本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CloudHSM CLI 管理仲裁身份验证(M of N 访问控制)
AWS CloudHSM 集群支持法定身份验证,也称为 M of N 访问控制。此功能要求 HSM 用户合作完成某些操作,从而增加了一层额外的保护。
对于仲裁身份验证,HSM 上的单个用户不能在 HSM 上执行仲裁控制型操作。必须有最少数量 (至少 2 个) 的 HSM 用户合作才能执行这些操作。
仲裁身份验证可以控制以下操作:
-
管理员 HSM 用户管理:创建和删除 HSM 用户,或者更改其他 HSM 用户的密码。有关更多信息,请参阅 使用 AWS CloudHSM CloudHSM CLI 时启用了法定身份验证的用户管理。
AWS CloudHSM中有关仲裁身份验证的要点。
-
HSM 用户可为自己的仲裁令牌签名,也就是说,提供仲裁身份验证所需的批准之一。
-
您可以选择仲裁批准者的最小数量,介于二(2)到八(8)范围之内。
-
HSMs 最多可以存储 1024 个法定代币。达到此限制后,HSM 会清除过期的令牌以创建新令牌。
默认情况下,令牌将在创建 10 分钟后过期。
-
对于启用了 MFA 的集群,将使用同一密钥进行仲裁身份验证和多重身份验证(MFA)。有关更多信息,请参阅使用 CloudHSM CLI 管理 MFA。
-
针对每项管理服务,每个 HSM 可以包含一个令牌,针对每项加密用户服务,每个 HSM 可以包含多个令牌。
下列主题提供了有关 AWS CloudHSM中的仲裁身份验证的更多信息。
主题
