Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura l'autenticazione del quorum per gli amministratori utilizzando la CLI AWS CloudHSM CloudhSM
[Gli argomenti seguenti descrivono i passaggi da completare per configurare il modulo di sicurezza hardware (HSM) in modo che gli amministratori possano utilizzare l'autenticazione quorum. AWS CloudHSM](understanding-users.md#admin) È necessario eseguire questa procedura una sola volta quando si configura l'autenticazione del quorum per gli amministratori per la prima volta. Una volta completata questa procedura, consultare [Gestione degli utenti con autenticazione quorum abilitata per l'utilizzo della CLI AWS CloudHSM CloudhSM](quorum-auth-chsm-cli-admin.md).
**Topics**
+ [Prerequisiti](#quorum-admin-prerequisites)
+ [Passaggio 1. Creazione e registrazione di una chiave per la firma](#quorum-admin-create-and-register-key)
+ [Passaggio 2. Impostazione del valore minimo del quorum sull'HSM](#quorum-admin-set-quorum-minimum-value-chsm-cli)
+ [Valori minimi del quorum](#cloudhsm_cli-qm-list-minimum)
## Prerequisiti
Per comprendere questo esempio, è bene avere familiarità con la [CLI di CloudHSM](cloudhsm_cli.md).
## Passaggio 1. Creazione e registrazione di una chiave per la firma
Per utilizzare l'autenticazione del quorum, ogni amministratore deve completare *tutti* i seguenti passaggi:
**Topics**
+ [Creazione di una coppia di chiavi RSA](#mofn-key-pair-create-chsm-cli)
+ [Creazione e firma di un token di registrazione](#mofn-registration-token-chsm-cli)
+ [Registrazione della chiave pubblica con HSM](#mofn-register-key-chsm-cli)
### Creazione di una coppia di chiavi RSA
Esistono molti modi diversi per creare e proteggere una coppia di chiavi. Gli esempi a seguire mostrano come eseguire questa operazione con [OpenSSL](https://www.openssl.org/).
**Example - Creazione di una chiave privata con OpenSSL**
L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave RSA a 2048 bit. Per utilizzare questo esempio, sostituiscilo {{}} con il nome del file in cui desideri memorizzare la chiave.
```
$ openssl genrsa -out {{}}
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
```
Successivamente, genera la chiave pubblica utilizzando la chiave privata appena creata.
**Example - Creazione di una chiave pubblica con OpenSSL**
L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave pubblica dalla chiave privata appena creata.
```
$ openssl rsa -in admin.key -outform PEM -pubout -out admin1.pub
writing RSA key
```
### Creazione e firma di un token di registrazione
Crea un token e firmalo con la chiave privata appena generata nella fase precedente.
**Example - Creazione di un token di registrazione**
1. Utilizza il seguente comando per avviare la CLI di CloudHSM:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Crea un token di registrazione eseguendo il comando [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md):
```
aws-cloudhsm > quorum token-sign generate --service registration --token /path/tokenfile
{
"error_code": 0,
"data": {
"path": "/path/tokenfile"
}
}
```
1. Il comando [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) genera un token di registrazione nel percorso del file specificato. Ispeziona il file del token:
```
$ cat /path/tokenfile
{
"version": "2.0",
"tokens": [
{
"approval_data": {{}},
"unsigned": {{}},
"signed": ""
}
]
}
```
Il file del token comprende:
+ **approval\_data**: un token di dati randomizzato con codifica base64 i cui dati non elaborati non superano il limite massimo di 245 byte.
+ **unsigned**: un token codificato e con SHA256 hash in base64 di approval\_data.
+ **signed**: un token firmato con codifica base64 (firma) del token non firmato, che utilizza la chiave privata RSA a 2048 bit generata precedentemente con OpenSSL.
