Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
createUser
Der createUser-Befehl in cloudhsm_mgmt_util erstellt einen Benutzer auf den HSMs. Nur Crypto Officers (COs und PRECOs) können diesen Befehl ausführen. Wenn der Befehl erfolgreich ist, wird der Benutzer in allen HSMs im Cluster erstellt.
Wenn Ihre HSM-Konfiguration ungenau ist, wird der Benutzer möglicherweise nicht in allen HSMs erstellt. Um den Benutzer den HSMs hinzuzufügen, in denen er fehlt, verwenden Sie den Befehl syncUser oder createUser nur in den HSMs, in denen dieser Benutzer fehlt. Um Konfigurationsfehler zu meiden, führen Sie das configure-Tool mit der -m-Option aus.
Vor dem Ausführen eines CMU-Befehls müssen Sie die CMU starten und sich beim HSM anmelden. Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.
Wenn Sie HSMs hinzufügen oder löschen, aktualisieren Sie die Konfigurationsdateien für CMU. Andernfalls wirken sich die vorgenommenen Änderungen möglicherweise nicht auf alle HSMs im Cluster aus.
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Crypto Officers (CO, PRECO)
Syntax
Geben Sie die Argumente in der Reihenfolge ein, die im Syntaxdiagramm angegeben ist. Verwenden Sie den -hpswd-Parameter, um Ihr Passwort zu maskieren. Um einen CO-Benutzer mit Zwei-Faktor-Authentifizierung (2FA) zu erstellen, verwenden Sie den -2fa-Parameter und geben einen Dateipfad an. Weitere Informationen finden Sie unter Argumente.
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
Beispiele
Diese Beispiele verdeutlichen, wie mit createUser neue Benutzer in Ihren HSMs erstellt werden.
Beispiel : Erstellen eines Crypto Officers
Dieses Beispiel erstellt einen Verschlüsselungsverantwortlichen (CO, Crypto Officer) in den HSMs in einem Cluster. Der erste Befehl verwendet loginHSM, um sich beim HSM als Verschlüsselungsverantwortlicher anzumelden.
aws-cloudhsm>loginHSM CO admin 735782961loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)
Der zweite Befehl verwendet den createUser-Befehl zum Erstellen von alice, einem neuen Verschlüsselungsverantwortlichen im HSM.
Die Meldung weist darauf hin, dass der Befehl Benutzer in allen HSMs im Cluster erstellt. Wenn der Befehl jedoch in irgendwelchen HSMs fehlschlägt, ist der Benutzer in diesen HSMs nicht vorhanden. Geben Sie y ein, um fortzufahren.
Die Ausgabe zeigt, dass der neue Benutzer in allen drei HSMs im Cluster erstellt wurde.
aws-cloudhsm>createUser CO alice 391019314*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes
Wenn der Befehl abgeschlossen ist, verfügt alice über dieselben Berechtigungen im HSM wie der CO-Benutzer admin, einschließlich der Berechtigung zum Ändern der Passwörter aller Benutzer in den HSMs.
Der letzte Befehl verwendet den listUsers-Befehl, um zu überprüfen, ob alice in allen drei HSMs im Cluster vorhanden ist. Die Ausgabe zeigt auch, dass alice die Benutzer-ID 3 zugewiesen wird.. Sie verwenden die Benutzer-ID, um sich alice in anderen Befehlen zu identifizieren, z. findAllKeys
aws-cloudhsm>listUsersUsers on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
Beispiel : Erstellen eines Crypto-Benutzers
In diesem Beispiel wird ein Crypto-Benutzer (CU, Crypto User), bob, im HSM erstellt. Crypto-Benutzer können Schlüssel erstellen und verwalten, aber sie können keine Benutzer verwalten.
Nachdem Sie y als Antwort auf die Meldung eingegeben haben, zeigt die Ausgabe, dass bob in allen drei HSMs im Cluster erstellt wurde. Der neue CU kann sich bei dem HSM anmelden, um Schlüssel zu erstellen und zu verwalten.
Der Befehl verwendete den Passwortwert defaultPassword. Später kann bob oder ein beliebiger CO mithilfe des changePswd-Befehls sein Passwort ändern.
aws-cloudhsm>createUser CU bob defaultPassword*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes
Argumente
Geben Sie die Argumente in der Reihenfolge ein, die im Syntaxdiagramm angegeben ist. Verwenden Sie den -hpswd-Parameter, um Ihr Passwort zu maskieren. Um einen CO-Benutzer mit aktivierter 2FA zu erstellen, verwenden Sie den -2fa-Parameter und geben Sie einen Dateipfad an. Weitere Informationen über 2FA finden Sie in Verwendung von CMU zur Verwaltung von 2FA.
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
- <user-type>
-
Gibt den Benutzertyp an. Dieser Parameter muss angegeben werden.
Ausführliche Informationen zu den Benutzertypen in einem HSM finden Sie unter Grundlegendes zu HSM-Benutzern.
Zulässige Werte:
-
CO: Verschlüsselungsverantwortliche können Benutzer, aber keine Schlüssel verwalten.
-
CU: Crypto-Benutzer können Schlüssel erstellen und verwalten und Schlüssel in kryptografischen Vorgängen verwenden.
Der PRECO wird in einen CO konvertiert, wenn Sie während der HSM-Aktivierung ein Passwort zuweisen.
Erforderlich: Ja
-
- <user-name>
-
Gibt einen Anzeigenamen für den Benutzer an. Die maximale Länge beträgt 31 Zeichen. Das einzige zulässige Sonderzeichen ist ein Unterstrich (_).
Sie können den Namen eines Benutzers nach der Erstellung nicht mehr ändern. In cloudhsm_mgmt_util-Befehlen muss bei Benutzertyp und Passwort die Groß- und Kleinschreibung beachtet werden, beim Benutzernamen nicht.
Erforderlich: Ja
- <password | -hpswd >
-
Gibt ein Passwort für den Benutzer an. Geben Sie eine Zeichenfolge von 7 bis 32 Zeichen ein. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Das Passwort wird in Klartext angezeigt, wenn Sie es eingeben. Um Ihr Passwort zu verbergen, verwenden Sie den
-hpswd-Parameter anstelle des Passworts und folgen Sie den Aufforderungen.Um ein Benutzerpasswort zu ändern, verwenden Sie changePswd. Jeder HSM-Benutzer kann das eigene Passwort ändern, aber CO-Benutzer können das Passwort eines jeden Benutzers (jedes Typs) in den HSMs ändern.
Erforderlich: Ja
- [-2fa </path/to/authdata>]
-
Gibt die Erstellung eines CO-Benutzers mit aktivierter 2FA an. Um die für die Einrichtung der 2FA-Authentifizierung erforderlichen Daten abzurufen, fügen Sie einen Pfad zu einem Speicherort im Dateisystem mit einem Dateinamen nach dem
-2fa-Parameter ein. Weitere Informationen zum Einrichten und Arbeiten mit 2FA finden Sie unter Verwendung von CMU zur Verwaltung von 2FA.Erforderlich: Nein
Verwandte Themen
