Alterar o valor mínimo do quórum com o AWS CloudHSM Management Utility
Depois de definir o valor mínimo do quórum para que os responsáveis pela criptografia do AWS CloudHSM possam usar a autenticação de quórum, talvez você queira alterar esse valor mínimo. O HSM permite que você altere o valor mínimo de quorum somente quando o número de aprovadores é igual ou superior ao valor mínimo do quorum atual. Por exemplo, se o valor mínimo do quorum for dois, pelo menos dois COs deverão aprovar para alterar o valor mínimo de quorum.
Para obter a aprovação do quorum para alterar o valor mínimo do quorum, você precisa de um token de quorum para o comando setMValue (serviço 4). Para obter um token de quorum para o comando setMValue (serviço 4), o valor mínimo de quorum para o serviço 4 deve ser maior que um. Isso significa que, antes que você possa alterar o valor mínimo de quorum para os COs (serviço 3), talvez seja necessário alterar o valor mínimo de quorum para o serviço 4.
A tabela a seguir lista os identificadores de serviço do HSM junto com seus nomes, descrições e comandos incluídos no serviço.
| Identificadores de dispositivo | Nome do serviço | Descrição do serviço | Comandos do HSM |
|---|---|---|---|
| 3 | USER_MGMT |
Gerenciamento de usuários do HSM |
|
| 4 | MISC_CO |
Serviço de CO diverso |
|
Para alterar o valor mínimo do quorum para oficiais de criptografia
-
Use o comando a seguir para iniciar a ferramenta de linha de comando cloudhsm_mgmt_util.
$/opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg -
Use o comando loginHSM para fazer login nos HSMs como CO. Para obter mais informações, consulte Gerenciamento de usuários do HSM com o CloudHSM Management Utility (CMU).
-
Use o comando getMValue para obter o valor mínimo de quorum para o serviço 3. Para obter mais informações, veja o exemplo a seguir.
-
Use o comando getMValue para obter o valor mínimo de quorum para o serviço 4. Para obter mais informações, veja o exemplo a seguir.
-
Se o valor mínimo de quorum para o serviço 4 for menor que o valor para o serviço 3, use o comando setMValue para alterar o valor do serviço 4. Altere o valor do serviço 4 para um que seja igual ou superior ao valor do serviço 3. Para obter mais informações, veja o exemplo a seguir.
-
Obtenha um token de quorum, tendo o cuidado de especificar o serviço 4 como o serviço para o qual você pode usar o token.
-
Use o comando setMValue para alterar o valor mínimo do quorum para o serviço 3 (operações de gerenciamento de usuários realizadas por COs).
exemplo Obter valores mínimos de quorum e alterar o valor do serviço 4
O comando de exemplo a seguir mostra que o valor mínimo do quorum para o serviço 3 é atualmente dois.
aws-cloudhsm >getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]
O comando de exemplo a seguir mostra que o valor mínimo de quorum para o serviço 4 é atualmente um.
aws-cloudhsm >getMValue 4MValue of service 4[MISC_CO] on server 0 : [1] MValue of service 4[MISC_CO] on server 1 : [1]
Para alterar o valor mínimo do quorum para o serviço 4, use o comando setMValue, definindo um valor igual ou superior ao valor do serviço 3. O exemplo a seguir define o valor mínimo do quorum para o serviço 4 como dois (2), o mesmo valor definido para o serviço 3.
aws-cloudhsm >setMValue 4 2*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?ySetting M Value(2) for 4 on 2 nodes
Os seguintes comandos mostram que o valor mínimo do quorum é agora dois para o serviço 3 e o serviço 4.
aws-cloudhsm >getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]
aws-cloudhsm >getMValue 4MValue of service 4[MISC_CO] on server 0 : [2] MValue of service 4[MISC_CO] on server 1 : [2]
