazione a più fattori (MFA) per un utente del modulo di sicurezza hardware (HSM) AWS CloudHSM in, puoi creare una nuova coppia di chiavi o utilizzare una chiave esistente che soddisfi i seguenti requisiti:
+ **Tipo di chiave:** asimmetrica
+ **Uso delle chiavi:** firma e verifica
+ **Specifiche chiave**: RSA\$12048
+ **L'algoritmo di firma include**: SHA256With RSAEncryption

**Nota**  
Se utilizzi l'autenticazione quorum o intendi utilizzare l'autenticazione quorum, consulta [Autenticazione quorum e MFA nei cluster AWS CloudHSM con CLI CloudhSM](quorum-mfa-cloudhsm-cli.md)

Puoi utilizzare la CLI di CloudHSM e la coppia di chiavi per creare un nuovo utente amministratore con autenticazione MFA abilitata.

# Configurazione della MFA per la CLI di CloudHSM
<a name="set-up-mfa-for-cloudhsm-cli"></a>

Segui questi passaggi per configurare l'autenticazione a più fattori (MFA) per CloudHSM CLI. 

1. Per configurare la MFA utilizzando la strategia di firma tramite token, devi prima generare una chiave privata RSA a 2048 bit e la chiave pubblica associata.

   ```
   $ openssl genrsa -out officer1.key 2048
   Generating RSA private key, 2048 bit long modulus (2 primes)
   ...........................................................+++++
   ....................................................................+++++
   e is 65537 (0x010001)
   
   $ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
   writing RSA key
   ```

1. Immetti il seguente comando per avviare la CLI in modalità interattiva.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizzando la CLI di CloudHSM, accedi al tuo account utente.

   ```
   aws-cloudhsm > login --username <admin> --role <admin> --cluster-id <cluster ID>
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<admin>",
       "role": "<admin>"
     }
   }
   ```

1. Esegui quindi il comando per modificare la tua strategia MFA. Devi fornire il parametro `--token`. Questo parametro specifica un file in cui verranno scritti token non firmati.

   ```
   aws-cloudhsm > user change-mfa token-sign --token unsigned-tokens.json --username <username> --role crypto-user --change-quorum
   Enter password:
   Confirm password:
   ```

1. Ora hai un file con token non firmati che devono essere firmati: `unsigned-tokens.json`. Il numero di token in questo file dipende dal numero di token presenti nel cluster. HSMs Ogni token rappresenta un HSM. Questo file è in formato JSON e contiene token che devono essere firmati per dimostrare che disponi di una chiave privata.

   ```
   $ cat unsigned-tokens.json
   {
     "version": "2.0",
     "tokens": [
   {
       {
         "unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=",
         "signed": ""
       },
       {
         "unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=",
         "signed": ""
       },
       {
         "unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=",
         "signed": ""
       }
     ]
   }
   ```

1. Il passaggio successivo consiste nel firmare questi token con la chiave privata creata nel passaggio 1. Inserisci nuovamente le firme nel file. Per prima cosa, devi estrarre e decodificare i token codificati in base64.

   ```
   $ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64
   $ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64
   $ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64
   $ base64 -d token1.b64 > token1.bin
   $ base64 -d token2.b64 > token2.bin
   $ base64 -d token3.b64 > token3.bin
   ```

1. Ora hai token binari che puoi firmare utilizzando la chiave privata RSA creata nel passaggio 1.

   ```
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token1.bin \
         -out token1.sig.bin
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token2.bin \
         -out token2.sig.bin
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token3.bin \
         -out token3.sig.bin
   ```

1. Ora hai le firme binarie dei token. È necessario codificarli utilizzando base64 e quindi reinserirli nel file del token.

   ```
   $ base64 -w0 token1.sig.bin > token1.sig.b64
   $ base64 -w0 token2.sig.bin > token2.sig.b64 
   $ base64 -w0 token3.sig.bin > token3.sig.b64
   ```

1. Infine, puoi copiare e incollare nuovamente i valori base64 nel tuo file del token:

   ```
   {
     "version": "2.0",
     "tokens": [
       {
         "unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
         "signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
       },
       {
         "unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
         "signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
       },
       {
         "unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
         "signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
       }
     ]
   }
   ```

1. Ora che il tuo file del token ha tutte le firme richieste, puoi procedere. Inserisci il nome del file contenente i token firmati e premi il tasto INVIO. Inserisci poi il percorso della tua chiave pubblica.

   ```
   Enter signed token file path (press enter if same as the unsigned token file):
   Enter public key PEM file path:officer1.pub
   {
     "error_code": 0,
     "data": {
       "username": "<username>",
       "role": "crypto-user"
     }
   }
   ```

   A questo punto hai configurato il tuo utente con la MFA.

   ```
   {
       "username": "<username>",
       "role": "crypto-user",
       "locked": "false",
       "mfa": [
         {
           "strategy": "token-sign",
           "status": "enabled"
         }
       ],
       "cluster-coverage": "full"
   },
   ```

# Crea utenti con MFA abilitata per CloudhSM CLI
<a name="create-mfa-users-cloudhsm-cli"></a>

Segui questi passaggi per creare AWS CloudHSM utenti con l'autenticazione a più fattori (MFA) abilitata. 

1. Utilizza la CLI di CloudHSM per accedere all'HSM come amministratore.

1. Usa il comando [**user create**](cloudhsm_cli-user-create.md) per creare un utente a tua scelta. Segui poi i passaggi [Configurazione della MFA per la CLI di CloudHSM](set-up-mfa-for-cloudhsm-cli.md) per configurare l'autenticazione MFA per l'utente.

# Accedi agli utenti con MFA abilitata per CloudHSM CLI
<a name="login-mfa-cloudhsm-cli"></a>

Segui questi passaggi per accedere agli AWS CloudHSM utenti con l'autenticazione a più fattori (MFA) abilitata. 

1. Utilizza il comando [**login mfa-token-sign**](cloudhsm_cli-login-mfa-token-sign.md) nella CLI di CloudHSM per avviare il processo di accesso con MFA per un utente con autenticazione MFA abilitata.

   ```
   aws-cloudhsm > login --username <username> --role <role> mfa-token-sign --token <unsigned-tokens.json>
   Enter password:
   ```

1. Inserisci la password. Ti verrà quindi richiesto di inserire il percorso del file token che contiene le coppie di token, dove i unsigned/signed token firmati sono quelli generati utilizzando la tua chiave privata.

   ```
   aws-cloudhsm > login --username <username> --role <role> mfa-token-sign --token <unsigned-tokens.json>
   Enter password:
   Enter signed token file path (press enter if same as the unsigned token file):
   ```

1. Quando ti viene richiesto di inserire il percorso del file del token firmato, puoi ispezionare il file del token non firmato in un terminale separato. Identifica il file con token non firmati che devono essere firmati: `<unsigned-tokens.json>`. Il numero di token in questo file dipende dal numero di token presenti HSMs nel cluster. Ogni token rappresenta un HSM. Questo file è in formato JSON e contiene token che devono essere firmati per dimostrare che disponi di una chiave privata.

   ```
   $ cat <unsigned-tokens.json>
   {
     "version": "2.0",
     "tokens": [
       {
         "unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=",
         "signed": ""
       },
       {
         "unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=",
         "signed": ""
       },
       {
         "unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=",
         "signed": ""
       }
     ]
   }
   ```

1. Firma i token non firmati con la chiave privata creata nel passaggio 2. Per prima cosa, devi estrarre e decodificare i token codificati in base64.

   ```
   $ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64
   $ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64
   $ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64
   $ base64 -d token1.b64 > token1.bin 
   $ base64 -d token2.b64 > token2.bin
   $ base64 -d token3.b64 > token3.bin
   ```

1. Ora hai dei token binari. Firmali utilizzando la chiave privata RSA creata in precedenza nel [passaggio 1 della configurazione MFA](set-up-mfa-for-cloudhsm-cli.md).

   ```
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token1.bin \
         -out token1.sig.bin
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token2.bin \
         -out token2.sig.bin
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token3.bin \
         -out token3.sig.bin
   ```

1. Ora hai le firme binarie dei token. Codificali in base64 e inseriscili nuovamente nel tuo file token.

   ```
   $ base64 -w0 token1.sig.bin > token1.sig.b64
   $ base64 -w0 token2.sig.bin > token2.sig.b64
   $ base64 -w0 token3.sig.bin > token3.sig.b64
   ```

1. Infine, copia e incolla nuovamente i valori base64 nel tuo file del token:

   ```
   {
     "version": "2.0",
     "tokens": [
       {
         "unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
         "signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
       },
       {
         "unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
         "signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
       },
       {
         "unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
         "signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
       }
     ]
   }
   ```

1. Ora che il tuo file del token ha tutte le firme richieste, puoi procedere. Inserisci il nome del file contenente i token firmati e premi il tasto INVIO. Ora dovresti accedere con successo.

   ```
   aws-cloudhsm > login --username <username> --role <role> mfa-token-sign --token <unsigned-tokens.json>
   Enter password:
   Enter signed token file path (press enter if same as the unsigned token file):
   {
     "error_code": 0,
     "data": {
       "username": "<username>",
       "role": "<role>"
     }
   }
   ```

# Ruota le chiavi per gli utenti con MFA abilitata per CloudHSM CLI
<a name="rotate-mfa-cloudhsm-cli"></a>

Segui questi passaggi per ruotare le chiavi per AWS CloudHSM gli utenti con l'autenticazione a più fattori (MFA) abilitata.

1. Utilizza la CLI di CloudHSM per accedere all'HSM come amministratore o come utente specifico che ha abilitato la MFA (consulta [Accesso degli utenti con MFA abilitata]() per maggiori dettagli).

1. Esegui quindi il comando per modificare la tua strategia MFA. Devi fornire il parametro **--token**. Questo parametro specifica un file in cui verranno scritti token non firmati.

   ```
   aws-cloudhsm > user change-mfa token-sign --token unsigned-tokens.json --username <username> --role crypto-user --change-quorum
   Enter password:
   Confirm password:
   ```

1. Identifica il file con token non firmati che devono essere firmati: `unsigned-tokens.json`. Il numero di token in questo file dipende dal numero di HSMs token presenti nel cluster. Ogni token rappresenta un HSM. Questo file è in formato JSON e contiene token che devono essere firmati per dimostrare che disponi di una chiave privata. Questa sarà la nuova chiave privata della nuova coppia di public/private chiavi RSA che desideri utilizzare per ruotare la chiave pubblica attualmente registrata.

   ```
   $ cat unsigned-tokens.json
   {
     "version": "2.0",
     "tokens": [
       {
         "unsigned": "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=",
         "signed": ""
       },
       {
         "unsigned": "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=",
         "signed": ""
       },
       {
         "unsigned": "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=",
         "signed": ""
       }
     ]
   }
   ```

1. Firma questi token con la chiave privata creata in precedenza durante la configurazione. Per prima cosa, devi estrarre e decodificare i token codificati in base64.

   ```
   $ echo "Vtf/9QOFY45v/E1osvpEMr59JsnP/hLDm4ItOO2vqL8=" > token1.b64
   $ echo "wVbC0/5IKwjyZK2NBpdFLyI7BiayZ24YcdUdlcxLwZ4=" > token2.b64
   $ echo "z6aW9RzErJBL5KqFG5h8lhTVt9oLbxppjod0Ebysydw=" > token3.b64
   $ base64 -d token1.b64 > token1.bin
   $ base64 -d token2.b64 > token2.bin
   $ base64 -d token3.b64 > token3.bin
   ```

1. Ora hai dei token binari. Firmali utilizzando la chiave privata RSA creata in precedenza durante la configurazione.

   ```
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token1.bin \
         -out token1.sig.bin
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token2.bin \
         -out token2.sig.bin
   $ openssl pkeyutl -sign \
         -inkey officer1.key \
         -pkeyopt digest:sha256 \
         -keyform PEM \
         -in token3.bin \
         -out token3.sig.bin
   ```

1. Ora hai le firme binarie dei token. Codificali in base64 e inseriscili nuovamente nel tuo file token.

   ```
   $ base64 -w0 token1.sig.bin > token1.sig.b64
   $ base64 -w0 token2.sig.bin > token2.sig.b64 
   $ base64 -w0 token3.sig.bin > token3.sig.b64
   ```

1. Infine, copia e incolla nuovamente i valori base64 nel tuo file del token:

   ```
   {
     "version": "2.0",
     "tokens": [
       {
         "unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
         "signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
       },
       {
         "unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
         "signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
       },
       {
         "unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
         "signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
       }
     ]
   }
   ```

1. Ora che il tuo file del token ha tutte le firme richieste, puoi procedere. Inserisci il nome del file contenente i token firmati e premi il tasto INVIO. Inserisci poi il percorso della tua nuova chiave pubblica. Ora vedrai quanto segue come parte dell'output dell'[elenco degli utenti]().

   ```
   Enter signed token file path (press enter if same as the unsigned token file):
   Enter public key PEM file path:officer1.pub
   {
     "error_code": 0,
     "data": {
       "username": "<username>",
       "role": "crypto-user"
     }
   }
   ```

   A questo punto hai configurato il tuo utente con la MFA.

   ```
   {
       "username": "<username>",
       "role": "crypto-user",
       "locked": "false",
       "mfa": [
         {
           "strategy": "token-sign",
           "status": "enabled"
         }
       ],
       "cluster-coverage": "full"
   },
   ```

Hai firmato il file token in formato JSON generato con la tua chiave privata e registrato una nuova chiave pubblica MFA.

# Annullare la registrazione di una chiave pubblica MFA utilizzando la CLI di CloudHSM
<a name="deregister-mfa-cloudhsm-cli"></a>

Segui questi passaggi per annullare la registrazione di una chiave pubblica di autenticazione a più fattori (MFA) per AWS CloudHSM gli utenti amministratori quando la chiave pubblica MFA è registrata.

