Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie einen AWS CloudHSM Benutzer mit CMU
Verwenden Sie den createUser Befehl in cloudhsm_mgmt_util (), um einen Benutzer für die Hardware-Sicherheitsmodule () CMU im Cluster zu erstellen. HSM AWS CloudHSM Nur Kryptobeamte (und) können diesen Befehl ausführen. COs PRECOs Wenn der Befehl erfolgreich ist, wird der gesamte Benutzer HSMs im Cluster erstellt.
Wenn Ihre HSM Konfiguration falsch ist, wurde der Benutzer möglicherweise nicht auf allen HSMs erstellt. Um den Benutzer zu einem Benutzer hinzuzufügen, HSMs in dem er fehlt, verwenden Sie den createUserBefehl syncUseroder nur für die BenutzerHSMs, denen dieser Benutzer fehlt. Um Konfigurationsfehler zu meiden, führen Sie das configure-Tool mit der -m-Option aus.
Bevor Sie einen CMU Befehl ausführen, müssen Sie den starten CMU und sich dort anmeldenHSM. Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.
Wenn Sie etwas hinzufügen oder löschenHSMs, aktualisieren Sie die Konfigurationsdateien fürCMU. Andernfalls sind die Änderungen, die Sie vornehmen, möglicherweise nicht für alle Mitglieder HSMs des Clusters wirksam.
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Krypto-Offiziere (CO,PRECO)
Syntax
Geben Sie die Argumente in der Reihenfolge ein, die im Syntaxdiagramm angegeben ist. Verwenden Sie den -hpswd-Parameter, um Ihr Passwort zu maskieren. Um einen CO-Benutzer mit Zwei-Faktor-Authentifizierung (2FA) zu erstellen, verwenden Sie den -2fa-Parameter und geben einen Dateipfad an. Weitere Informationen finden Sie unter Argumente.
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
Beispiele
Diese Beispiele zeigen, wie createUser Sie neue Benutzer in Ihrem erstellen könnenHSMs.
Beispiel : Erstellen eines Crypto Officers
In diesem Beispiel wird ein Crypto Officer (CO) auf dem HSMs in einem Cluster erstellt. Der erste Befehl verwendet login HSM, um sich HSM als Crypto Officer anzumelden.
aws-cloudhsm>loginHSM CO admin 735782961loginHSM success on server 0(10.0.0.1) loginHSM success on server 1(10.0.0.2) loginHSM success on server 1(10.0.0.3)
Der zweite Befehl verwendet den createUser Befehlalice, um einen neuen Crypto Officer auf dem zu erstellenHSM.
In der Warnmeldung wird erklärt, dass der HSMs Befehl Benutzer auf allen Clustern erstellt. Schlägt der Befehl jedoch auf einem der Server fehlHSMs, ist der Benutzer auf diesen nicht vorhandenHSMs. Geben Sie y ein, um fortzufahren.
Die Ausgabe zeigt, dass der neue Benutzer auf allen drei HSMs im Cluster erstellt wurde.
aws-cloudhsm>createUser CO alice 391019314*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User alice(CO) on 3 nodes
Wenn der Befehl abgeschlossen alice ist, hat er dieselben Berechtigungen für den HSM wie der admin CO-Benutzer, einschließlich der Änderung des Kennworts eines beliebigen Benutzers auf demHSMs.
Der letzte Befehl verwendet den listUsersBefehl, um zu überprüfen, ob auf allen drei HSMs im Cluster alice vorhanden ist. Die Ausgabe zeigt auch, dass alice die Benutzer-ID 3 zugewiesen wird.. Sie verwenden die Benutzer-ID zur Identifizierung alice in anderen Befehlen, findAllKeysz.
aws-cloudhsm>listUsersUsers on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.2): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO Users on server 1(10.0.0.3): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin YES 0 NO 2 AU app_user NO 0 NO 3 CO alice NO 0 NO
Beispiel : Erstellen eines Crypto-Benutzers
In diesem Beispiel wird ein Crypto-Benutzer (CU),bob, auf dem erstelltHSM. Crypto-Benutzer können Schlüssel erstellen und verwalten, aber sie können keine Benutzer verwalten.
