CloudHSM CLI を使用してクォーラムトークンを生成する - AWS CloudHSM
ユーザータイプSyntax引数関連トピック

CloudHSM CLI を使用してクォーラムトークンを生成する

CloudHSM CLI の quorum token-sign generate コマンドを使用して、クォーラム承認サービスのトークンを生成します。

サービスユーザーとクォーラムの HSM クラスターでは、サービスごとに 1 ユーザーにつき 1 つのアクティブトークンを取得することには制限があります。この制限は、キーサービスに関連するトークンには適用されません。

注記

管理者と Crypto User のみが、特定のサービストークンを生成できます。サービスのタイプと名前について詳しくは、クォーラム認証をサポートするサービス名とタイプを参照してください。

管理サービス: クォーラム認証は、ユーザーの作成、ユーザーの削除、ユーザーパスワードの変更、クォーラム値の設定、クォーラム機能と MFA 機能の無効化などの管理者権限を持つサービスに使用されます。

Crypto User サービス: クォーラム認証は、特定のキーに関連する Crypt User の特権サービス (キーによる署名、キーの共有/共有解除)、キーのラッピング/ラップ解除、キー属性の設定など) に使用されます。関連付けられたキーのクォーラム値は、そのキーを生成、インポート、またはラップ解除する際に設定されます。クォーラム値は、そのキーが関連付けられているユーザー数 (キーが共有されているユーザーおよびキー所有者を含む) 以下である必要があります。

各サービスタイプはさらに適格なサービス名に分類されます。このサービス名には、実行可能なクォーラムがサポートする特定のサービスオペレーションのセットが含まれます。

サービス名 サービスタイプ サービスオペレーション
ユーザー 管理者

  • user create

  • user delete

  • user change-password

  • user change-mfa
quorum 管理者

  • quorum token-sign set-quorum-value
cluster1 管理者

  • cluster mtls register-trust-anchor

  • cluster mtls deregister-trust-anchor

  • cluster mtls set-enforcement
キーの管理 Crypto User

  • キーのラップ

  • キーのラップ解除

  • キーシェア

  • キー共有解除

  • key set-attribute
キーの用途 Crypto User

  • キーサイン

[1] クラスターサービスは hsm2m.medium でのみ利用できます

ユーザータイプ

このコマンドは、次のユーザーが実行できます。

  • 管理者

  • Crypto User (CU)

Syntax

aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication
          - key-usage:
            Key usage service is used for executing quorum authenticated key usage operations
          - key-management:
            Key management service is used for executing quorum authenticated key management operations

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

このコマンドは、クラスター内の HSM ごとに 1 つの未署名トークンを token で指定されたファイルに書き込みます。

例 : クラスターの HSM ごとに 1 つの署名なしトークンを書き込みます
aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<SERVICE>

トークンを生成するには、クォーラム承認サービスを指定します。このパラメータは必須です。

有効値

  • ユーザー:クォーラム承認ユーザー管理オペレーションの実行に使用されるユーザー管理サービス。

  • クォーラム: すべてのクォーラム承認サービスのクォーラム承認クォーラム値を設定するために使用されるクォーラム管理サービス。

  • クラスター: mtls 適用、mtls 登録、mtls 登録解除などのクラスター全体の構成管理のクォーラムを実行するために使用されるクラスター管理サービス。

  • 登録:クォーラム認可用のパブリックキーの登録に使用する署名なしトークンを生成します。

  • キーの用途: クォーラム認可されたキー使用オペレーションを実行するために使用される、署名なしトークンを生成します。

  • キー管理: クォーラム認可されたキー管理オペレーションを実行するために使用される、署名なしトークンを生成します。

必須: はい

<TOKEN>

署名されていないトークンファイルが書き込まれるファイルパス。

必須: はい

関連トピック