1. Utilizza la CLI di CloudHSM per accedere all'HSM come amministratore con MFA abilitata.

1. Utilizza il comando **user change-mfa token-sign** per rimuovere la MFA per un utente.

   ```
   aws-cloudhsm > user change-mfa token-sign --username <username> --role admin --deregister --change-quorum
   Enter password:
   Confirm password:
   {
     "error_code": 0,
     "data": {
       "username": "<username>",
       "role": "admin"
     }
   }
   ```

# Riferimento al file token per MFA con CLI CloudhSM
<a name="reference-mfa-cloudhsm-cli"></a>

Il file token generato durante la registrazione di una chiave pubblica di autenticazione a più fattori (MFA) o quando si tenta di accedere alla CLI di CloudhSM tramite MFA è costituito da quanto segue:
+ **Token: un array di coppie** di token codificate in base64 sotto forma di oggetti letterali JSON. unsigned/signed 
+ **Senza segno:** un token con codifica e hash in base64. SHA256 
+ **Firmati**: un token firmato con codifica base64 (firma) del token non firmato, che utilizza la chiave privata RSA a 2048 bit.

```
{
  "version": "2.0",
  "tokens": [
    {
      "unsigned": "1jqwxb9bJOUUQLiNb7mxXS1uBJsEXh0B9nj05BqnPsE=",
      "signed": "eiw3fZeCKIY50C4zPeg9Rt90M1Qlq3WlJh6Yw7xXm4nF6e9ETLE39+9M+rUqDWMRZjaBfaMbg5d9yDkz5p13U7ch2tlF9LoYabsWutkT014KRq/rcYMvFsU9n/Ey/TK0PVaxLN42X+pebV4juwMhN4mK4CzdFAJgM+UGBOj4yB9recpOBB9K8QFSpJZALSEdDgUc/mS1eDq3rU0int6+4NKuLQjpR+LSEIWRZ6g6+MND2vXGskxHjadCQ09L7Tz8VcWjKDbxJcBiGKvkqyozl9zrGo8fA3WHBmwiAgS61Merx77ZGY4PFR37+j/YMSC14prCN15DtMRv2xA1SGSb4w=="
    },
    {
      "unsigned": "LMMFc34ASPnvNPFzBbMbr9FProS/Zu2P8zF/xzk5hVQ=",
      "signed": "HBImKnHmw+6R2TpFEpfiAg4+hu2pFNwn43ClhKPkn2higbEhUD0JVi+4MerSyvU/NN79iWVxDvJ9Ito+jpiRQjTfTGEoIteyuAr1v/Bzh+HjmrO53OQpZaJ/VXGIgApD0myuu/ZGNKQTCSkkL7+V81FG7yR1Nm22jUeGa735zvm/E+cenvZdy0VVx6A7WeWrl3JEKKBweHbi+7BwbaW+PTdCuIRd4Ug76Sy+cFhsvcG1k7cMwDh8MgXzIZ2m1f/hdy2j8qAxORTLlmwyUOYvPYOvUhc+s83hx36QpGwGcD7RA0bPT5OrTx7PHd0N1CL+Wwy91We8yIOFBS6nxo1R7w=="
    },
    {
      "unsigned": "dzeHbwhiVXQqcUGj563z51/7sLUdxjL93SbOUyZRjH8=",
      "signed": "VgQPvrTsvGljVBFxHnswduq16x8ZrnxfcYVYGf/N7gEzI4At3GDs2EVZWTRdvS0uGHdkFYp1apHgJZ7PDVmGcTkIXVD2lFYppcgNlSzkYlftr5EOjqS9ZjYEqgGuB4g//MxaBaRbJai/6BlcE92NIdBusTtreIm3yTpjIXNAVoeRSnkfuw7wZcL96QoklNb1WUuSHw+psUyeIVtIwFMHEfFoRC0t+VhmnlnFnkjGPb9W3Aprw2dRRvFM3R2ZTDvMCiOYDzUCd43GftGq2LfxH3qSD51oFHglHQVOY0jyVzzlAvub5HQdtOQdErIeO0/9dGx5yot07o3xaGl5yQRhwA=="
    }
  ]
}
```

# Gestisci l'autenticazione del quorum (controllo degli accessi M of N) utilizzando la CLI CloudhSM
<a name="quorum-auth-chsm-cli"></a>

AWS CloudHSM i cluster supportano l'autenticazione quorum, nota anche come controllo degli accessi M of N. Questa funzionalità richiede la collaborazione degli utenti HSM per determinate operazioni, aggiungendo un ulteriore livello di protezione.

Con l'autenticazione quorum, nessun singolo utente dell'HSM può eseguire operazioni controllate dal quorum sull'HSM. Invece, un numero minimo di utenti HSM (almeno 2) deve cooperare per eseguire queste operazioni.

L'autenticazione del quorum consente di controllare le seguenti operazioni:
+ Gestione degli utenti HSM da parte dell'[amministratore](understanding-users.md#admin): creazione ed eliminazione di utenti HSM o modifica della password di un altro utente HSM. Per ulteriori informazioni, consulta [Gestione degli utenti con autenticazione quorum abilitata per l'utilizzo della CLI AWS CloudHSM CloudhSM](quorum-auth-chsm-cli-admin.md).

Punti chiave sull'autenticazione del quorum in. AWS CloudHSM
+ Un utente HSM può firmare il proprio token del quorum, ovvero fornire una delle approvazioni richieste per l'autenticazione del quorum.
+ È possibile scegliere il numero minimo di approvatori del quorum, che varia da due (2) a otto (8).
+ HSMs può memorizzare fino a 1024 token di quorum. Quando viene raggiunto questo limite, l'HSM elimina un token scaduto per crearne uno nuovo.
+ Per impostazione predefinita, i token scadono dieci minuti dopo la creazione.
+ Per i cluster con MFA abilitata, viene utilizzata la stessa chiave per l'autenticazione quorum e l'autenticazione a più fattori (MFA). Per ulteriori informazioni, consulta [Utilizzo della CLI di CloudHSM per gestire l'](login-mfa-token-sign.md)MFA.
+ Ogni HSM può contenere un token per servizio di amministrazione e più token per servizio Crypto User.

I seguenti argomenti forniscono ulteriori informazioni sull'autenticazione del quorum in AWS CloudHSM.

**Topics**
+ [Processo di autenticazione quorum per CloudhSM CLI](quorum-auth-chsm-cli-overview.md)
+ [Nomi e tipi AWS CloudHSM di servizi supportati per l'autenticazione del quorum con CloudHSM CLI](quorum-auth-chsm-cli-service-names.md)
+ [Configura l'autenticazione del quorum per gli amministratori utilizzando la CLI AWS CloudHSM CloudhSM](quorum-auth-chsm-cli-first-time.md)
+ [Gestione degli utenti con autenticazione quorum abilitata per l'utilizzo della CLI AWS CloudHSM CloudhSM](quorum-auth-chsm-cli-admin.md)
+ [Modifica il valore minimo del quorum per l'utilizzo della CLI di AWS CloudHSM CloudhSM](quorum-auth-chsm-cli-min-value.md)

# Processo di autenticazione quorum per CloudhSM CLI
<a name="quorum-auth-chsm-cli-overview"></a>

I passaggi seguenti riassumono i processi di autenticazione del quorum per CloudHSM CLI. Per le operazioni e gli strumenti specifici, consultare [Gestione degli utenti con autenticazione quorum abilitata per l'utilizzo della CLI AWS CloudHSM CloudhSM](quorum-auth-chsm-cli-admin.md).

1. Ogni utente del modulo di sicurezza hardware (HSM) crea una chiave asimmetrica per la firma. Gli utenti completano questa operazione al di fuori dell'HSM, assicurandosi di proteggere la chiave in modo appropriato.

1. Ciascun utente HSM effettua l'accesso all'HSM e registra la parte pubblica della propria chiave di firma (la chiave pubblica) nell'HSM.

1. Quando un utente HSM desidera effettuare un'operazione controllata dal quorum, tale utente effettua l'accesso all'HSM e ottiene un *token del quorum*.

1. L'utente HSM assegna il token del quorum a uno o più utenti HSM e richiede la loro approvazione.

1. Gli altri utenti HSM approvano utilizzando le loro chiavi per firmare crittograficamente il token del quorum. Ciò si verifica al di fuori dell'HSM.

1. Quando l'utente HSM dispone del numero di approvazioni necessario, tale utente effettua l'accesso all'HSM ed esegue l'operazione controllata dal quorum con l'argomento **--approval**, fornendo il file del token del quorum firmato contenente tutte le approvazioni (firme) necessarie.

1. L'HSM utilizza la chiavi pubbliche registrate di ciascun firmatario per verificare le firme. Se le firme sono valide, l'HSM approva il token e l'operazione controllata dal quorum viene eseguita.

# Nomi e tipi AWS CloudHSM di servizi supportati per l'autenticazione del quorum con CloudHSM CLI
<a name="quorum-auth-chsm-cli-service-names"></a>

**Servizi admin**: l'autenticazione del quorum viene utilizzata per servizi che necessitano dei privilegi dell'admin come la creazione e l'eliminazione di utenti, la modifica delle password degli utenti, l'impostazione dei valori del quorum e la disattivazione delle funzionalità quorum e MFA.

**Crypto User Services**: l'autenticazione Quorum viene utilizzata per i servizi privilegiati degli utenti crittografici associati a una chiave specifica, come la firma con una chiave, una chiave, sharing/unsharing una chiave e l'impostazione dell'attributo di wrapping/unwrapping una chiave. Il valore quorum di una chiave associata viene configurato quando la chiave viene generata, importata o aperta. Il valore del quorum deve essere uguale o inferiore al numero di utenti a cui è associata la chiave, che include gli utenti con cui la chiave è condivisa e il proprietario della chiave.

Ogni tipo di servizio è ulteriormente suddiviso in un nome di servizio qualificante, che contiene un set specifico di operazioni di servizio supportate dal quorum che possono essere eseguite.


****  

| Nome del servizio | Tipo di servizio | Operazioni di servizio | 
| --- | --- | --- | 
| Utente | Admin |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-service-names.html)  | 
| quorum | Admin |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-service-names.html)  | 
| gruppo 1 | Admin |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-service-names.html)  | 
| gestione delle chiavi | Utente Crypto |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-service-names.html)  | 
| utilizzo delle chiavi | Utente Crypto |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-service-names.html)  | 

[1] Il servizio cluster è disponibile esclusivamente su hsm2m.medium

# Configura l'autenticazione del quorum per gli amministratori utilizzando la CLI AWS CloudHSM CloudhSM
<a name="quorum-auth-chsm-cli-first-time"></a>

[Gli argomenti seguenti descrivono i passaggi da completare per configurare il modulo di sicurezza hardware (HSM) in modo che gli amministratori possano utilizzare l'autenticazione quorum. AWS CloudHSM](understanding-users.md#admin) È necessario eseguire questa procedura una sola volta quando si configura l'autenticazione del quorum per gli amministratori per la prima volta. Una volta completata questa procedura, consultare [Gestione degli utenti con autenticazione quorum abilitata per l'utilizzo della CLI AWS CloudHSM CloudhSM](quorum-auth-chsm-cli-admin.md).

**Topics**
+ [Prerequisiti](#quorum-admin-prerequisites)
+ [Passaggio 1. Creazione e registrazione di una chiave per la firma](#quorum-admin-create-and-register-key)
+ [Passaggio 2. Impostazione del valore minimo del quorum sull'HSM](#quorum-admin-set-quorum-minimum-value-chsm-cli)
+ [Valori minimi del quorum](#cloudhsm_cli-qm-list-minimum)

## Prerequisiti
<a name="quorum-admin-prerequisites"></a>

Per comprendere questo esempio, è bene avere familiarità con la [CLI di CloudHSM](cloudhsm_cli.md).

## Passaggio 1. Creazione e registrazione di una chiave per la firma
<a name="quorum-admin-create-and-register-key"></a>

Per utilizzare l'autenticazione del quorum, ogni amministratore deve completare *tutti* i seguenti passaggi: 

**Topics**
+ [Creazione di una coppia di chiavi RSA](#mofn-key-pair-create-chsm-cli)
+ [Creazione e firma di un token di registrazione](#mofn-registration-token-chsm-cli)
+ [Registrazione della chiave pubblica con HSM](#mofn-register-key-chsm-cli)

### Creazione di una coppia di chiavi RSA
<a name="mofn-key-pair-create-chsm-cli"></a>

Esistono molti modi diversi per creare e proteggere una coppia di chiavi. Gli esempi a seguire mostrano come eseguire questa operazione con [OpenSSL](https://www.openssl.org/).

**Example - Creazione di una chiave privata con OpenSSL**  
L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave RSA a 2048 bit. Per utilizzare questo esempio, sostituiscilo *<admin.key>* con il nome del file in cui desideri memorizzare la chiave.  

```
$ openssl genrsa -out <admin.key>
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
```

Successivamente, genera la chiave pubblica utilizzando la chiave privata appena creata.

**Example - Creazione di una chiave pubblica con OpenSSL**  
L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave pubblica dalla chiave privata appena creata.  

```
$ openssl rsa -in admin.key -outform PEM -pubout -out admin1.pub
writing RSA key
```

### Creazione e firma di un token di registrazione
<a name="mofn-registration-token-chsm-cli"></a>

Crea un token e firmalo con la chiave privata appena generata nella fase precedente.

**Example - Creazione di un token di registrazione**  

1. Utilizza il seguente comando per avviare la CLI di CloudHSM:

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Crea un token di registrazione eseguendo il comando [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md):

   ```
   aws-cloudhsm > quorum token-sign generate --service registration --token /path/tokenfile
   {
     "error_code": 0,
     "data": {
       "path": "/path/tokenfile"
     }
   }
   ```

1. Il comando [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) genera un token di registrazione nel percorso del file specificato. Ispeziona il file del token:

   ```
   $ cat /path/tokenfile
   {
     "version": "2.0",
     "tokens": [
       {
         "approval_data": <approval data in base64 encoding>,
         "unsigned": <unsigned token in base64 encoding>,
         "signed": ""
       }
     ]
   }
   ```

   Il file del token comprende:
   + **approval\$1data**: un token di dati randomizzato con codifica base64 i cui dati non elaborati non superano il limite massimo di 245 byte.
   + **unsigned**: un token codificato e con SHA256 hash in base64 di approval\$1data.
   + **signed**: un token firmato con codifica base64 (firma) del token non firmato, che utilizza la chiave privata RSA a 2048 bit generata precedentemente con OpenSSL.

