本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CloudHSM CLI 管理仲裁身份验证(M of N 访问控制)
AWS CloudHSM 集群支持法定身份验证,也称为 M of N 访问控制。此功能要求 HSM 用户合作完成某些操作,从而增加了一层额外的保护。
对于仲裁身份验证,HSM 上的单个用户不能在 HSM 上执行仲裁控制型操作。必须有最少数量 (至少 2 个) 的 HSM 用户合作才能执行这些操作。
仲裁身份验证可以控制以下操作:
-
管理员 HSM 用户管理:创建和删除 HSM 用户,或者更改其他 HSM 用户的密码。有关更多信息,请参阅 启用法定身份验证的用户管理 AWS CloudHSM 使用 CloudHSM CLI。
AWS CloudHSM中有关仲裁身份验证的要点。
-
HSM 用户可为自己的仲裁令牌签名,也就是说,提供仲裁身份验证所需的批准之一。
-
您可以选择仲裁批准者的最小数量,介于二(2)到八(8)范围之内。
-
HSM 可存储多达 1024 个仲裁令牌。达到此限制后,HSM 会清除过期的令牌以创建新令牌。
默认情况下,令牌将在创建 10 分钟后过期。
-
对于启用了 MFA 的集群,将使用同一密钥进行仲裁身份验证和多重身份验证(MFA)。有关更多信息,请参阅使用 CloudHSM CLI 管理 MFA。
-
每个 HSM 上的每个管理服务一次只能存在一个法定令牌。必须先完成或删除服务的有效法定令牌,然后才能为同一服务生成新的法定令牌。有关更多信息,请参阅 支持的服务和类型。
下列主题提供了有关 AWS CloudHSM中的仲裁身份验证的更多信息。