Generieren Sie ein Quorum-Token mit Cloud HSM CLI - AWS CloudHSM
BenutzertypSyntaxBeispielArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generieren Sie ein Quorum-Token mit Cloud HSM CLI

Verwenden Sie den quorum token-sign generate Befehl in Cloud HSMCLI, um ein Token für einen vom Quorum autorisierten Dienst zu generieren.

Es gibt ein Limit für den Erhalt eines aktiven Tokens pro Benutzer und Dienst in einem HSM Cluster für Dienste, Benutzer und Quorum. Dieses Limit gilt nicht für Token, die sich auf wichtige Dienste beziehen.

Anmerkung

Nur Admins und Crypto-Benutzer dürfen bestimmte Service-Token generieren. Weitere Informationen zu Diensttypen und -namen finden Sie unter Dienstnamen und Typen, die die Quorum-Authentifizierung unterstützen

Admin-Dienste: Die Quorum-Authentifizierung wird für Dienste mit Administratorrechten verwendet, z. B. für das Erstellen von Benutzern, das Löschen von Benutzern, das Ändern von Benutzerkennwörtern, das Festlegen von Quorumwerten und das Deaktivieren von Quorum und Funktionen. MFA

Krypto-Benutzerdienste: Die Quorum-Authentifizierung wird für Dienste verwendet, die für Krypto-Benutzer privilegiert sind und mit einem bestimmten Schlüssel verknüpft sind, z. B. das Signieren mit einem Schlüssel, ein Schlüssel und das Festlegen sharing/unsharing a key, wrapping/unwrapping eines Schlüsselattributs. Der Quorumwert eines zugehörigen Schlüssels wird konfiguriert, wenn der Schlüssel generiert, importiert oder entpackt wird. Der Quorumwert muss gleich oder kleiner als die Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer.

Jeder Diensttyp wird weiter in einen qualifizierenden Dienstnamen unterteilt, der eine bestimmte Gruppe von Quorum-unterstützten Dienstvorgängen enthält, die ausgeführt werden können.

Service-Name Servicetyp Serviceoperationen
user Admin.

  • user create

  • user delete

  • user change-password

  • user change-mfa
quorum Admin.

  • Quorum-Tokenzeichen set-quorum-value
Cluster 1 Admin.

  • Cluster MTLS register-trust-anchor

  • Cluster-MTLS deregister-trust-anchor

  • Durchsetzung von Cluster-MTLS-Sätzen
Schlüsselverwaltung Crypto-Benutzer

  • Schlüsselhülle

  • Schlüssel auspacken

  • key share

  • key unshare

  • key set-attribute
Verwendung des Schlüssels Crypto-Benutzer

  • Schlüsselzeichen

[1] Der Cluster-Service ist ausschließlich auf hsm2m.medium verfügbar

Benutzertyp

Die folgenden Benutzer können diesen Befehl ausführen.

  • Admin.

  • Crypto-Benutzer (Crypto User, CU)

Syntax

aws-cloudhsm > help quorum token-sign generate
Generate a token

Usage: quorum token-sign generate --service <SERVICE> --token <TOKEN>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --service <SERVICE>
          Service the token will be used for

          Possible values:
          - user:
            User management service is used for executing quorum authenticated user management operations
          - quorum:
            Quorum management service is used for setting quorum values for any quorum service
          - cluster: 
            Cluster management service is used for executing quorum for cluster wide configuration managements like mtls enforcement, mtls registration and mtls deregistration
          - registration:
            Registration service is used for registering a public key for quorum authentication
          - key-usage:
            Key usage service is used for executing quorum authenticated key usage operations
          - key-management:
            Key management service is used for executing quorum authenticated key management operations

      --token <TOKEN>
          Filepath where the unsigned token file will be written
  -h, --help                     Print help

Beispiel

Dieser Befehl schreibt jeweils ein unsigniertes Token HSM in Ihrem Cluster in die von angegebene Datei. token

Beispiel : Schreiben Sie ein unsigniertes Token pro HSM in Ihrem Cluster
aws-cloudhsm > quorum token-sign generate --service user --token /home/tfile
{
  "error_code": 0,
  "data": {
    "filepath": "/home/tfile"
  }
}

Argumente

<CLUSTER_ID>

Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.

Erforderlich: Wenn mehrere Cluster konfiguriert wurden.

<SERVICE>

Gibt den vom Quorum autorisierten Dienst an, für den ein Token generiert werden soll Dieser Parameter muss angegeben werden.

Zulässige Werte

  • Benutzer: Der Benutzerverwaltungsdienst, der für die Ausführung von Vorgängen zur Verwaltung autorisierter Quorum-Benutzer verwendet wird.

  • Quorum: Der Quorumverwaltungsdienst, der zum Festlegen von Quorum-autorisierten Quorumwerten für jeden vom Quorum autorisierten Dienst verwendet wird.

  • Cluster: Der Clusterverwaltungsdienst, der für die Ausführung von Quorum für clusterweites Konfigurationsmanagement wie MTLS-Durchsetzung, MTLS-Registrierung und MTLS-Deregistrierung verwendet wird.

  • Registrierung: Generiert ein unsigniertes Token zur Registrierung eines öffentlichen Schlüssels für die Quorumautorisierung.

  • Schlüsselverwendung: Generiert ein unsigniertes Token, das für die Ausführung von Quorum-autorisierten Schlüsselverwendungsvorgängen verwendet wird.

  • Schlüsselverwaltung: Generiert ein unsigniertes Token, das für die Ausführung von vom Quorum autorisierten Schlüsselverwaltungsoperationen verwendet wird.

Erforderlich: Ja

<TOKEN>

Dateipfad, in den die unsignierte Tokendatei geschrieben wird.

Erforderlich: Ja

Verwandte Themen