   Firma il token non firmato con la chiave privata per dimostrare di avere accesso alla chiave privata. Avrai bisogno del file del token di registrazione completamente compilato con una firma e la chiave pubblica per registrare l'amministratore come utente del quorum nel cluster. AWS CloudHSM 

**Example - Firma del token di registrazione non firmato**  

1. Decodifica il token non firmato con codifica base64 e inseriscilo in un file binario:

   ```
   $ echo -n '6BMUj6mUjjko6ZLCEdzGlWpR5sILhFJfqhW1ej3Oq1g=' | base64 -d > admin.bin
   ```

1. Utilizza OpenSSL e la chiave privata per firmare il token di registrazione non firmato ora binario e crea un file di firma binario:

   ```
   $ openssl pkeyutl -sign \
   -inkey admin.key \
   -pkeyopt digest:sha256 \
   -keyform PEM \
   -in admin.bin \
   -out admin.sig.bin
   ```

1. Codifica la firma binaria in base64:

   ```
   $ base64 -w0 admin.sig.bin > admin.sig.b64
   ```

1. Copia e incolla la firma con codifica base64 nel file token:

   ```
   {
     "version": "2.0",
     "tokens": [
       {
         "approval_data": <approval data in base64 encoding>,
         "unsigned": <unsigned token in base64 encoding>,
         "signed": <signed token in base64 encoding>
       }
     ]
   }
   ```

### Registrazione della chiave pubblica con HSM
<a name="mofn-register-key-chsm-cli"></a>

Dopo aver creato una chiave, l'amministratore deve registrare la chiave pubblica nel cluster. AWS CloudHSM 

**Per registrare una chiave pubblica con l'HSM**

1. Utilizza il seguente comando per avviare la CLI di CloudHSM:

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.

   ```
   aws-cloudhsm > login --username <admin> --role admin
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<admin>",
       "role": "admin"
     }
   }
   ```

1. Utilizza il comando **[Registra la strategia del quorum di firma dei token di un utente utilizzando la CLI di CloudHSM](cloudhsm_cli-user-chqm-token-reg.md)** per registrare una chiave pubblica. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help user change-quorum token-sign register**.

**Example — Registra una chiave pubblica con il AWS CloudHSM cluster**  
L'esempio seguente mostra come usare il comando **user change-quorum token-sign register** nella CLI di CloudHSM per registrare una chiave pubblica di un amministratore nell'HSM. Per utilizzare questo comando, l'amministratore deve aver eseguito l'accesso all'HSM. Sostituire questi valori con i propri valori:  

```
aws-cloudhsm > user change-quorum token-sign register --public-key </path/admin.pub> --signed-token </path/tokenfile>
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}
```
**/path/admin.pub**: il percorso del file al file PEM della chiave pubblica  
**Obbligatorio:** sì  
**/path/tokenfile**: il percorso del file con il token firmato dalla chiave privata dell'utente  
**Obbligatorio:** sì
Una volta che tutti gli amministratori hanno registrato le proprie chiavi pubbliche, l'output del comando **user list** mostra l'avvenuta registrazione nel campo del quorum, indicando la strategia del quorum abilitata in uso, come illustrato di seguito:  

```
aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin2",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin3",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin4",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      }
    ]
  }
}
```
 In questo esempio, il AWS CloudHSM cluster ne ha due HSMs, ciascuno con gli stessi amministratori, come mostrato nel seguente output del **user list** comando. Per ulteriori informazioni sulla creazione di utenti, vedere [Gestione degli utenti con CloudHSM CLI](manage-hsm-users-chsm-cli.md)

## Passaggio 2. Impostazione del valore minimo del quorum sull'HSM
<a name="quorum-admin-set-quorum-minimum-value-chsm-cli"></a>

Per utilizzare l'autenticazione del quorum, un amministratore deve effettuare l'accesso all'HSM e quindi impostare il *valore minimo del quorum*. Questo è il numero minimo di approvazioni dell'amministratore necessarie per l'esecuzione delle operazioni di gestione degli utenti HSM. Qualsiasi amministratore nell'HSM può impostare il valore minimo del quorum, compresi gli amministratori che non hanno registrato una chiave per la firma. Puoi modificare il valore minimo del quorum in qualsiasi momento. Per ulteriori informazioni, consulta [Modifica del valore minimo](quorum-auth-chsm-cli-min-value.md).

**Per impostare il valore minimo del quorum sull'HSM**

1. Utilizza il seguente comando per avviare la CLI di CloudHSM:

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.

   ```
   aws-cloudhsm > login --username <admin> --role admin
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<admin>",
       "role": "admin"
     }
   }
   ```

1. Utilizzare il comando **[Aggiornare un valore di quorum utilizzando la CLI di CloudhSM](cloudhsm_cli-qm-token-set-qm.md)** per impostare il valore minimo del quorum. Il `--service` flag identifica il servizio HSM per cui stai impostando i valori. Vedi l'esempio seguente o usa il **help quorum token-sign set-quorum-value** comando per ulteriori informazioni.

**Example - Impostazione del valore minimo del quorum sull'HSM**  
Questo esempio utilizza un valore minimo del quorum pari a due (2). È possibile scegliere qualsiasi valore compreso tra due (2) e otto (8), fino al numero totale di amministratori sull'HSM. In questo esempio, l'HSM ha quattro (4) amministratori, quindi il valore massimo possibile è quattro (4).  
Per utilizzare il comando di esempio seguente, sostituite il numero finale (*<2>*) con il valore minimo del quorum preferito.  

```
aws-cloudhsm > quorum token-sign set-quorum-value --service user --value <2>
{
  "error_code": 0,
  "data": "Set quorum value successful"
}
```
In questo esempio, il **[Mostra i valori del quorum utilizzando la CLI CloudhSM](cloudhsm_cli-qm-token-list-qm.md)** comando elenca i tipi, i nomi e le descrizioni dei servizi HSM inclusi nel servizio. 

## Valori minimi del quorum
<a name="cloudhsm_cli-qm-list-minimum"></a>

Utilizza il comando **quorum token-sign list-quorum-values** per ottenere il valore minimo del quorum per un servizio:

```
aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}
```

L'output del comando **quorum token-sign list-quorum-values** precedente mostra che il valore minimo del quorum per il servizio utente HSM, responsabile delle operazioni di gestione degli utenti, è ora due (2). Una volta completata questa procedura, consultare [Gestione degli utenti con quorum (M of N)](quorum-auth-chsm-cli-admin.md).

**Servizi admin**: l'autenticazione del quorum viene utilizzata per servizi che necessitano dei privilegi dell'admin come la creazione e l'eliminazione di utenti, la modifica delle password degli utenti, l'impostazione dei valori del quorum e la disattivazione delle funzionalità quorum e MFA.

**Crypto User Services**: l'autenticazione Quorum viene utilizzata per i servizi privilegiati degli utenti crittografici associati a una chiave specifica, come la firma con una chiave, una chiave, sharing/unsharing una chiave e l'impostazione dell'attributo di wrapping/unwrapping una chiave. Il valore quorum di una chiave associata viene configurato quando la chiave viene generata, importata o aperta. Il valore del quorum deve essere uguale o inferiore al numero di utenti a cui è associata la chiave, che include gli utenti con cui la chiave è condivisa e il proprietario della chiave.

Ogni tipo di servizio è ulteriormente suddiviso in un nome di servizio qualificante, che contiene un set specifico di operazioni di servizio supportate dal quorum che possono essere eseguite.


****  

| Nome del servizio | Tipo di servizio | Operazioni di servizio | 
| --- | --- | --- | 
| Utente | Admin |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html)  | 
| quorum | Admin |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html)  | 
| gruppo 1 | Admin |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html)  | 
| gestione delle chiavi | Utente Crypto |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html)  | 
| utilizzo delle chiavi | Utente Crypto |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html)  | 

[1] Il servizio cluster è disponibile esclusivamente su hsm2m.medium

# Gestione degli utenti con autenticazione quorum abilitata per l'utilizzo della CLI AWS CloudHSM CloudhSM
<a name="quorum-auth-chsm-cli-admin"></a>

Un AWS CloudHSM [amministratore](understanding-users.md#admin) del modulo di sicurezza hardware (HSM) può configurare l'autenticazione quorum per le seguenti operazioni nel cluster: AWS CloudHSM 
+ **[Crea un AWS CloudHSM utente con CloudHSM CLI](cloudhsm_cli-user-create.md)**
+ **[Eliminare un AWS CloudHSM utente con CloudHSM CLI](cloudhsm_cli-user-delete.md)**
+ **[Modifica della password di un utente con CloudhSM CLI](cloudhsm_cli-user-change-password.md)**
+ **[La categoria user change-mfa nella CLI di CloudhSM](cloudhsm_cli-user-change-mfa.md)**

Dopo aver configurato il AWS CloudHSM cluster per l'autenticazione quorum, gli amministratori non possono eseguire autonomamente le operazioni di gestione degli utenti HSM. Nell'esempio seguente è mostrato l'output dopo che un amministratore ha tentato di creare un nuovo utente nell'HSM. Il comando ha esito negativo e viene restituito un errore che indica che è richiesta l'autenticazione del quorum.

```
aws-cloudhsm > user create --username user1 --role crypto-user
Enter password:
Confirm password:
{
  "error_code": 1,
  "data": "Quorum approval is required for this operation"
}
```

Per svolgere un'operazione di gestione degli utenti HSM, un amministratore deve completare le seguenti attività:

**Topics**
+ [Passaggio 1. Ottenere un token del quorum](#quorum-admin-gen-token-chsm-cli)
+ [Passaggio 2. Ottenere le firme dagli amministratori di approvazione](#quorum-admin-get-approval-signatures-chsm-cli)
+ [Fase 3. Approva il token sul AWS CloudHSM cluster ed esegui un'operazione di gestione degli utenti](#quorum-admin-approve-token-chsm-cli)

## Passaggio 1. Ottenere un token del quorum
<a name="quorum-admin-gen-token-chsm-cli"></a>

Innanzitutto, l'amministratore deve utilizzare la CLI di CloudHSM per richiedere un *token del quorum*.

**Per ottenere un token del quorum**

1. Utilizza il seguente comando per avviare la CLI di CloudHSM.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.

   ```
   aws-cloudhsm > login --username <admin> --role admin
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<admin>",
       "role": "admin"
     }
   }
   ```

1. Utilizza il comando **quorum token-sign generate** per generare un token del quorum. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help quorum token-sign generate**.

**Example - Generare un token del quorum**  
In questo esempio si ottiene un token del quorum per l'amministratore con il nome utente `admin`, che viene salvato nel file `admin.token`. Per utilizzare il comando di esempio, sostituisci i valori i tuoi personali:  
+ *<admin>*— Il nome dell'amministratore che riceve il token. Deve essere lo stesso amministratore che ha eseguito l'accesso all'HSM e sta eseguendo il comando.
+ *<admin.token>*— Il nome del file da utilizzare per archiviare il token del quorum.
Nel comando seguente, `user` identifica il *nome del servizio* per cui potrai utilizzare il token che stai generando. In questo caso, il token è destinato alle operazioni di gestione degli utenti HSM (servizio `user`).  

```
aws-cloudhsm > login --username <admin> --role admin --password <password>
{
  "error_code": 0,
  "data": {
    "username": "<admin>",
    "role": "admin"
  }
}
```

```
aws-cloudhsm > quorum token-sign generate --service user --token </path/admin.token>
{
  "error_code": 0,
  "data": {
    "path": "/home/tfile"
  }
}
```
Il comando **quorum token-sign generate** genera un token del quorum per il servizio utente nel percorso del file specificato. Il file del token può essere ispezionato:  

```
$ cat </path/admin.token>
{
  "version": "2.0",
  "service": "user-management",
  "approval_data": "AAEAAwAAABgAAAAAAAAAAJ9eFkfcP3mNzJAlfK+OWbNhZG1pbgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABj5vbeAAAAAAAAAAAAAQADAAAAFQAAAAAAAAAAW/v5Euk83amq1fij0zyvD2FkbWluAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGPm9t4AAAAAAAAAAAABAAMAAAAUAAAAAAAAAABDw2XDwfK4hB8a15Xh1E0nYWRtaW4AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAY+b23gAAAAAAAAAA",
  "token": "0l2LZkmAHZyAc1hPhyckOoVW33aGrgG77qmDHWQ3CJ8=",
  "signatures": []
}
```
Il file del token comprende:  
+ **service**: un identificatore per il servizio di quorum a cui è associato il token.
+ **approval\$1data**: un token di dati non elaborati con codifica base64 generato dall'HSM.
+ **token**: un token con codifica base64 sottoposto ad hashing SHA-256 di approval\$1data
+ **firme**: una serie di token con codifica base64 firmati (firme) del token non firmato, in cui ogni firma di un approvatore è sotto forma di valore letterale di un oggetto JSON: 

  ```
  {
        "username": "<APPROVER_USERNAME>",
        "role": "<APPROVER_ROLE>",
        "signature": "<APPROVER_RSA2048_BIT_SIGNATURE>"
  }
  ```

  Ogni firma viene creata in base al risultato di un approvatore che utilizza la corrispondente chiave privata RSA a 2048 bit la cui chiave pubblica è stata registrata presso l'HSM.
È possibile confermare l'esistenza del token del quorum per il servizio utente generato nel cluster CloudHSM eseguendo il comando **quorum token-sign list**:  

```
aws-cloudhsm > quorum token-sign list
{
  "error_code": 0,
  "data": {
    "tokens": [
      {
        "username": "admin",
        "service": "user",
        "approvals-required": {
          "value": 2
        },
        "number-of-approvals": {
          "value": 0
        },
        "token-timeout-seconds": {
          "value": 597
        },
        "cluster-coverage": "full"
      }
    ]
  }
}
```
Il tempo `token-timeout-seconds` indica il periodo di timeout in secondi per l'approvazione di un token generato prima della scadenza.

## Passaggio 2. Ottenere le firme dagli amministratori di approvazione
<a name="quorum-admin-get-approval-signatures-chsm-cli"></a>

Un amministratore che dispone di un token del quorum deve ottenerne l'approvazione da parte di altri amministratori. Per concedere l'approvazione, gli altri amministratori utilizzano la chiave di firma per firmare crittograficamente il token. Tale operazione viene svolta esternamente all'HSM.

Sono disponibili vari modi per firmare il token. L'esempio seguente mostra come eseguire questa operazione con [OpenSSL](https://www.openssl.org/). Per utilizzare un altro strumento di firma, assicurati che lo strumento utilizzi la chiave privata dell'amministratore (chiave di firma) per firmare un digest SHA-256 del token.

**Example - Ottenere le firme dagli amministratori di approvazione**  
In questo esempio, l'amministratore che dispone del token (`admin`) necessita di almeno due (2) approvazioni. I seguenti comandi di esempio mostrano come due (2) amministratori possono utilizzare OpenSSL per firmare crittograficamente il token.  

