使用 CloudHSM CLI 为 AWS CloudHSM 更改仲裁最小值 - AWS CloudHSM

使用 CloudHSM CLI 为 AWS CloudHSM 更改仲裁最小值

为 CloudHSM 管理员设置仲裁最小值后,可能需要调整仲裁最小值。仅当批准者数量达到或超过当前值时,HSM 才允许更改仲裁最小值。例如,仲裁最小值为二(2),则必须至少有两(2)个管理员批准任何更改。

注意

用户服务的仲裁值必须小于或等于仲裁服务的仲裁值。有关服务名称的信息,请参阅 使用 CloudHSM CLI 进行仲裁身份验证支持的 AWS CloudHSM 服务名称和类型

要获取更改仲裁最小值的仲裁批准,您需要一个使用 quorum token-sign set-quorum-value 命令用于 quorum service仲裁令牌。若要使用 quorum token-sign set-quorum-value 命令为 quorum service 生成仲裁令牌,仲裁服务值必须大于一 (1)。这意味着,您可能需要先更改用户服务的仲裁最小值,然后才能更改仲裁服务的仲裁最小值。

更改管理员的仲裁最小值的步骤

  1. 启动 CloudHSM CLI 交互模式。

    Linux
    $ /opt/cloudhsm/bin/cloudhsm-cli interactive
    Windows
    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive

  2. 使用 CloudHSM CLI,以管理员身份登录。

    aws-cloudhsm > login --username <admin> --role admin
Enter password:
{
  "error_code": 0,
  "data": {
    "username": "<admin>",
    "role": "admin"
  }
}

  3. 检查当前的仲裁最小值:

    aws-cloudhsm > quorum token-sign list-quorum-values

  4. 如果仲裁服务的仲裁最小值小于用户服务的相应值,请更改仲裁服务值:

    aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value <3>

  5. 为仲裁服务生成仲裁令牌

  6. 获得其他管理员的批准 (签名)。

  7. 批准 CloudHSM 集群上的令牌,执行用户管理操作

  8. 更改用户服务的仲裁最小值:

    aws-cloudhsm > quorum token-sign set-quorum-value
例 调整仲裁服务最小值

  1. 检查当前值。示例显示了用户服务的仲裁最小值当前为二(2)。

    aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 1
  }
}

  2. 更改仲裁服务值。将仲裁服务的仲裁最小值设置为等于或大于用户服务的相应值的值。本示例将仲裁服务的仲裁最小值设置为二(2),与上一示例中为用户服务设置的值相同。

    aws-cloudhsm > quorum token-sign set-quorum-value --service quorum --value 2
{
  "error_code": 0,
  "data": "Set quorum value successful"
}

  3. 验证更改。本示例显示了用户服务仲裁服务的仲裁最小值现在为二(2)。

    aws-cloudhsm > quorum token-sign list-quorum-values
{
  "error_code": 0,
  "data": {
    "user": 2,
    "quorum": 2
  }
}