Firma il token non firmato con la chiave privata per dimostrare di avere accesso alla chiave privata. Avrai bisogno del file del token di registrazione completamente compilato con una firma e la chiave pubblica per registrare l'amministratore come utente del quorum nel cluster. AWS CloudHSM
**Example - Firma del token di registrazione non firmato**
1. Decodifica il token non firmato con codifica base64 e inseriscilo in un file binario:
```
$ echo -n '6BMUj6mUjjko6ZLCEdzGlWpR5sILhFJfqhW1ej3Oq1g=' | base64 -d > admin.bin
```
1. Utilizza OpenSSL e la chiave privata per firmare il token di registrazione non firmato ora binario e crea un file di firma binario:
```
$ openssl pkeyutl -sign \
-inkey admin.key \
-pkeyopt digest:sha256 \
-keyform PEM \
-in admin.bin \
-out admin.sig.bin
```
1. Codifica la firma binaria in base64:
```
$ base64 -w0 admin.sig.bin > admin.sig.b64
```
1. Copia e incolla la firma con codifica base64 nel file token:
```
{
"version": "2.0",
"tokens": [
{
"approval_data": {{}},
"unsigned": {{}},
"signed": {{}}
}
]
}
```
### Registrazione della chiave pubblica con HSM
Dopo aver creato una chiave, l'amministratore deve registrare la chiave pubblica nel cluster. AWS CloudHSM
**Per registrare una chiave pubblica con l'HSM**
1. Utilizza il seguente comando per avviare la CLI di CloudHSM:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.
```
aws-cloudhsm > login --username {{}} --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "{{}}",
"role": "admin"
}
}
```
1. Utilizza il comando **[Registra la strategia del quorum di firma dei token di un utente utilizzando la CLI di CloudHSM](cloudhsm_cli-user-chqm-token-reg.md)** per registrare una chiave pubblica. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help user change-quorum token-sign register**.
**Example — Registra una chiave pubblica con il AWS CloudHSM cluster**
L'esempio seguente mostra come usare il comando **user change-quorum token-sign register** nella CLI di CloudHSM per registrare una chiave pubblica di un amministratore nell'HSM. Per utilizzare questo comando, l'amministratore deve aver eseguito l'accesso all'HSM. Sostituire questi valori con i propri valori:
```
aws-cloudhsm > user change-quorum token-sign register --public-key {{}} --signed-token {{}}
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
**/path/admin.pub**: il percorso del file al file PEM della chiave pubblica
**Obbligatorio:** sì
**/path/tokenfile**: il percorso del file con il token firmato dalla chiave privata dell'utente
**Obbligatorio:** sì
Una volta che tutti gli amministratori hanno registrato le proprie chiavi pubbliche, l'output del comando **user list** mostra l'avvenuta registrazione nel campo del quorum, indicando la strategia del quorum abilitata in uso, come illustrato di seguito:
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
{
"username": "admin2",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
{
"username": "admin3",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
{
"username": "admin4",
"role": "admin",
"locked": "false",
"mfa": [],
"quorum": [
{
"strategy": "token-sign",
"status": "enabled"
}
],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"quorum": [],
"cluster-coverage": "full"
}
]
}
}
```
In questo esempio, il AWS CloudHSM cluster ne ha due HSMs, ciascuno con gli stessi amministratori, come mostrato nel seguente output del **user list** comando. Per ulteriori informazioni sulla creazione di utenti, vedere [Gestione degli utenti con CloudHSM CLI](manage-hsm-users-chsm-cli.md)
## Passaggio 2. Impostazione del valore minimo del quorum sull'HSM
Per utilizzare l'autenticazione del quorum, un amministratore deve effettuare l'accesso all'HSM e quindi impostare il *valore minimo del quorum*. Questo è il numero minimo di approvazioni dell'amministratore necessarie per l'esecuzione delle operazioni di gestione degli utenti HSM. Qualsiasi amministratore nell'HSM può impostare il valore minimo del quorum, compresi gli amministratori che non hanno registrato una chiave per la firma. Puoi modificare il valore minimo del quorum in qualsiasi momento. Per ulteriori informazioni, consulta [Modifica del valore minimo](quorum-auth-chsm-cli-min-value.md).