1. Decodifica il token non firmato con codifica base64 e inseriscilo in un file binario:

   ```
   $ echo -n '0l2LZkmAHZyAc1hPhyckOoVW33aGrgG77qmDHWQ3CJ8=' | base64 -d > admin.bin
   ```

1. Utilizza OpenSSL e la rispettiva chiave privata dell'approvatore `(admin3)` per firmare il token non firmato del quorum ora binario per il servizio utente e creare un file di firma binario:

   ```
   $ openssl pkeyutl -sign \
   -inkey admin3.key \
   -pkeyopt digest:sha256 \
   -keyform PEM \
   -in admin.bin \
   -out admin.sig.bin
   ```

1. Codifica la firma binaria in base64:

   ```
   $ base64 -w0 admin.sig.bin > admin.sig.b64
   ```

1. Infine, copia e incolla la firma con codifica base64 nel file token, seguendo il formato di valore letterale dell'oggetto JSON specificato in precedenza per la firma dell'approvatore:

   ```
   {
     "version": "2.0",
     "approval_data": "AAEAAwAAABgAAAAAAAAAAJ9eFkfcP3mNzJAlfK+OWbNhZG1pbgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABj5vbeAAAAAAAAAAAAAQADAAAAFQAAAAAAAAAAW/v5Euk83amq1fij0zyvD2FkbWluAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGPm9t4AAAAAAAAAAAABAAMAAAAUAAAAAAAAAABDw2XDwfK4hB8a15Xh1E0nYWRtaW4AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAY+b23gAAAAAAAAAA",
     "token": "0l2LZkmAHZyAc1hPhyckOoVW33aGrgG77qmDHWQ3CJ8=",
     "signatures": [
       {
         "username": "admin2",
         "role": "admin",
         "signature": "O6qx7/mUaVkYYVr1PW7l8JJko+Kh3e8zBIqdk3tAiNy+1rW+OsDtvYujhEU4aOFVLcrUFmyB/CX9OQmgJLgx/pyK+ZPEH+GoJGqk9YZ7X1nOXwZRP9g7hKV+7XCtg9TuDFtHYWDpBfz2jWiu2fXfX4/jTs4f2xIfFPIDKcSP8fhxjQ63xEcCf1jzGha6rDQMu4xUWWdtDgfT7um7EJ9dXNoHqLB7cTzphaubNaEFbFPXQ1siGmYKmvETlqe/ssktwyruGFLpXs1n0tJOEglGhx2qbYTs+omKWZdORl5WIWEXW3IXw/Dg5vVObrNpvG0eZKO8nSMc27+cyPySc+ZbNw=="
       },
       {
         "username": "admin3",
         "role": "admin",
         "signature": "O6qx7/mUaVkYYVr1PW7l8JJko+Kh3e8zBIqdk3tAiNy+1rW+OsDtvYujhEU4aOFVLcrUFmyB/CX9OQmgJLgx/pyK+ZPEH+GoJGqk9YZ7X1nOXwZRP9g7hKV+7XCtg9TuDFtHYWDpBfz2jWiu2fXfX4/jTs4f2xIfFPIDKcSP8fhxjQ63xEcCf1jzGha6rDQMu4xUWWdtDgfT7um7EJ9dXNoHqLB7cTzphaubNaEFbFPXQ1siGmYKmvETlqe/ssktwyruGFLpXs1n0tJOEglGhx2qbYTs+omKWZdORl5WIWEXW3IXw/Dg5vVObrNpvG0eZKO8nSMc27+cyPySc+ZbNw=="
       }
     ]
   }
   ```

## Fase 3. Approva il token sul AWS CloudHSM cluster ed esegui un'operazione di gestione degli utenti
<a name="quorum-admin-approve-token-chsm-cli"></a>

Dopo aver ottenuto le approvazioni/firme necessarie, come descritto nella sezione precedente, l'amministratore può fornire quel token al cluster AWS CloudHSM ed effettuare una delle seguenti operazioni di gestione degli utenti:
+ **[creazione](cloudhsm_cli-user-create.md)**
+ **[Elimina](cloudhsm_cli-user-delete.md)**
+ **[Modifica-password](cloudhsm_cli-user-change-password.md)**
+ **[user change-mfa](cloudhsm_cli-user-change-mfa.md)**

Per ulteriori informazioni sull'utilizzo di questi comandi, consulta [Gestione degli utenti con CloudHSM CLI](manage-hsm-users-chsm-cli.md).

Durante la transazione, il token verrà approvato all'interno del AWS CloudHSM cluster ed eseguirà l'operazione di gestione degli utenti richiesta. La riuscita dell'operazione di gestione degli utenti dipende sia da un token del quorum approvato valido e sia da un'operazione di gestione degli utenti valida.

L'amministratore può utilizzare il token per un'unica operazione. Quando tale operazione va a buon fine, il token non è più valido. Per eseguire un'altra operazione di gestione degli utenti HSM, l'amministratore deve ripetere la procedura descritta sopra. Vale a dire che l'amministratore deve generare un nuovo token del quorum e nuove firme dagli approvatori, quindi approvare e utilizzare il nuovo token nell'HSM con l'operazione di gestione degli utenti richiesta.

**Nota**  
Il token del quorum è valido solo finché la sessione di accesso corrente è aperta. Se ti disconnetti dalla CLI di CloudHSM o se la rete si disconnette, il token non è più valido. Analogamente, un token autorizzato può essere utilizzato solo all'interno della CLI di CloudHSM. Non può essere utilizzato per l'autenticazione in un'applicazione diversa.

**Example Creare un nuovo utente amministratore**  
Nel seguente esempio, un amministratore che ha effettuato l'accesso crea un nuovo utente nell'HSM:  

```
aws-cloudhsm > user create --username user1 --role crypto-user --approval /path/admin.token
Enter password:
Confirm password:
{
  "error_code": 0,
  "data": {
    "username": "user1",
    "role": "crypto-user"
  }
}
```
L'amministratore immette quindi il comando **user list** per confermare la creazione del nuovo utente:  

```
aws-cloudhsm > user list
{
  "error_code": 0,
  "data": {
    "users": [
      {
        "username": "admin",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin2",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin3",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "admin4",
        "role": "admin",
        "locked": "false",
        "mfa": [],
        "quorum": [
          {
            "strategy": "token-sign",
            "status": "enabled"
          }
        ],
        "cluster-coverage": "full"
      },
      {
        "username": "user1",
        "role": "crypto-user",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      },
      {
        "username": "app_user",
        "role": "internal(APPLIANCE_USER)",
        "locked": "false",
        "mfa": [],
        "quorum": [],
        "cluster-coverage": "full"
      }
    ]
  }
}
```
Se l'amministratore tenta di eseguire un'altra operazione di gestione degli utenti HSM, questa avrà esito negativo con un errore di autenticazione del quorum:  

```
aws-cloudhsm > user delete --username user1 --role crypto-user
{
  "error_code": 1,
  "data": "Quorum approval is required for this operation"
}
```
Come mostrato di seguito, il comando **quorum token-sign list** mostra che l'amministratore non ha token approvati. Per eseguire un'altra operazione di gestione degli utenti HSM, l'amministratore deve generare un nuovo token del quorum, ottenere nuove firme dagli approvatori ed eseguire l'operazione di gestione degli utenti desiderata con l'argomento --approval per fornire il token del quorum da approvare e utilizzato durante l'esecuzione dell'operazione di gestione degli utenti.  

```
aws-cloudhsm > quorum token-sign list
{
  "error_code": 0,
  "data": {
    "tokens": []
  }
}
```

# Modifica il valore minimo del quorum per l'utilizzo della CLI di AWS CloudHSM CloudhSM
<a name="quorum-auth-chsm-cli-min-value"></a>

Dopo aver [impostato il valore minimo del quorum](quorum-auth-chsm-cli-first-time.md#quorum-admin-set-quorum-minimum-value-chsm-cli) per gli [amministratori](understanding-users.md#admin) di CloudhSM, potrebbe essere necessario modificare il valore minimo del quorum. L'HSM consente modifiche al valore minimo del quorum solo quando il numero di approvatori raggiunge o supera il valore corrente. Ad esempio, con un valore minimo del quorum di due (2), almeno due (2) amministratori devono approvare eventuali modifiche.

**Nota**  
Il valore del quorum del servizio utente deve sempre essere inferiore o uguale al valore del quorum del servizio quorum. Per informazioni sui nomi dei servizi, vedere. [Nomi e tipi AWS CloudHSM di servizi supportati per l'autenticazione del quorum con CloudHSM CLI](quorum-auth-chsm-cli-service-names.md)

Per ottenere l'approvazione per modificare il valore minimo del quorum, occorre un *token del quorum* per il **quorum service** che utilizza il comando **quorum token-sign set-quorum-value**. Per generare un token del quorum per il **quorum service** che utilizza il comando **quorum token-sign set-quorum-value**, il servizio quorum deve essere maggiore di uno (1). Ciò significa che prima di poter modificare il valore minimo del quorum per il *servizio utente*, è possibile che occorra modificare il valore minimo del *servizio quorum*.

**Passaggi per modificare il valore minimo del quorum per gli amministratori**

1. Avvia la modalità interattiva CLI di CloudHSM.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm-cli interactive
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
   ```

------

1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.

   ```
   aws-cloudhsm > login --username <admin> --role admin
   Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "<admin>",
       "role": "admin"
     }
   }
   ```

1. Controlla i valori minimi del quorum corrente:

   ```
   aws-cloudhsm > quorum token-sign list-quorum-values
   ```

1. *Se il valore minimo del quorum per il servizio quorum è inferiore al valore per il servizio utente, modifica il valore del servizio quorum:*

   ```
   aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value <3>
   ```

1. [Genera un token di quorum per il servizio quorum](quorum-auth-chsm-cli-admin.md#quorum-admin-gen-token-chsm-cli).

1. [Ottieni le approvazioni (firme) dagli altri amministratori](quorum-auth-chsm-cli-admin.md#quorum-admin-get-approval-signatures-chsm-cli).

1. [Approva il token sul cluster CloudHSM ed esegui un'operazione di gestione degli utenti.](quorum-auth-chsm-cli-admin.md#quorum-admin-approve-token-chsm-cli) . 

1. Modifica il valore minimo del quorum per il servizio *utenti*:

   ```
   aws-cloudhsm > quorum token-sign set-quorum-value
   ```

**Example Adeguamento dei valori minimi del servizio di *quorum***  

1. **Controlla i valori correnti**. L'esempio mostra che il valore minimo del quorum per il *servizio utente* è attualmente due (2).

   ```
   aws-cloudhsm > quorum token-sign list-quorum-values
   {
     "error_code": 0,
     "data": {
       "user": 2,
       "quorum": 1
     }
   }
   ```

1. **Modifica il valore del servizio quorum**. *Imposta il valore minimo del quorum per il *servizio quorum* su un valore uguale o superiore al valore per il servizio utente.* *Questo esempio imposta il valore minimo del quorum per il *servizio quorum* su due (2), lo stesso valore impostato per il servizio utente nell'esempio precedente.*

   ```
   aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value 2
   {
     "error_code": 0,
     "data": "Set quorum value successful"
   }
   ```

1. **Verificate le modifiche.** Questo esempio mostra che il valore minimo del quorum è ora due (2) per il *servizio utente e il servizio* *quorum*.

   ```
   aws-cloudhsm > quorum token-sign list-quorum-values
   {
     "error_code": 0,
     "data": {
       "user": 2,
       "quorum": 2
     }
   }
   ```

# Gestione degli utenti HSM con CloudHSM Management Utility (CMU)
<a name="manage-hsm-users-cmu"></a>

 [Per gestire gli utenti del modulo di sicurezza hardware (HSM) AWS CloudHSM, è necessario accedere all'HSM con il nome utente e la password di un responsabile della crittografia (CO).](understanding-users-cmu.md#crypto-officer) Solo COs può gestire gli utenti. L'HSM contiene un CO predefinito denominato admin. Hai impostato la password per admin quando hai [attivato il cluster](activate-cluster.md). 

Questo argomento fornisce step-by-step istruzioni e dettagli sulla gestione degli utenti HSM con AWS CloudHSM Management Utility (CMU). 

**Topics**
+ [Prerequisiti](understand-users.md)
+ [Tipi di utente](understanding-users-cmu.md)
+ [Tabella delle autorizzazioni](user-permissions-table-cmu.md)
+ [Creazione di utenti](create-users-cmu.md)
+ [Elencare tutti gli utenti](list-users.md)
+ [Modifica delle password](change-user-password-cmu.md)
+ [Eliminare gli utenti](delete-user.md)
+ [Gestisci l'autenticazione 2FA degli utenti](manage-2fa.md)
+ [Utilizzo di CMU per gestire l'autenticazione del quorum](quorum-authentication.md)

# Prerequisiti per la gestione degli utenti in Management Utility AWS CloudHSM
<a name="understand-users"></a>

Prima di utilizzare AWS CloudHSM Management Utility (CMU) per gestire gli utenti dei moduli di sicurezza hardware (HSM) in AWS CloudHSM, è necessario completare questi prerequisiti. I seguenti argomenti descrivono come iniziare a usare la CMU.

**Topics**
+ [Ottieni l'indirizzo IP di un HSM in AWS CloudHSM](#user-cmu-prereq-ip)
+ [Uso della CMU con i Client SDK 3.2.1 e versioni precedenti](#downlevel-cmu)
+ [Download della CloudHSM Management Utility](#get-cli-users-cmu)

## Ottieni l'indirizzo IP di un HSM in AWS CloudHSM
<a name="user-cmu-prereq-ip"></a>

 Per utilizzare la CMU, è necessario utilizzare lo strumento di configurazione per aggiornare la configurazione locale. La CMU crea la propria connessione al cluster e tale connessione *non* riconosce il cluster. Per tenere traccia delle informazioni sul cluster, la CMU mantiene un file di configurazione locale. Questo significa che *ogni volta* che usi la CMU, devi innanzitutto aggiornare il file di configurazione eseguendo lo strumento da riga di comando [configure](configure-tool.md) con il parametro `--cmu`. Se usi il Client SDK 3.2.1 o versioni precedenti, devi adoperare un parametro diverso da `--cmu`. Per ulteriori informazioni, consulta [Uso della CMU con i Client SDK 3.2.1 e versioni precedenti](#downlevel-cmu). 

 Il parametro `--cmu` richiede l'aggiunta dell'indirizzo IP di un HSM nel cluster. Se ne hai più HSMs, puoi usare qualsiasi indirizzo IP. Questo garantisce che la CMU possa propagare le modifiche apportate all'intero cluster. Ricorda che la CMU utilizza il suo file locale per tenere traccia delle informazioni sul cluster. Se il cluster è cambiato dall'ultima volta che hai usato la CMU da un determinato host, devi aggiungere tali modifiche al file di configurazione locale memorizzato su quell'host. Non aggiungere o rimuovere mai un HSM mentre usi la CMU. 

**Per ottenere un indirizzo IP per un HSM (console)**

1. Apri la AWS CloudHSM console a [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).

1. Per modificare la regione AWS, utilizza l'apposito selettore nell’angolo in alto a destra della pagina.

1. Per aprire la pagina dei dettagli del cluster, nella tabella dei cluster, scegli l'ID del cluster.

1. Per ottenere l'indirizzo IP, vai alla HSMs scheda. Per IPv4 i cluster, scegli un indirizzo elencato sotto l'** IPv4 indirizzo ENI**. **Per i cluster dual-stack, utilizzare l'ENI o l'indirizzo ENI IPv4 . IPv6 ** 

**Per ottenere un indirizzo IP per un HSM ()AWS CLI**
+ Ottieni l'indirizzo IP di un HSM utilizzando il comando **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** dalla AWS CLI. Nell'output del comando, l'indirizzo IP di HSMs sono i valori di `EniIp` and `EniIpV6` (se si tratta di un cluster dual-stack). 