Nachdem Sie eingegeben habeny, um auf die Warnmeldung zu antworten, wird in der Ausgabe angezeigt, dass die Datei auf allen drei HSMs im Cluster erstellt bob wurde. Die neue CU kann sich bei der anmelden, HSM um Schlüssel zu erstellen und zu verwalten.
Der Befehl verwendete den Passwortwert defaultPassword. Später bob oder jeder CO kann den changePswdBefehl verwenden, um sein Passwort zu ändern.
aws-cloudhsm>createUser CU bob defaultPassword*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?Invalid option, please type 'y' or 'n' Do you want to continue(y/n)?y Creating User bob(CU) on 3 nodes
Argumente
Geben Sie die Argumente in der Reihenfolge ein, die im Syntaxdiagramm angegeben ist. Verwenden Sie den -hpswd-Parameter, um Ihr Passwort zu maskieren. Um einen CO-Benutzer mit aktivierter 2FA zu erstellen, verwenden Sie den -2fa-Parameter und geben Sie einen Dateipfad an. Weitere Informationen über 2FA finden Sie in 2FA für Benutzer verwalten.
createUser <user-type> <user-name> <password|-hpswd> [-2fa </path/to/authdata>]
- <user-type>
-
Gibt den Benutzertyp an. Dieser Parameter muss angegeben werden.
Ausführliche Informationen zu den Benutzertypen auf einem HSM finden Sie unterHSMBenutzertypen für das AWS CloudHSM Management Utility.
Zulässige Werte:
-
CO: Verschlüsselungsverantwortliche können Benutzer, aber keine Schlüssel verwalten.
-
CU: Crypto-Benutzer können Schlüssel erstellen und verwalten und Schlüssel in kryptografischen Vorgängen verwenden.
Das PRECO wird in ein CO umgewandelt, wenn Sie bei der HSMAktivierung ein Passwort zuweisen.
Erforderlich: Ja
-
- <user-name>
-
Gibt einen Anzeigenamen für den Benutzer an. Die maximale Länge beträgt 31 Zeichen. Das einzige zulässige Sonderzeichen ist ein Unterstrich (_).
Sie können den Namen eines Benutzers nach der Erstellung nicht mehr ändern. In cloudhsm_mgmt_util-Befehlen muss bei Benutzertyp und Passwort die Groß- und Kleinschreibung beachtet werden, beim Benutzernamen nicht.
Erforderlich: Ja
- <password | -hpswd >
-
Gibt ein Passwort für den Benutzer an. Geben Sie eine Zeichenfolge von 7 bis 32 Zeichen ein. Bei diesem Wert ist die Groß- und Kleinschreibung zu beachten. Das Passwort wird in Klartext angezeigt, wenn Sie es eingeben. Um Ihr Passwort zu verbergen, verwenden Sie den
-hpswd-Parameter anstelle des Passworts und folgen Sie den Aufforderungen.Um ein Benutzerkennwort zu ändern, verwenden Sie changePswd. Jeder HSM Benutzer kann sein eigenes Passwort ändern, aber CO-Benutzer können das Passwort jedes Benutzers (beliebigen Typs) auf der ändernHSMs.
Erforderlich: Ja
- [-2fa </ >path/to/authdata]
-
Gibt die Erstellung eines CO-Benutzers mit aktivierter 2FA an. Um die für die Einrichtung der 2FA-Authentifizierung erforderlichen Daten abzurufen, fügen Sie einen Pfad zu einem Speicherort im Dateisystem mit einem Dateinamen nach dem
-2fa-Parameter ein. Weitere Informationen zum Einrichten und Arbeiten mit 2FA finden Sie unter 2FA für Benutzer verwalten.Erforderlich: Nein
Verwandte Themen