**Per impostare il valore minimo del quorum sull'HSM**
1. Utilizza il seguente comando per avviare la CLI di CloudHSM:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.
```
aws-cloudhsm > login --username {{}} --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "{{}}",
"role": "admin"
}
}
```
1. Utilizzare il comando **[Aggiornare un valore di quorum utilizzando la CLI di CloudhSM](cloudhsm_cli-qm-token-set-qm.md)** per impostare il valore minimo del quorum. Il `--service` flag identifica il servizio HSM per cui stai impostando i valori. Vedi l'esempio seguente o usa il **help quorum token-sign set-quorum-value** comando per ulteriori informazioni.
**Example - Impostazione del valore minimo del quorum sull'HSM**
Questo esempio utilizza un valore minimo del quorum pari a due (2). È possibile scegliere qualsiasi valore compreso tra due (2) e otto (8), fino al numero totale di amministratori sull'HSM. In questo esempio, l'HSM ha quattro (4) amministratori, quindi il valore massimo possibile è quattro (4).
Per utilizzare il comando di esempio seguente, sostituite il numero finale ({{<2>}}) con il valore minimo del quorum preferito.
```
aws-cloudhsm > quorum token-sign set-quorum-value --service user --value {{<2>}}
{
"error_code": 0,
"data": "Set quorum value successful"
}
```
In questo esempio, il **[Mostra i valori del quorum utilizzando la CLI CloudhSM](cloudhsm_cli-qm-token-list-qm.md)** comando elenca i tipi, i nomi e le descrizioni dei servizi HSM inclusi nel servizio.
## Valori minimi del quorum
Utilizza il comando **quorum token-sign list-quorum-values** per ottenere il valore minimo del quorum per un servizio:
```
aws-cloudhsm > quorum token-sign list-quorum-values
{
"error_code": 0,
"data": {
"user": 2,
"quorum": 1
}
}
```
L'output del comando **quorum token-sign list-quorum-values** precedente mostra che il valore minimo del quorum per il servizio utente HSM, responsabile delle operazioni di gestione degli utenti, è ora due (2). Una volta completata questa procedura, consultare [Gestione degli utenti con quorum (M of N)](quorum-auth-chsm-cli-admin.md).
**Servizi admin**: l'autenticazione del quorum viene utilizzata per servizi che necessitano dei privilegi dell'admin come la creazione e l'eliminazione di utenti, la modifica delle password degli utenti, l'impostazione dei valori del quorum e la disattivazione delle funzionalità quorum e MFA.
**Crypto User Services**: l'autenticazione Quorum viene utilizzata per i servizi privilegiati degli utenti crittografici associati a una chiave specifica, come la firma con una chiave, una chiave, sharing/unsharing una chiave e l'impostazione dell'attributo di wrapping/unwrapping una chiave. Il valore quorum di una chiave associata viene configurato quando la chiave viene generata, importata o aperta. Il valore del quorum deve essere uguale o inferiore al numero di utenti a cui è associata la chiave, che include gli utenti con cui la chiave è condivisa e il proprietario della chiave.
Ogni tipo di servizio è ulteriormente suddiviso in un nome di servizio qualificante, che contiene un set specifico di operazioni di servizio supportate dal quorum che possono essere eseguite.
****
| Nome del servizio | Tipo di servizio | Operazioni di servizio |
| --- | --- | --- |
| Utente | Admin | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html) |
| quorum | Admin | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html) |
| gruppo 1 | Admin | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html) |
| gestione delle chiavi | Utente Crypto | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html) |
| utilizzo delle chiavi | Utente Crypto | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-auth-chsm-cli-first-time.html) |
[1] Il servizio cluster è disponibile esclusivamente su hsm2m.medium