  ```
  $ aws cloudhsmv2 describe-clusters
  {
      "Clusters": [
          { ... }
              "Hsms": [
                  {
  ...
                      "EniIp": "10.0.0.9",
  ...
                  },
                  {
  ...
                      "EniIp": "10.0.1.6",
                      "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
  ...
  ```

## Uso della CMU con i Client SDK 3.2.1 e versioni precedenti
<a name="downlevel-cmu"></a>

Con Client SDK 3.3.0, è AWS CloudHSM stato aggiunto il supporto per il `--cmu` parametro, che semplifica il processo di aggiornamento del file di configurazione per CMU. Se utilizzi una versione della CMU del Client SDK 3.2.1 o precedente, devi continuare a utilizzare i parametri `-a` and `-m` per aggiornare il file di configurazione. Per ulteriori informazioni sui parametri di configurazione, consulta [Strumento Configure](configure-tool.md).

## Download della CloudHSM Management Utility
<a name="get-cli-users-cmu"></a>

L'ultima versione della CMU è disponibile per le attività di gestione degli utenti HSM indipendentemente dal fatto che si utilizzi il Client SDK 5 e il Client SDK 3. 

**Per scaricare e installare la CMU**
+ Scarica e installa la CMU.

------
#### [ Amazon Linux ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL6/cloudhsm-mgmt-util-latest.el6.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el6.x86_64.rpm
  ```

------
#### [ Amazon Linux 2 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ CentOS 7.8\$1 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ CentOS 8.3\$1 ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

------
#### [ RHEL 7 (7.8\$1) ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el7.x86_64.rpm
  ```

------
#### [ RHEL 8 (8.3\$1) ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

  ```
  $ sudo yum install ./cloudhsm-mgmt-util-latest.el8.x86_64.rpm
  ```

------
#### [ Ubuntu 16.04 LTS ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Xenial/cloudhsm-mgmt-util_latest_amd64.deb
  ```

  ```
  $ sudo apt install ./cloudhsm-mgmt-util_latest_amd64.deb
  ```

------
#### [ Ubuntu 18.04 LTS ]

  ```
  $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Bionic/cloudhsm-mgmt-util_latest_u18.04_amd64.deb
  ```

  ```
  $ sudo apt install ./cloudhsm-mgmt-util_latest_u18.04_amd64.deb
  ```

------
#### [ Windows Server 2012 ]

  1. Scarica la [CloudHSM Management Utility](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi).

  1. Esegui il programma di installazione CMU (**AWSCloudHSMManagementUtil-latest.msi**) con privilegi amministrativi di Windows.

------
#### [ Windows Server 2012 R2 ]

  1. Scarica la [CloudHSM Management Utility](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi).

  1. **Esegui il programma di installazione CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegi amministrativi di Windows.**

------
#### [ Windows Server 2016 ]

  1. Scarica la [CloudHSM Management Utility](https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMManagementUtil-latest.msi).

  1. **Esegui il programma di installazione CMU (AWSCloudHSMManagementUtil-latest.msi) con privilegi amministrativi di Windows.**

------

# Tipi di utente HSM per Management Utility AWS CloudHSM
<a name="understanding-users-cmu"></a>

 *La maggior parte delle operazioni eseguite sul modulo di sicurezza hardware (HSM) richiede le credenziali di un utente HSM. AWS CloudHSM * La HSM autentica ogni utente HSM e ogni utente HSM dispone di un *tipo* che stabilisce quali operazioni può eseguire nell'HSM in qualità di utente. 

**Nota**  
Gli utenti HSM sono diversi dagli utenti IAM. Gli utenti IAM che dispongono delle credenziali corrette possono creare HSMs interagendo con le risorse tramite l'API AWS. Dopo aver creato l'HSM, devi utilizzare le credenziali utente HSM per autenticare le operazioni sull'HSM.

**Topics**
+ [Precrypto officer (PRECO)](#preco)
+ [Crypto officer (CO)](#crypto-officer)
+ [Crypto user (CU)](#crypto-user-cmu)
+ [Utente dell'appliance (AU)](#appliance-user-cmu)

## Precrypto officer (PRECO)
<a name="preco"></a>

Sia sulla Cloud Management Utility (CMU) che sulla Key Management Utility (KMU), PRECO è un utente temporaneo che esiste solo sul primo HSM di un cluster AWS CloudHSM . Il primo HSM in un nuovo cluster contiene un utente PRECO che indica che questo cluster non è mai stato attivato. Per [attivare un cluster](activate-cluster.md), esegui cloudhsm-cli ed esegui il comando. **cluster activate** Accedere all'HSM e modificare la password di PRECO. Quando cambi la password, l'utente diventa un crypto officer (CO). 

## Crypto officer (CO)
<a name="crypto-officer"></a>

Sia sulla Cloud Management Utility (CMU) che sulla Key Management Utility (KMU), un crypto officer (CO) può eseguire operazioni di gestione degli utenti. Ad esempio, può creare ed eliminare gli utenti e modificare le password degli utenti. Per ulteriori informazioni sugli utenti CO, consulta [tabella delle autorizzazioni utente HSM per Management Utility AWS CloudHSM](user-permissions-table-cmu.md). Quando si attiva un nuovo cluster, l'utente passa da [Precrypto Officer (PRECO) a Crypto Officer](#preco) (CO). 

## Crypto user (CU)
<a name="crypto-user-cmu"></a>

Un utente di crittografia (CU) è in grado di eseguire le seguenti operazioni di crittografia e di gestione delle chiavi.
+ **Gestione chiavi**: consente di creare, eliminare, condividere, importare ed esportare le chiavi di crittografia.
+ **Operazioni di crittografia**: usa le chiavi di crittografia per la crittografia, la decrittografia, la firma, la verifica e altro ancora.

Per ulteriori informazioni, consulta [tabella delle autorizzazioni utente HSM per Management Utility AWS CloudHSM](user-permissions-table-cmu.md).

## Utente dell'appliance (AU)
<a name="appliance-user-cmu"></a>

L'utente dell'appliance (AU) può eseguire operazioni di clonazione e sincronizzazione sul cluster. HSMs AWS CloudHSM utilizza l'AU per sincronizzarli in un cluster. HSMs AWS CloudHSM L'AU esiste su tutti i HSMs servizi forniti da AWS CloudHSM e dispone di autorizzazioni limitate. Per ulteriori informazioni, consulta [tabella delle autorizzazioni utente HSM per Management Utility AWS CloudHSM](user-permissions-table-cmu.md).

AWS non può eseguire alcuna operazione sul tuo HSMs . AWS non può visualizzare o modificare gli utenti o le chiavi e non può eseguire operazioni crittografiche utilizzando tali chiavi.

# tabella delle autorizzazioni utente HSM per Management Utility AWS CloudHSM
<a name="user-permissions-table-cmu"></a>

Nella tabella seguente sono elencate le operazioni dei moduli di sicurezza hardware (HSM), ordinate in base al tipo di utente o sessione HSM in cui è possibile eseguire l'operazione. AWS CloudHSM


|  | Crypto officer (CO) | Utente di crittografia (CU) | Utente dell'appliance (AU) | Sessione autenticata | 
| --- | --- | --- | --- | --- | 
| Ottenimento info cluster di base¹ | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | 
| Modifica della propria password | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | Non applicabile | 
| Modifica della password di qualsiasi utente | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Aggiunta, rimozione di utenti | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Ottenimento stato sincronizzazione² | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Estrazione, inserimento di oggetti nascosti³ | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Funzioni di gestione chiave⁴ | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Crittografia, decrittografia | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Firma, verifica | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
| Genera digest e HMACs | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[Yes\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-yes.png) Sì | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | ![\[No\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/icon-no.png) No | 
+  [1] Le informazioni di base sul cluster includono il numero di componenti del HSMs cluster e l'indirizzo IP, il modello, il numero di serie, l'ID del dispositivo, l'ID del firmware di ciascun HSM, ecc. 
+  [2] L'utente può ottenere un set di digest (hash) corrispondenti alle chiavi dell'HSM. Un'applicazione può confrontare questi set di digest per comprendere lo stato di sincronizzazione di HSMs un cluster. 
+  [3] Gli oggetti mascherati sono chiavi crittografate prima di lasciare l'HSM. Non possono essere decrittografate esternamente all'HSM. Vengono decrittografate solo dopo essere state inserite in un HSM che si trova nello stesso cluster di quello da cui sono stati estratte. Un'applicazione può estrarre e inserire oggetti mascherati per sincronizzarli in un cluster. HSMs 
+  [4] Le funzioni di gestione chiave includono la creazione, l'eliminazione, il wrapping, l'annullamento del wrapping e la modifica degli attributi delle chiavi. 

# Crea utenti HSM utilizzando Management Utility AWS CloudHSM
<a name="create-users-cmu"></a>

Utilizzare **createUser** in AWS CloudHSM Management Utility (CMU) per creare nuovi utenti sul modulo di sicurezza hardware (HSM). Devi accedere come CO per creare un utente.

**Per creare un nuovo utente CO**

1. Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Avvia la CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Accedi all’HSM come utente CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assicurati che il numero di connessioni elencate dalla CMU corrisponda al numero di connessioni HSMs presenti nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

1. Usa **createUser** per creare un utente CO denominato **example\$1officer** con una password di **password1**.

   ```
   aws-cloudhsm > createUser CO example_officer password1
   ```

   La CMU richiede informazioni sull'operazione di creazione utente.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tipo **y**.

**Per creare un nuovo utente CU**

1. Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Avvia la CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Accedi all’HSM come utente CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assicurati che il numero di connessioni degli elenchi CMU corrisponda al numero di connessioni HSMs presenti nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

1. Usa **createUser** per creare un utente CU denominato **example\$1user** con una password di **password1**.

   ```
   aws-cloudhsm > createUser CU example_user password1
   ```

   La CMU richiede informazioni sull'operazione di creazione utente.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tipo **y**.

Per ulteriori informazioni su **createUser**, consulta [createUser](cloudhsm_mgmt_util-createUser.md).

# Elenca tutti gli utenti HSM del cluster utilizzando Management Utility AWS CloudHSM
<a name="list-users"></a>

 Utilizzare il **listUsers** comando nell'utilità di AWS CloudHSM gestione (CMU) per elencare tutti gli utenti del cluster. AWS CloudHSM Non è necessario accedere per eseguire **listUsers**; tutti i tipi di utenti possono elencare utenti. 

**Per elencare tutti gli utenti del cluster**

1. Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Avvia la CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1.  Usa **listUsers** per elencare tutti gli utenti del cluster. 

   ```
   aws-cloudhsm > listUsers
   ```

   La CMU elenca tutti gli utenti del cluster.

   ```
   Users on server 0(10.0.2.9):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   Users on server 1(10.0.3.11):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   Users on server 2(10.0.1.12):
   Number of users found:4
   
       User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
            1              AU              app_user                                 NO               0               NO
            2              CO              example_officer                          NO               0               NO
            3              CU              example_user                             NO               0               NO
   ```

Per ulteriori informazioni su **listUsers**, consulta [listUsers](cloudhsm_mgmt_util-listUsers.md).

# Modificare le password degli utenti HSM utilizzando Management Utility AWS CloudHSM
<a name="change-user-password-cmu"></a>

 Utilizzare **changePswd** nella AWS CloudHSM Management Utility (CMU) per modificare la password di un utente del modulo di sicurezza hardware (HSM). 

 Solo i tipi e le password prevedono la distinzione tra lettere maiuscole e minuscole, non i nomi utente.

 CO, crypto user (CU) e utente dell’applicazione (AU) possono modificare solo le proprie password. Per modificare la password di un altro utente, è necessario accedere come CO. Tuttavia, non potrai modificare la password di un utente che attualmente è connesso. 

**Per modificare la tua password**

1. Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Avvia la CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Accedi all’HSM.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assicurati che il numero di connessioni elencate dalla CMU corrisponda al numero di connessioni HSMs presenti nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

1. Usa **changePswd** per modificare la tua password. 

   ```
   aws-cloudhsm > changePswd CO example_officer <new password>
   ```

   La CMU richiede informazioni sull'operazione di modifica della password.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tipo **y**.

   La CMU richiede informazioni sull'operazione di modifica della password.

   ```
   Changing password for example_officer(CO) on 3 nodes
   ```

**Per modificare la password di un altro utente**

1. Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Avvia la CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Accedi all’HSM come utente CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assicurati che il numero di connessioni degli elenchi CMU corrisponda al numero di connessioni HSMs presenti nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

1.  Usa **changePswd** per modificare la password di un altro utente. 

   ```
   aws-cloudhsm > changePswd CU example_user <new password>
   ```

   La CMU richiede informazioni sull'operazione di modifica della password.

   ```
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. AWS does NOT synchronize these changes automatically with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?
   ```

1. Tipo **y**.

   La CMU richiede informazioni sull'operazione di modifica della password.

   ```
   Changing password for example_user(CU) on 3 nodes
   ```

Per ulteriori informazioni su **changePswd**, consulta [changePswd](cloudhsm_mgmt_util-changePswd.md).

# Eliminare gli utenti HSM utilizzando Management Utility AWS CloudHSM
<a name="delete-user"></a>

Utilizzare **deleteUser** nella AWS CloudHSM Management Utility (CMU) per eliminare un utente del modulo di sicurezza hardware (HSM). Per eliminare un altro utente devi accedere come CO.

