View a markdown version of this page

使用 CloudHSM CLI 管理仲裁身份验证(M of N 访问控制) - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 CloudHSM CLI 管理仲裁身份验证(M of N 访问控制)

AWS CloudHSM 集群支持法定身份验证,也称为 M of N 访问控制。此功能要求 HSM 用户合作完成某些操作,从而增加了一层额外的保护。

对于仲裁身份验证,HSM 上的单个用户不能在 HSM 上执行仲裁控制型操作。必须有最少数量 (至少 2 个) 的 HSM 用户合作才能执行这些操作。

仲裁身份验证可以控制以下操作:

AWS CloudHSM中有关仲裁身份验证的要点。

  • HSM 用户可为自己的仲裁令牌签名,也就是说,提供仲裁身份验证所需的批准之一。

  • 您可以选择仲裁批准者的最小数量,介于二(2)到八(8)范围之内。

  • HSM 可存储多达 1024 个仲裁令牌。达到此限制后,HSM 会清除过期的令牌以创建新令牌。

  • 默认情况下,令牌将在创建 10 分钟后过期。

  • 对于启用了 MFA 的集群,将使用同一密钥进行仲裁身份验证和多重身份验证(MFA)。有关更多信息,请参阅使用 CloudHSM CLI 管理 MFA

  • 每个 HSM 上的每个管理服务一次只能存在一个法定令牌。必须先完成或删除服务的有效法定令牌,然后才能为同一服务生成新的法定令牌。有关更多信息,请参阅 支持的服务和类型

下列主题提供了有关 AWS CloudHSM中的仲裁身份验证的更多信息。