Gerenciar a autenticação de quórum (controle de acesso M ou N) usando a CLI do CloudHSM
Os módulos de segurança de hardware (HSMs) no cluster do AWS CloudHSM oferecem suporte à autenticação de quórum, também conhecida como controle de acesso M de N. Com a autenticação de quórum, nenhum usuário único no HSM pode realizar operações controladas pelo quórum. Em vez disso, um número mínimo de usuários do HSM (pelo menos 2) deve cooperar para realizar essas operações. A autenticação de quórum adiciona uma camada adicional de proteção, exigindo aprovações de vários usuários do HSM.
A autenticação de quorum pode controlar as seguintes operações:
-
Uso e gerenciamento de chaves HSM por um usuário de criptografia: criação de assinaturas com uma chave ou encapsulamento, desencapsulamento, compartilhamento, descompartilhamento e configuração de um atributo de uma chave.
Considerações importantes
-
Um usuário do HSM pode assinar seu próprio token de quorum, ou seja, o usuário solicitante pode fornecer uma das aprovações necessárias para a autenticação de quorum.
-
Você escolhe o número mínimo de aprovadores de quorum para operações controladas por quorum. O menor número que é possível escolher é dois (2) e o maior número que é possível escolher é oito (8).
-
O HSM pode armazenar até 1.024 tokens de quórum. Se o HSM já tiver 1.024 tokens quando você tentar criar um novo, ele removerá um dos tokens expirados. Por padrão, tokens expiram dez minutos após sua criação.
-
Se a autenticação multifator (MFA) estiver ativada, o cluster usará a mesma chave para autenticação de quórum e para MFA. Para obter mais informações sobre o uso da autenticação de quórum e da MFA, consulte Usar a CloudHSM CLI para gerenciar a MFA.
-
Cada HSM pode conter apenas um token por serviço administrativo por vez, mas vários tokens por serviço Usuário de criptografia.
Os seguintes tópicos fornecem mais informações sobre a autenticação de quorum no AWS CloudHSM.
Tópicos