**Suggerimento**  
 Non puoi eliminare i crypto user (CU) che possiedono chiavi. 

**Come eliminare un utente**

1. Usa lo strumento di configurazione per aggiornare la configurazione della CMU.

------
#### [ Linux ]

   ```
   $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu <IP address>
   ```

------

1. Avvia la CMU.

------
#### [ Linux ]

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

------
#### [ Windows ]

   ```
   PS C:\> & "C:\Program Files\Amazon\CloudHSM\cloudhsm_mgmt_util.exe" C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_mgmt_util.cfg
   ```

------

1. Accedi all’HSM come utente CO.

   ```
   aws-cloudhsm > loginHSM CO admin co12345
   ```

   Assicurati che il numero di connessioni elencate dalla CMU corrisponda al numero di connessioni HSMs presenti nel cluster. In caso contrario, disconnettiti e ricomincia da capo.

1.  Usa **deleteUser** per eliminare un utente. 

   ```
   aws-cloudhsm > deleteUser CO example_officer
   ```

   La CMU elimina l'utente.

   ```
   Deleting user example_officer(CO) on 3 nodes
   deleteUser success on server 0(10.0.2.9)
   deleteUser success on server 1(10.0.3.11)
   deleteUser success on server 2(10.0.1.12)
   ```

Per ulteriori informazioni su **deleteUser**, consulta [deleteUser](cloudhsm_mgmt_util-deleteUser.md).

# Gestisci la 2FA per gli utenti utilizzando AWS CloudHSM Management Utility
<a name="manage-2fa"></a>

Per una maggiore sicurezza, puoi configurare l'autenticazione a due fattori (2FA) per proteggere il cluster. AWS CloudHSM Puoi abilitare la 2FA solo per i crypto officer (CO). 

Quando accedi a un cluster con un account del modulo di servizio hardware (HSM) abilitato a 2FA, fornisci a cloudhsm\$1mgmt\$1util (CMU) la tua password, il primo fattore, quello che conosci, e CMU ti fornisce un token e ti chiede di firmare il token. Per fornire il secondo fattore, quello che possiedi, firmi il token con una chiave privata da una coppia di chiavi che hai già creato e che è associata all'utente HSM. Per accedere al cluster, fornisci il token firmato alla CMU.

**Nota**  
Non è possibile abilitare la 2FA per crypto user (CU) o utenti dell'applicazione. L'autenticazione a due fattori (2FA) è solo per gli utenti CO.

**Topics**
+ [Autenticazione quorum](quorum-2fa.md)
+ [Requisiti delle coppie di chiavi](enable-2fa-kms.md)
+ [Creazione di utenti](create-2fa.md)
+ [Gestisci la 2FA degli utenti](rotate-2fa.md)
+ [Disabilita 2FA](disable-2fa.md)
+ [Informazioni di riferimento sulla configurazione](reference-2fa.md)

# Autenticazione quorum e 2FA nei cluster utilizzando Management Utility AWS CloudHSM AWS CloudHSM
<a name="quorum-2fa"></a>

Il cluster utilizza la stessa chiave per l'autenticazione quorum e per l'autenticazione a due fattori (2FA). Ciò significa che un utente con 2FA abilitato viene effettivamente registrato per M-of-N-access -control (MoFN). Per utilizzare correttamente la 2FA e l'autenticazione del quorum per lo stesso utente HSM, considera i seguenti punti:
+ Se oggi utilizzi l'autenticazione del quorum per un utente, dovresti usare la stessa coppia di chiavi che hai creato per l'utente del quorum per abilitare la 2FA per l'utente. 
+ Se aggiungi il requisito 2FA per un utente non 2FA che non è un utente di autenticazione del quorum, registri quell'utente come utente MoFN con autenticazione 2FA.
+ Se rimuovi il requisito 2FA o modifichi la password per un utente 2FA che è anche un utente di autenticazione del quorum, rimuoverai anche la registrazione dell'utente del quorum come utente MoFN.
+ Se rimuovi il requisito 2FA o modifichi la password per un utente 2FA che è anche un utente di autenticazione del quorum, ma *desideri comunque che quell'utente partecipi all'autenticazione del quorum*, devi registrare nuovamente quell'utente come utente MoFN.

Per ulteriori informazioni sull'autenticazione del quorum, vedi [Utilizzo di CMU per gestire l'autenticazione del quorum](quorum-authentication.md).

# Requisiti della coppia di chiavi 2FA per l' AWS CloudHSM utilizzo AWS CloudHSM della Management Utility
<a name="enable-2fa-kms"></a>

Per abilitare l'autenticazione a due fattori (2FA) per un utente del modulo di sicurezza AWS CloudHSM hardware (HSM), utilizzate una chiave che soddisfi i seguenti requisiti. 

È possibile creare una nuova coppia di chiavi o utilizzare una chiave esistente che soddisfi i seguenti requisiti. 
+ Tipo di chiave: asimmetrica
+ Utilizzo della chiave: firma e verifica
+ Specifiche della chiave: RSA\$12048
+ L'algoritmo di firma include: 
  + `sha256WithRSAEncryption`

**Nota**  
Se si utilizza l'autenticazione del quorum o si prevede di utilizzare l'autenticazione del quorum, vedi [Autenticazione quorum e 2FA nei cluster utilizzando Management Utility AWS CloudHSM AWS CloudHSM](quorum-2fa.md).

# Crea utenti con 2FA abilitato per gli utenti della Management Utility AWS CloudHSM
<a name="create-2fa"></a>

Usa AWS CloudHSM Management Utility CMU (CMU) e la key pair per creare un nuovo utente di crypto office (CO) con l'autenticazione a due fattori (2FA) abilitata.

**Per creare utenti CO con 2FA abilitata**

1. Su un terminale, esegui le seguenti operazioni:

   1. Accedi al tuo HSM e accedi all'utility CloudHSM Management:

      ```
      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
      ```

   1. Accedi come CO e utilizza il comando seguente per creare una nuova MFA utente con 2FA:

      ```
      aws-cloudhsm > createUser CO MFA <CO USER PASSWORD> -2fa /home/ec2-user/authdata
      *************************CAUTION********************************
      This is a CRITICAL operation, should be done on all nodes in the
      cluster. AWS does NOT synchronize these changes automatically with the 
      nodes on which this operation is not executed or failed, please 
      ensure this operation is executed on all nodes in the cluster.  
      ****************************************************************
      
      Do you want to continue(y/n)? y
      
      Creating User exampleuser3(CO) on 1 nodesAuthentication data written to: "/home/ec2-user/authdata"Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. 
      To generate the signatures, use the RSA private key, which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide 
      the file path below.Leave this field blank to use the path initially provided.Enter filename:
      ```

   1. Lascia il terminale di cui sopra in questo stato. Non premere invio né inserire alcun nome di file.

1. In un altro terminale, segui i passi descritti di seguito:

   1. Accedi al tuo HSM e accedi all'utility CloudHSM Management:

      ```
      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
      ```

   1. Genera una coppia di chiavi pubblica-privata usando i seguenti comandi:

      ```
      openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048
      ```

      ```
      openssl rsa -pubout -in private_key.pem -out public_key.pem
      ```

   1. Esegui il comando seguente per installare una funzionalità di interrogazione json per estrarre il Digest dal file authdata:

      ```
      sudo yum install jq
      ```

   1. Per estrarre il valore digest, trova innanzitutto i seguenti dati nel file authdata:

      ```
      {
        "Version":"1.0",
        "PublicKey":"",
        "Data":[
          {
            "HsmId": <"HSM ID">,
            "Digest": <"DIGEST">,
            "Signature": ""
          }
        ]
      }
      ```
**Nota**  
Il digest ottenuto è codificato in base64, tuttavia per firmare il digest è necessario che il file venga prima decodificato e poi firmato. Il comando seguente decodificherà il digest e memorizzerà il contenuto decodificato in 'digest1.bin'  

      ```
      cat authdata | jq '.Data[0].Digest' | cut -c2- | rev | cut -c2- | rev | base64 -d > digest1.bin
      ```

   1. Converti il contenuto della chiave pubblica, aggiungendo "\$1n" e rimuovendo gli spazi come mostrato di seguito:

      ```
      -----BEGIN PUBLIC KEY-----\n<PUBLIC KEY>\n-----END PUBLIC KEY----- 
      ```
**Importante**  
Il comando precedente mostra come "\$1n" viene aggiunto subito dopo **BEGIN PUBLIC KEY-----**, gli spazi tra "\$1n" e il primo carattere della chiave pubblica vengono rimossi, "\$1n" viene aggiunto prima di **-----END PUBLIC KEY** e gli spazi vengono rimossi tra "\$1n" e la fine della chiave pubblica.

      Questo è il formato PEM per la chiave pubblica accettato nel file authdata.

   1. Incolla il contenuto della chiave pubblica in formato pem nella sezione della chiave pubblica del file authdata.

      ```
      vi authdata
      ```

      ```
      {
        "Version":"1.0",
        "PublicKey":"-----BEGIN PUBLIC KEY-----\n<"PUBLIC KEY">\n-----END PUBLIC KEY-----",
        "Data":[    
          {      
            "HsmId":<"HSM ID">,
            "Digest":<"DIGEST">,      
            "Signature": ""   
          }  
        ]
      }
      ```

   1. firma il token del file utilizzando il seguente comando:

      ```
      openssl pkeyutl -sign -in digest1.bin -inkey private_key.pem -pkeyopt digest:sha256 | base64
      Output Expected:
      <"THE SIGNATURE">
      ```
**Nota**  
Come mostrato nel comando precedente, usa **openssl pkeyutl** al posto di **openssl dgst** per la firma.

   1. Aggiungi il digest firmato nel file Authdata nel campo "Firma".

      ```
      vi authdata
      ```

      ```
      {
          "Version": "1.0",
          "PublicKey": "-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----",
          "Data": [
              {
                  "HsmId": <"HSM ID">,
                  "Digest": <"DIGEST">,
                  "Signature": <"Kkdl ... rkrvJ6Q==">
              },
              {
                  "HsmId": <"HSM ID">,
                  "Digest": <"DIGEST">,
                  "Signature": <"K1hxy ... Q261Q==">
              }
          ]
      }
      ```

1. Torna al primo terminale e premi: **Enter**

   ```
   Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. To generate the signatures, use the RSA private key, 
   which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide the file path below. Leave this field blank to use the path initially provided. 
   Enter filename: >>>>> Press Enter here
   
   createUser success on server 0(10.0.1.11)
   ```

# Gestisci la 2FA per gli utenti HSM utilizzando Management Utility AWS CloudHSM
<a name="rotate-2fa"></a>

Utilizzalo **changePswd** in AWS CloudHSM Management Utility (CMU) per modificare l'autenticazione a due fattori (2FA) per un utente. Ogni volta che abiliti la 2FA, devi fornire una chiave pubblica per gli accessi 2FA.

**changePswd**esegue uno dei seguenti scenari: 
+ Modifica della password per un utente 2FA
+ Cambia la password per un utente non 2FA
+ Aggiungi la 2FA a un utente non 2FA
+ Rimuovi la 2FA da un utente 2FA
+ Ruota la chiave per un utente 2FA

Puoi anche combinare le attività. Ad esempio, puoi rimuovere la 2FA da un utente e modificare la password contemporaneamente, oppure puoi ruotare la chiave 2FA e modificare la password dell'utente.

**Per modificare le password o ruotare le chiavi per gli utenti CO con 2FA abilitata**

1. Usa CMU per accedere all'HSM come CO con 2FA abilitata.

1.  Utilizza **changePswd** per modificare la password o ruotare la chiave tra gli utenti CO con 2FA abilitata. Utilizza il parametro `-2fa` e includi una posizione nel file system in cui il sistema possa scrivere il file `authdata`. Questo file include un digest per ogni HSM del cluster.

   ```
   aws-cloudhsm > changePswd CO example-user <new-password> -2fa /path/to/authdata
   ```

   CMU richiede di utilizzare la chiave privata per firmare i digest del file `authdata` e restituire le firme con la chiave pubblica.

1. Utilizza la chiave privata per firmare i digest del file `authdata`, aggiungi le firme e la chiave pubblica al file in formato JSON `authdata` e quindi fornisci a CMU la posizione del file `authdata`. Per ulteriori informazioni, vedi [Riferimento di configurazione per 2FA con Management Utility AWS CloudHSM](reference-2fa.md).
**Nota**  
Il cluster utilizza la stessa chiave per l'autenticazione del quorum e la 2FA. Se utilizzi o prevedi di utilizzare l'autenticazione del quorum, vedi [Autenticazione quorum e 2FA nei cluster utilizzando Management Utility AWS CloudHSM AWS CloudHSM](quorum-2fa.md).

# Disattiva la 2FA per gli utenti HSM utilizzando Management Utility AWS CloudHSM
<a name="disable-2fa"></a>

Utilizzate la AWS CloudHSM Management Utility (CMU) per disabilitare l'autenticazione a due fattori (2FA) per gli utenti del modulo di sicurezza hardware (HSM) in. AWS CloudHSM

**Per disabilitare la 2FA per gli utenti CO con la 2FA abilitata**

1. Usa CMU per accedere all'HSM come CO con 2FA abilitata.

1.  Utilizza **changePswd** per rimuovere la 2FA dagli utenti CO con 2FA abilitata. 

   ```
   aws-cloudhsm > changePswd CO example-user <new password>
   ```

   CMU richiede di confermare l'operazione di modifica della password.
**Nota**  
Se rimuovi il requisito 2FA o modifichi la password per un utente 2FA che è anche un utente di autenticazione del quorum, rimuoverai anche la registrazione dell'utente del quorum come utente MoFN. Per ulteriori informazioni su utenti del quorum e 2FA, vedi [Autenticazione quorum e 2FA nei cluster utilizzando Management Utility AWS CloudHSM AWS CloudHSM](quorum-2fa.md).

1. Tipo **y**.

   CMU conferma l'operazione di modifica della password.

# Riferimento di configurazione per 2FA con Management Utility AWS CloudHSM
<a name="reference-2fa"></a>

Di seguito è riportato un esempio delle proprietà di autenticazione a due fattori (2FA) presenti nel `authdata` file sia per la richiesta generata dalla AWS CloudHSM Management Utility (CMU) che per le risposte. 

```
{
    "Version": "1.0",
    "PublicKey": "-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----",
    "Data": [
        {
            "HsmId": "hsm-lgavqitns2a",
            "Digest": "k5O1p3f6foQRVQH7S8Rrjcau6h3TYqsSdr16A54+qG8=",
            "Signature": "Kkdl ... rkrvJ6Q=="
        },
        {
            "HsmId": "hsm-lgavqitns2a",
            "Digest": "IyBcx4I5Vyx1jztwvXinCBQd9lDx8oQe7iRrWjBAi1w=",
            "Signature": "K1hxy ... Q261Q=="
        }
    ]
}
```

**Dati**  
Nodo di primo livello. Contiene un nodo subordinato per ogni modulo HSM del cluster. Viene visualizzato nelle richieste e nelle risposte per tutti i comandi della 2FA.

**Digest**  
Questo è ciò che devi firmare per fornire il secondo fattore di autenticazione. Generato da CMU nelle richieste per tutti i comandi della 2FA.

**HsmId**  
L'ID del tuo HSM. Viene visualizzato nelle richieste e nelle risposte per tutti i comandi della 2FA.

**PublicKey**  
La parte della chiave pubblica della coppia di chiavi generata è stata inserita come stringa in formato PEM. Inseriscila nelle risposte per **createUser** e **changePswd**. 

**Firma**  
Il digest firmato codificato in Base 64. Inseriscilo nelle risposte per tutti i comandi della 2FA.

**Versione**  
La versione del file in formato JSON dei dati di autenticazione. Viene visualizzato nelle richieste e nelle risposte per tutti i comandi della 2FA.

# Utilizzo di CloudHSM Management Utility (CMU) per gestire l'autenticazione del quorum (controllo dell'accesso "M of N")
<a name="quorum-authentication"></a>

Il HSMs tuo AWS CloudHSM cluster supporta l'autenticazione quorum, nota anche come controllo degli accessi M of N. Con l'autenticazione del quorum, nessun utente singolo sull'HSM può eseguire le operazioni controllate dal quorum sull'HSM. Invece, un numero minimo di utenti HSM (almeno 2) deve cooperare per eseguire queste operazioni. L'autenticazione del quorum ti consente di aggiungere un ulteriore livello di protezione, in quanto richiede l'approvazione da parte di più utenti HSM.

L'autenticazione del quorum consente di controllare le seguenti operazioni:
+ Gestione degli utenti HSM da parte di [funzionari crittografici (COs)](understanding-users-cmu.md#crypto-officer): creazione ed eliminazione di utenti HSM e modifica della password di un altro utente HSM. Per ulteriori informazioni, consulta [Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

Ricorda le seguenti informazioni aggiuntive sull'utilizzo dell'autenticazione del quorum in AWS CloudHSM.
+ Un utente HSM può firmare il proprio token del quorum, ovvero, l'utente richiedente può fornire una delle approvazioni richieste per l'autenticazione del quorum.
+ È possibile scegliere il numero minimo di approvatori del quorum per le operazioni controllate dal quorum. Il numero minore che si può scegliere è due (2) e il numero maggiore è otto (8).
+ L'HSM può archiviare fino a 1.024 token del quorum. Se l'HSM dispone già di 1.024 token quando tenta di crearne uno nuovo, l'HSM elimina uno di quelli scaduti. Per impostazione predefinita, i token scadono dieci minuti dopo la loro creazione.
+ Il cluster utilizza la stessa chiave per l'autenticazione del quorum e per l'autenticazione a due fattori (2FA). Per ulteriori informazioni sull'utilizzo dell'autenticazione del quorum e dell'autenticazione a due fattori, vedi [Autenticazione del quorum e 2FA](quorum-2fa.md).

I seguenti argomenti forniscono ulteriori informazioni sull'autenticazione del quorum in AWS CloudHSM.

**Topics**
+ [Processo di autenticazione del quorum](quorum-authentication-overview.md)
+ [Prima configurazione](quorum-authentication-crypto-officers-first-time-setup.md)
+ [Gestione degli utenti con quorum (M of N)](quorum-authentication-crypto-officers.md)
+ [Modifica del valore minimo](quorum-authentication-crypto-officers-change-minimum-value.md)

# Processo di autenticazione Quorum per Management Utility AWS CloudHSM
<a name="quorum-authentication-overview"></a>

Le seguenti operazioni riepilogano i processi di autenticazione del quorum. Per le operazioni e gli strumenti specifici, consultare [Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

1. Ciascun utente HSM crea una chiave asimmetrica per la firma. Completa questa operazione al di fuori dell'HSM, assicurandosi di proteggere la chiave in modo appropriato.

1. Ciascun utente HSM effettua l'accesso all'HSM e registra la parte pubblica della propria chiave di firma (la chiave pubblica) nell'HSM.

1. Quando un utente HSM desidera effettuare un'operazione controllata dal quorum, ciascun utente accede all'HSM e ottiene un *token del quorum*.

1. L'utente HSM assegna il token del quorum a uno o più utenti HSM e richiede la loro approvazione.

1. Gli altri utenti HSM approvano utilizzando le loro chiavi per firmare crittograficamente il token del quorum. Ciò si verifica al di fuori dell'HSM.

1. Quando l'utente HSM raggiunge il numero richiesto di approvazioni, accede all'HSM e fornisce il token del quorum e le approvazioni (firme) all'HSM.

1. L'HSM utilizza la chiavi pubbliche registrate di ciascun firmatario per verificare le firme. Se le firme sono valide, l'HSM approva il token.

1. L'utente HSM può quindi eseguire un'operazione controllata dal quorum.

# Imposta l'autenticazione del quorum per AWS CloudHSM i funzionari crittografici
<a name="quorum-authentication-crypto-officers-first-time-setup"></a>

I seguenti argomenti descrivono i passaggi da completare per configurare il modulo di sicurezza hardware (HSM) in modo che i [responsabili AWS CloudHSM crittografici () possano utilizzare l'autenticazione quorum COs](understanding-users-cmu.md#crypto-officer). È necessario eseguire questi passaggi solo una volta quando si configura per la prima volta l'autenticazione del quorum per. COs Una volta completata questa procedura, consultare [Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

**Topics**
+ [Prerequisiti](#quorum-crypto-officers-prerequisites)
+ [Passaggio 1. Creazione e registrazione di una chiave per la firma](#quorum-crypto-officers-create-and-register-key)
+ [Passaggio 2. Impostazione del valore minimo del quorum sull'HSM](#quorum-crypto-officers-set-quorum-minimum-value)

## Prerequisiti
<a name="quorum-crypto-officers-prerequisites"></a>

Per comprendere questo esempio, è bene avere familiarità con lo [strumento a riga di comando cloudhsm\$1mgmt\$1util (CMU)](cloudhsm_mgmt_util.md). In questo esempio, il AWS CloudHSM cluster ne ha due HSMs, ognuna con la stessa COs caratteristica, come illustrato nel seguente output del **listUsers** comando. Per ulteriori informazioni sulla creazione degli utenti, vedere [Utenti HSM](manage-hsm-users.md).

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
```

## Passaggio 1. Creazione e registrazione di una chiave per la firma
<a name="quorum-crypto-officers-create-and-register-key"></a>

Per utilizzare l'autenticazione del quorum, ogni CO deve eseguire *tutti* i seguenti passaggi: 

**Topics**
+ [Creazione di una coppia di chiavi RSA](#mofn-key-pair-create)
+ [Creazione e firma di un token di registrazione](#mofn-registration-token)
+ [Registrazione della chiave pubblica con HSM](#mofn-register-key)

### Creazione di una coppia di chiavi RSA
<a name="mofn-key-pair-create"></a>

Esistono molti modi diversi per creare e proteggere una coppia di chiavi. Gli esempi a seguire mostrano come eseguire questa operazione con [OpenSSL](https://www.openssl.org/).

**Example - Creazione di una chiave privata con OpenSSL**  
L'esempio seguente spiega come utilizzare OpenSSL per creare una chiave RSA a 2.048 bit protetta da una passphrase. Per utilizzare questo esempio, *officer1.key* sostituitelo con il nome del file in cui desiderate memorizzare la chiave.  

```
$ openssl genrsa -out <officer1.key> -aes256 2048
        Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:
```

Successivamente, genera la chiave pubblica utilizzando la chiave privata appena creata.

**Example - Creazione di una chiave pubblica con OpenSSL**  
L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave pubblica dalla chiave privata appena creata.   

```
$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key
```

### Creazione e firma di un token di registrazione
<a name="mofn-registration-token"></a>

 Crea un token e firmalo con la chiave privata appena generata nella fase precedente.

**Example - Creazione di un token**  
Il token di registrazione è semplicemente un file con dati casuali che non supera la dimensione massima di 245 byte. Firma il token con la chiave privata per dimostrare di avere accesso alla chiave privata. Il comando seguente utilizza echo per reindirizzare una stringa in un file.  

```
$ echo <token to be signed> > officer1.token
```

Firma il token e salvalo in un file di firma. Avrai bisogno del token firmato, del token non firmato e della chiave pubblica per registrare il CO come utente MofN nell'HSM. 

**Example - Firma del token**  
Utilizza OpenSSL e la chiave privata per firmare il token di registrazione e creare il file di firma.  

```
$ openssl dgst -sha256 \
    -sign officer1.key \
    -out officer1.token.sig officer1.token
```

### Registrazione della chiave pubblica con HSM
<a name="mofn-register-key"></a>

Dopo aver creato una chiave, il CO deve registrare la parte pubblica della chiave (chiave pubblica) con l'HSM.

**Per registrare una chiave pubblica con l'HSM**

1. Per avviare lo strumento a riga di comando cloudhsm\$1mgmt\$1util, utilizza il comando seguente.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilizza il comando **loginHSM** per effettuare l'accesso all'HSM come CO. Per ulteriori informazioni, consulta [Gestione degli utenti HSM con CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Utilizza il comando **[registerQuorumPubKey](cloudhsm_mgmt_util-registerQuorumPubKey.md)** per registrare una chiave pubblica. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help registerQuorumPubKey**.

**Example - Registrazione di una chiave pubblica nell'HSM**  
L'esempio seguente mostra come usare il comando **registerQuorumPubKey** nello strumento a riga di comando cloudhsm\$1mgmt\$1util per registrare una chiave pubblica CO con HSM. Per utilizzare questo comando, il CO deve accedere all'HSM. Sostituire questi valori con i propri valori:  

```
aws-cloudhsm > registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
registerQuorumPubKey success on server 0(10.0.2.14)
```  
**<officer1.token>**  
Il percorso a un file che contiene un token di registrazione non firmato. Può contenere qualsiasi dato casuale con dimensioni massime del file pari a 245 byte.   
Obbligatorio: sì  
**<officer1.token.sig>**  
Il percorso di un file che contiene l'hash firmato dal meccanismo SHA256 \$1PKCS del token di registrazione.  
Obbligatorio: sì  
**<officer1.pub>**  
Il percorso al file che contiene la chiave pubblica di una coppia di chiavi simmetriche RSA-2048. Utilizza la chiave privata per firmare il token di registrazione.   
Obbligatorio: sì
Dopo aver COs registrato le proprie chiavi pubbliche, l'output del **listUsers** comando lo mostra nella `MofnPubKey` colonna, come mostrato nell'esempio seguente.  

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
```

## Passaggio 2. Impostazione del valore minimo del quorum sull'HSM
<a name="quorum-crypto-officers-set-quorum-minimum-value"></a>

*Per utilizzare l'autenticazione quorum per COs, un CO deve accedere all'HSM e quindi impostare il *valore minimo del quorum, noto anche come valore* m.* Questo è il numero minimo di approvazioni CO necessarie per l'esecuzione delle operazioni di gestione degli utenti HSM. Qualsiasi CO sull'HSM può impostare il valore minimo del quorum, compresi quelli COs che non hanno registrato una chiave per la firma. È possibile modificare il valore minimo del quorum in qualsiasi momento; per ulteriori informazioni, consultare [Modifica del valore minimo](quorum-authentication-crypto-officers-change-minimum-value.md).

**Per impostare il valore minimo del quorum sull'HSM**

1. Per avviare lo strumento a riga di comando cloudhsm\$1mgmt\$1util, utilizza il comando seguente.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilizza il comando **loginHSM** per effettuare l'accesso all'HSM come CO. Per ulteriori informazioni, consulta [Gestione degli utenti HSM con CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Utilizzare il comando **setMValue** per impostare il valore minimo del quorum. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help setMValue**.

**Example - Impostazione del valore minimo del quorum sull'HSM**  
Questo esempio utilizza un valore minimo del quorum pari a due. È possibile scegliere qualsiasi valore da due (2) a otto (8), fino al numero totale di COs sull'HSM. In questo esempio, l'HSM ne ha sei COs, quindi il valore massimo possibile è sei.  
Per utilizzare il comando di esempio seguente, sostituite il numero finale (*2*) con il valore minimo del quorum preferito.  

```
aws-cloudhsm > setMValue 3 <2>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Setting M Value(2) for 3 on 2 nodes
```

Nell'esempio precedente, il primo numero (3) identifica il *servizio HSM* di cui si sta impostando il valore minimo del quorum.

La tabella seguente elenca gli identificatori del servizio HSM con i relativi nomi, descrizioni e comandi inclusi nel servizio.


| Identificatori servizio | Nome del servizio | Descrizione del servizio | Comandi HSM | 
| --- | --- | --- | --- | 
| 3 | USER\$1MGMT | Gestione degli utenti HSM |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html)  | 
| 4 | MISC\$1CO | Servizio per CO vario |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html)  | 

Per ottenere il valore minimo del quorum per un servizio, utilizzare il comando **getMValue**, come nell'esempio seguente.

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```

L'output del comando **getMValue** precedente mostra che il valore minimo del quorum per le operazioni di gestione degli utenti HSM (servizio 3) è ora due.

Una volta completata questa procedura, consultare [Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).

# Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility
<a name="quorum-authentication-crypto-officers"></a>

Un [ufficiale addetto alla AWS CloudHSM crittografia (CO)](understanding-users-cmu.md#crypto-officer) del modulo di sicurezza hardware (HSM) può configurare l'autenticazione quorum per le seguenti operazioni sull'HSM:
+ Creazione di utenti HSM
+ Eliminazione di utenti HSM
+ Modifica della password di un altro utente HSM

Dopo aver configurato l'HSM per l'autenticazione del quorum, COs non può eseguire autonomamente le operazioni di gestione degli utenti HSM. Nell'esempio seguente è mostrato l'output dopo che un CO ha tentato di creare un nuovo utente nell'HSM. Il comando ha esito negativo con un errore `RET_MXN_AUTH_FAILED`, che indica che l'autenticazione del quorum non è stata effettuata correttamente.

```
aws-cloudhsm > createUser CU user1 password
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Creating User user1(CU) on 2 nodes
createUser failed: RET_MXN_AUTH_FAILED
creating user on server 0(10.0.2.14) failed

Retry/Ignore/Abort?(R/I/A): A
```

Per svolgere un'operazione di gestione degli utenti HSM, i CO devono completare le seguenti attività:

1. [Ottenere un *token del quorum*](#quorum-crypto-officers-get-token).

1. [Ottieni approvazioni (](#quorum-crypto-officers-get-approval-signatures)firme) da altri. COs

1. [Approvare il token sul modulo HSM](#quorum-crypto-officers-approve-token).

1. [Svolgere l'operazione di gestione degli utenti HSM](#quorum-crypto-officers-use-token).

Se non hai ancora configurato l'HSM per l'autenticazione quorum per, fallo ora. COs Per ulteriori informazioni, consulta [Prima configurazione](quorum-authentication-crypto-officers-first-time-setup.md).

## Passaggio 1. Ottenere un token del quorum
<a name="quorum-crypto-officers-get-token"></a>

Per prima cosa il CO deve utilizzare lo strumento a riga di comando cloudhsm\$1mgmt\$1util per richiedere un *token del quorum*.

**Per ottenere un token del quorum**

1. Per avviare lo strumento a riga di comando cloudhsm\$1mgmt\$1util, utilizza il comando seguente.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilizza il comando **loginHSM** per effettuare l'accesso all'HSM come CO. Per ulteriori informazioni, consulta [Gestione degli utenti HSM con CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Utilizza il comando **getToken** per ottenere un token del quorum. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help getToken**.

**Example - Ottenere un token del quorum**  
In questo esempio si ottiene un token del quorum per il CO con nome utente officer1, che viene salvato nel file `officer1.token`. Per utilizzare il comando di esempio, sostituisci i valori i tuoi personali:  
+ *officer1*— Il nome del CO che riceve il token. Deve essere lo stesso CO che ha eseguito l'accesso all'HSM e sta eseguendo il comando.
+ *officer1.token*— Il nome del file da utilizzare per archiviare il token del quorum.
Nel comando seguente, `3` identifica il *servizio* per cui potrai utilizzare il token ottenuto. In questo caso, il token è destinato alle operazioni di gestione degli utenti HSM (servizio 3). Per ulteriori informazioni, consulta [Passaggio 2. Impostazione del valore minimo del quorum sull'HSM](quorum-authentication-crypto-officers-first-time-setup.md#quorum-crypto-officers-set-quorum-minimum-value).  

```
aws-cloudhsm > getToken 3 officer1 officer1.token
getToken success on server 0(10.0.2.14)
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
getToken success on server 1(10.0.1.4)
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1
```

## Passaggio 2. Ottieni firme dopo l'approvazione COs
<a name="quorum-crypto-officers-get-approval-signatures"></a>

Un CO che ha un quorum token deve ottenere l'approvazione del token da altri. COs Per dare la propria approvazione, l'altro COs usa la propria chiave di firma per firmare crittograficamente il token. Tale operazione viene svolta esternamente all'HSM.

Sono disponibili vari modi per firmare il token. L'esempio seguente mostra come eseguire questa operazione con [OpenSSL](https://www.openssl.org/). Per utilizzare un altro strumento di firma, assicurati che lo strumento utilizzi la chiave privata del CO (chiave di firma) per firmare un digest SHA-256 del token.

**Example — Ottieni firme dopo l'approvazione COs**  
In questo esempio, il CO che dispone del token (officer1) necessita di almeno due approvazioni. I seguenti comandi di esempio mostrano come due persone COs possono utilizzare OpenSSL per firmare crittograficamente il token.  
Nel primo comando, officer1 firma il proprio token. Per utilizzare i seguenti comandi di esempio, sostituisci i valori con i tuoi personali:  
+ *officer1.key*e *officer2.key* — Il nome del file che contiene la chiave di firma del CO.
+ *officer1.token.sig1*e *officer1.token.sig2* — Il nome del file da utilizzare per memorizzare la firma. Assicurati di salvare ogni firma in un file diverso.
+ *officer1.token*— Il nome del file che contiene il token che il CO sta firmando.

```
$ openssl dgst -sha256 -sign officer1.key -out officer1.token.sig1 officer1.token
Enter pass phrase for officer1.key:
```
Nel comando seguente, officer2 firma lo stesso token.  

```
$ openssl dgst -sha256 -sign officer2.key -out officer1.token.sig2 officer1.token
Enter pass phrase for officer2.key:
```

## Fase 3. Approvazione del token firmato nell'HSM
<a name="quorum-crypto-officers-approve-token"></a>

Dopo che un CO ottiene il numero minimo di approvazioni (firme) da altri COs, deve approvare il token firmato sull'HSM.

**Per approvare il token firmato nell'HSM.**

1. Crea un file di approvazione del token. Per maggiori informazioni, consulta il seguente esempio:

1. Per avviare lo strumento a riga di comando cloudhsm\$1mgmt\$1util, utilizza il comando seguente.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilizza il comando **loginHSM** per effettuare l'accesso all'HSM come CO. Per ulteriori informazioni, consulta [Gestione degli utenti HSM con CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Utilizza il comando **approveToken** per approvare il token firmato, trasferendo il file di approvazione del token. Per maggiori informazioni, consulta il seguente esempio:

**Example - Creazione di un file di approvazione del token e approvazione del token firmato nell'HSM**  
Il file di approvazione del token è un file di testo in un formato particolare richiesto dall'HSM. Il file contiene informazioni sui token, sui relativi approvatori e sulle firme degli approvatori. Di seguito è mostrato un esempio di file di approvazione del token.  

```
# For "Multi Token File Path", type the path to the file that contains
# the token. You can type the same value for "Token File Path", but
# that's not required. The "Token File Path" line is required in any
# case, regardless of whether you type a value.
Multi Token File Path = officer1.token;
Token File Path = ;

# Total number of approvals
Number of Approvals = 2;

# Approver 1
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer1;
Approval File = officer1.token.sig1;

# Approver 2
# Type the approver's type, name, and the path to the file that
# contains the approver's signature.
Approver Type = 2; # 2 for CO, 1 for CU
Approver Name = officer2;
Approval File = officer1.token.sig2;
```
Dopo aver creato il file di approvazione token, il CO utilizza lo strumento a riga di comando di cloudhsm\$1mgmt\$1util per l'accesso all'HSM. Il CO utilizza quindi il comando **approveToken** per approvare il token, come mostrato nel seguente esempio. *approval.txt*Sostituiscilo con il nome del file di approvazione del token.  

```
aws-cloudhsm > approveToken approval.txt
approveToken success on server 0(10.0.2.14)
approveToken success on server 1(10.0.1.4)
```
Se questo comando viene eseguito correttamente, l'HSM approva il token del quorum. Per controllare lo stato di un token, utilizza il comando **listTokens**, come mostrato nell'esempio di seguito. L'output del comando mostra che il token dispone del numero richiesto di approvazioni.  
Il periodo di validità dei token indica per quanto tempo è garantita la persistenza del token nell'HSM. Potrai utilizzare il token anche dopo la scadenza del periodo di validità (zero secondi).  

```
aws-cloudhsm > listTokens
=====================
    Server 0(10.0.2.14)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:1
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

=====================
    Server 1(10.0.1.4)
=====================
-------- Token - 0 ----------
Token:
Id:1
Service:3
Node:0
Key Handle:0
User:officer1
Token Validity: 506 sec
Required num of approvers : 2
Current num of approvals : 2
Approver-0: officer1
Approver-1: officer2
Num of tokens = 1

listTokens success
```

## Passaggio 4. Utilizza il token per operazioni di gestione degli utenti
<a name="quorum-crypto-officers-use-token"></a>

Dopo avere ottenuto un token con il numero richiesto di approvazioni, come mostrato nella sezione precedente, il CO è in grado di eseguire una delle seguenti operazioni di gestione degli utenti HSM:
+ Creare un utente HSM con il comando [createUser](cloudhsm_mgmt_util-createUser.md)
+ Eliminare un utente HSM con il comando **deleteUser**
+ Modificare la password di un altro utente HSM con il comando **changePswd**

Per ulteriori informazioni sull'utilizzo di questi comandi, consulta [Utenti HSM](manage-hsm-users.md).

Il CO può utilizzare il token per un'unica operazione. Quando tale operazione va a buon fine, il token non è più valido. Per eseguire un'altra operazione di gestione degli utenti HSM, il CO deve ottenere un nuovo token del quorum e nuove firme dagli approvatori, quindi approvare il nuovo token nell'HSM.

**Nota**  
Il token MofN è valido solo finché la sessione di accesso corrente è aperta. Se ti disconnetti da cloudhsm\$1mgmt\$1util o se la rete si disconnette, il token non è più valido. Analogamente, un token autorizzato può essere utilizzato solo all'interno di cloudhsm\$1mgmt\$1util e non può essere utilizzato per l'autenticazione in un'applicazione diversa.

Nel seguente comando di esempio, il CO crea un nuovo utente nell'HSM.

```
aws-cloudhsm > createUser CU user1 <password>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Creating User user1(CU) on 2 nodes
```

Dopo che quello precedente è stato eseguito correttamente, il comando **listUsers** successivo mostra il nuovo utente.

```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:8

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
         8              CU              user1                                    NO               0               NO
```

Se il CO tenta di eseguire un'altra operazione di gestione degli utenti HSM, questa avrà esito negativo con un errore di autenticazione del quorum, come mostrato nel seguente esempio.

```
aws-cloudhsm > deleteUser CU user1
Deleting user user1(CU) on 2 nodes
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 0(10.0.2.14)

Retry/rollBack/Ignore?(R/B/I): I
deleteUser failed: RET_MXN_AUTH_FAILED
deleteUser failed on server 1(10.0.1.4)

Retry/rollBack/Ignore?(R/B/I): I
```

Il comando **listTokens** mostra che il CO non dispone di token approvati, come illustrato nel seguente esempio. Per eseguire un'altra operazione di gestione degli utenti HSM, il CO deve ottenere un nuovo token del quorum e nuove firme dagli approvatori, quindi approvare il nuovo token nell'HSM.

```
aws-cloudhsm > listTokens
=====================
    Server 0(10.0.2.14)
=====================
Num of tokens = 0

=====================
    Server 1(10.0.1.4)
=====================
Num of tokens = 0

listTokens success
```

# Modifica il valore minimo del quorum con Management Utility AWS CloudHSM
<a name="quorum-authentication-crypto-officers-change-minimum-value"></a>

Dopo aver [impostato il valore minimo del quorum](quorum-authentication-crypto-officers-first-time-setup.md#quorum-crypto-officers-set-quorum-minimum-value) in modo che i [funzionari AWS CloudHSM crittografici (COs)](understanding-users-cmu.md#crypto-officer) possano utilizzare l'autenticazione del quorum, potresti voler modificare il valore minimo del quorum. Il modulo HSM ti consente di modificare il valore minimo del quorum solo se il numero di approvatori è uguale o superiore al valore minimo corrente. Ad esempio, se il valore minimo del quorum è due, almeno due COs devono approvare la modifica del valore minimo del quorum.

Per ottenere l'approvazione a modificare tale valore, occorre un *token del quorum* per il comando **setMValue** (servizio 4). Per ottenere un token del quorum per il comando **setMValue** setMValue (servizio 4), il valore minimo del quorum per il servizio 4 deve essere superiore a uno. Ciò significa che prima di poter modificare il valore minimo del quorum per COs (servizio 3), potrebbe essere necessario modificare il valore minimo del quorum per il servizio 4.

La tabella seguente elenca gli identificatori del servizio HSM con i relativi nomi, descrizioni e comandi inclusi nel servizio.


| Identificatori servizio | Nome del servizio | Descrizione del servizio | Comandi HSM | 
| --- | --- | --- | --- | 
| 3 | USER\$1MGMT | Gestione degli utenti HSM |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-change-minimum-value.html)  | 
| 4 | MISC\$1CO | Servizio per CO vario |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-change-minimum-value.html)  | 

**Per modificare il valore minimo del quorum per i responsabili della crittografia**

1. Per avviare lo strumento a riga di comando cloudhsm\$1mgmt\$1util, utilizza il comando seguente.

   ```
   $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
   ```

1. Utilizza il comando **loginHSM** per effettuare l'accesso all'HSM come CO. Per ulteriori informazioni, consulta [Gestione degli utenti HSM con CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).

1. Utilizzare il comando **getMValue** per ottenere il valore minimo del quorum per il servizio 3. Per maggiori informazioni, consulta il seguente esempio:

1. Utilizzare il comando **getMValue** per ottenere il valore minimo del quorum per il servizio 4. Per maggiori informazioni, consulta il seguente esempio:

1. Se il valore minimo del quorum del servizio 4 è inferiore a quello del servizio 3, utilizzare il comando **setMValue** per modificare il valore del servizio 4. Cambiare il valore del servizio 4 impostandolo su un valore uguale o superiore a quello del servizio 3. Per maggiori informazioni, consulta il seguente esempio:

1. [Ottenere un *token del quorum*](quorum-authentication-crypto-officers.md#quorum-crypto-officers-get-token), accertandosi di specificare il servizio 4 come servizio per il quale è possibile utilizzare il token.

1. [Ottieni approvazioni (](quorum-authentication-crypto-officers.md#quorum-crypto-officers-get-approval-signatures)firme) da altri. COs

1. [Approvare il token sul modulo HSM](quorum-authentication-crypto-officers.md#quorum-crypto-officers-approve-token).

1. Utilizzare il **setMValue** comando per modificare il valore minimo del quorum per il servizio 3 (operazioni di gestione degli utenti eseguite da). COs

**Example - Ottenimento dei valori minimi del quorum e modifica del valore per il servizio 4**  
Il seguente esempio di comando mostra che il valore minimo corrente del quorum per il servizio 3 è due.  

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```
Il seguente esempio di comando mostra che il valore minimo corrente del quorum per il servizio 4 è uno.  

```
aws-cloudhsm > getMValue 4
MValue of service 4[MISC_CO] on server 0 : [1]
MValue of service 4[MISC_CO] on server 1 : [1]
```
Per modificare il valore minimo del quorum del servizio 4, utilizzare il comando **setMValue** impostando un valore uguale o superiore al valore del servizio 3. L'esempio seguente imposta il valore minimo del quorum per il servizio 4 su due (2), lo stesso valore impostato per il servizio 3.  

```
aws-cloudhsm > setMValue 4 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
Setting M Value(2) for 4 on 2 nodes
```
I seguenti comandi mostrano che il valore minimo del quorum adesso è due per il servizio 3 e per il servizio 4.  

```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```

```
aws-cloudhsm > getMValue 4
MValue of service 4[MISC_CO] on server 0 : [2]
MValue of service 4[MISC_CO] on server 1 : [2]
```